OpenLDAP wird 20 - und künftig in RHEL und SLE fehlen
In diesem Monat kann das OpenLDAP-Projekt seinen zwanzigsten Geburtstag feiern. Kürzlich haben aber Red Hat und SUSE angekündigt, nur noch Red Hats 389 Directory Server zu unterstützen. Univention ist da anderer Ansicht und wird OpenLDAP weiterhin nutzen.
In diesem Monat kann das OpenLDAP-Projekt seinen zwanzigsten Geburtstag feiern. Es wurde 1998 von Kurt Zeilenga und anderen ins Leben gerufen, um diverse Patches zu konsolidieren, die auf Mailinglisten und Newsgroups Verbreitung gefunden hatten, um den originalen Standalone LDAP Server Code (slapd) der University of Michigan zu verbessern. Nach Kurt Zeilenga übernahm Howard Chu die Position des »Chief Architect«. Die OpenLDAP-Projektleitung ist traditionell stark der Unix-Philosophie »one job – one tool« verbunden. Unter Kurt Zeilengas Ägide wurde die Weiterentwicklung von OpenLDAP daher als Referenzimplementierung des »Lightwight Directory Access Protocol« (LDAP) primär klassisch mit Internet Drafts und RFCs vorangetrieben. Dieser Fokus auf Offenheit und Interoperabilität hat das Projekt zu einer wichtigen Landmarke in der Landschaft der Internetdienste werden lassen, und alle wichtigen Enterprise-Linux-Distributionen boten folglich OpenLDAP als unterstützten Produktbestandteil.
Leider ändert sich das in diesem Jahr, da Red Hat und SUSE angekündigt haben, in ihren jeweiligen Enterprise Linux Angeboten ab sofort nur noch Red Hats 389 Directory Server zu unterstützen. Entsprechende Notizen finden sich z.B. in den Release notes von SLE 15. Der 389 Directory Server geht zurück auf eine Codebasis aus dem Jahr 1996, als Netscape den LDAP-Erfinder Tim Howes und einige seiner früheren Kollegen von der University of Michigan eingestellt hat. Die Codebasis wurde 2004 von Red Hat übernommen, unter der Gnu Public License als Open Source freigegeben und weiterentwickelt. OpenLDAP 1.0 seinerseits wurde 1998 aus Verbesserungen geboren, die die Community im Laufe von ca. zwei Jahren zusammengetragen hatte. Der heutige Code hat im Zuge des zweiten Major-Releases so viele Verbesserungen erfahren, dass er heute kaum noch etwas gemein mit dem Code von damals hat.
Der unter GPL stehende Quellcode des 389 Directory Servers bildet die technologische Basis für zwei unterschiedliche Angebote. Red Hat unterscheidet zwischen der in RHEL enthaltenen Identity Management (IdM)-Lösung FreeIPA (Identity, Policy, Audit) einerseits und dem Red Hat Directory Server (RHDS) andererseits. Letzterer wird für generelle Business-kritische Anwendungen mit besonderen Anforderungen empfohlen (siehe auch hier und hier). Für den Betrieb des Produkts »Red Hat Directory Server« ist jedoch zusätzlich eine kommerzielle Subskription erforderlich. Red Hats Entscheidung, sich ausschließlich auf 389-ds zu konzentrieren, ist im Kontext dieser Entwicklungen zu sehen. Laut Ankündigung wird OpenLDAP im kommenden Major Release von Red Hat Enterprise Linux nicht mehr unterstützt werden und das Software-Paket openldap-servers wird schon in RHEL 7.4 nicht mehr empfohlen (siehe dort den Punkt »Important«). Damit sind Red Hat-Kunden, die OpenLDAP einsetzen, auf eine Migration angewiesen - entweder zu den von Red Hat empfohlenen Lösungen 389-ds bzw. Red Hat Directory Server oder zu OpenLDAP-Paketen von Drittanbietern (z.B. Symas.com und DAASI International).
Univention nutzt OpenLDAP bereits seit 2003 für den Einsatz in Enterprise-Umgebungen und es ist einer der zentralen Bestandteile des Univention Corporate Server (UCS). Das geht, weil OpenLDAP schon immer mit einem hohen Grad an Professionalität gepflegt wird. Die gesamte Community reagiert schnell und professionell sowohl auf Fragen als auch auf Patches. Das Team hinter OpenLDAP veröffentlicht neue Feature-Releases in einem lockeren Abstand von 12-18 Monaten und Maintainance-Updates nach Bedarf. Die Feature-Releases reifen lange und werden nicht unter dem Druck von Release-Deadlines veröffentlicht. In diesem Punkt verhält sich das Projekt ähnlich zu Open-Source-Projekten wie Debian. Das ist für Distributoren nicht immer leicht, was die langfristige Planung von Produkt-Releases angeht, aber es liegt in der Freiheit solcher Projekte, nach eigener Abwägung zu entscheiden, wann etwas als fertig für die Veröffentlichung angesehen wird.
Daher empfiehlt Univention auch seinen Unternehmensnutzern OpenLDAP. In der größten Umgebung, in der diese Kombination zum Einsatz kommt, dem französischen Telekommunikationsanbieter Orange, ist OpenLDAP für bis zu 30 Millionen Authentifikationskonten zuständig und hat sich dabei als höchst skalierbar und stabil erwiesen. Denn die Verlässlichkeit, Performanz und Skalierbarkeit der Basistechnologie ist entscheidendes Kriterium für den Einsatz in professionellen Umgebungen. Aus dieser Perspektive ist die Entscheidung von Red Hat und SUSE für Univention nur schwer nachzuvollziehen. Als Datenbackend setzt 389-ds aktuell noch auf Sleepycat Berkely DB, während OpenLDAP seit der Version 2.4 das modernere LMDB (Lightning Memory Database) Backend propagiert. Die No-SQL/Key-Value Datenbank LMDB wurde von Howard Chu konzipiert und entwicklet, der seit 2007 Hauptarchitekt des OpenLDAP-Projekts ist. Das neue Datenbank-Backend zeichnet sich besonders dadurch aus, dass es ohne Datenbank-Locks auskommt und erreicht damit deutliche Performancegewinne im Vergleich zu anderen Datenbank-Technologien, insbesondere bei dem Anforderungsprofil von LDAP-Verzeichnisdiensten, deren Fokus häufig eher auf Lese- als auf Schreiboperationen liegt.
Seit 2014 verwendet auch UCS die Lightning Memory-Mapped Database als OpenLDAP-Backend. In der Praxis hat LMDB die Tür für den performanten Einsatz von OpenLDAP in Großprojekten weit geöffnet. Die Robustheit und Performanz von LMDB ist so beeindruckend, dass Univention sich 2014 entschieden hat, den eigenen BDB-basierten LDAP-Replikations-Cache auch durch eine LMDB-basierte Implementierung zu ersetzen. Auch wenn der in UCS eingesetzte aktuelle Versionszweig 0.9 von LMDB schon überzeugende Stabilität bewiesen hat, wird LMDB 1.0 weitere Verbeserungen liefern, die wiederum als Fundament für OpenLDAP entscheidend sind.
Als nächster großer Meilenstein für das OpenLDAP-Projekt selbst steht die Produktionsreife von OpenLDAP 2.5 bevor. Manches schon 2015 für OpenLDAP 2.5 angekündigte Feature wurde dann doch schon im Zuge der Patchlevel-Updates der 2.4er Serie herausgebracht, die nach aktueller Planung mit 2.4.47 abgeschlossen werden soll.
Autoreninformation
Arvid Requate ist seit vielen Jahren Open Source Software Engineer bei Univention und hauptsächlich im Bereich Directory Services, Authentifikation, OpenLDAP und Samba tätig.
