¡Este mes el proyecto OpenLDAP celebra su vigésimo cumpleaños! Su año de nacimiento es 1998 cuando Kurt Zeilenga y otros decidieron consolidar parches que se habían difundido en listas de correo y grupos de noticias para mejorar el código del servidor LDAP independiente original de la Universidad de Michigan (slapd). Después de la renuncia de Kurt Zeilenga, Howard Chu asumió el papel de arquitecto jefe del proyecto. El proyecto OpenLDAP sigue tradicionalmente la filosofía de diseño de Unix “un trabajo, una herramienta”. Bajo la dirección de Kurt Zeilenga, el desarrollo de OpenLDAP como implementación de referencia del "Protocolo ligero de acceso a directorios" (LDAP) ha sido impulsado principalmente por borradores de Internet y RFC. Este enfoque en la apertura y la interoperabilidad convirtió al proyecto en un hito importante en el panorama de los servicios de red, con el respaldo de todas las principales distribuciones empresariales de Linux que ofrecían OpenLDAP como un componente mantenido de sus productos.
RedHat y SUSE anunciaron que retirarán el soporte para OpenLDAP
Desafortunadamente, esto cambiará este año, ya que RedHat y SUSE anunciaron que retirarán el soporte para OpenLDAP en sus ofertas de Enterprise Linux a favor del propio 389 Directory Server (389-ds) de RedHat. Esta noticia se informó a los clientes en las notas de la versión de SLE 15. El 389 Directory Server El proyecto se basa en el código base que se remonta a 1996, cuando Netscape contrató al fundador de LDAP, Tim Howes, y algunos de sus antiguos colegas de la Universidad de Michigan. Esta base de código fue adquirida en 2004 por RedHat y lanzada y ampliada como código abierto bajo licencia pública Gnu (GPL).
OpenLDAP 1.0 nació en 1998 a partir de las mejoras que la comunidad había recopilado en el transcurso de dos años. El código actual se ha mejorado tanto con la segunda versión principal que apenas tiene nada en común con el código original.
El código fuente con licencia GPL de 389 Directory Server es la base tecnológica de dos ofertas separadas. RedHat distingue entre la solución de gestión de identidades (IdM) FreeIPA (Identity, Policy, Audit) por un lado y el "Red Hat Directory Server" (RHDS) por otro lado. Este último se recomienda para aplicaciones comerciales críticas generales con requisitos especiales. Consulte los siguientes enlaces para obtener más detalles.
- https://rhelblog.redhat.com/2015/06/01/identity-management-or-red-hat-directory-server-cuál-debería-usar/
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#comparing
Sin embargo, para el funcionamiento del producto RHDS necesita una suscripción de soporte por separado. La decisión de RedHat de centrarse únicamente en 389-ds debe verse en este contexto. Según este anuncio, OpenLDAP ya no será compatible con la próxima versión principal de RedHat Enterprise Linux y el paquete de software "openldap-servers" ya está obsoleto en RHEL 7.4 (consulte el párrafo "Importante" en ese anuncio).
Con este movimiento, los clientes de RedHat que usan OpenLDAP se encuentran en una situación en la que tienen que migrar a 389-ds (o RHDS) o recurrir a paquetes OpenLDAP de ofertas de terceros para soporte (por ejemplo, https://symas.com/message -presidente-sobre-red-hat-suse-removing-openldap-linux-distributions/ y https://daasi.de/en/2017/09/25/red-hat-wont-continue-openldap-support-rhel- 8-daasi-international-supports-migration/). Los paquetes mantenidos por la comunidad seguirán estando disponibles.
Univention adopta una perspectiva diferente
Desde 2003 Univención es compatible con OpenLDAP para uso empresarial. Es uno de los componentes centrales de su producto Univention Corporate Server (UCS). Esto es posible, porque OpenLDAP siempre se ha mantenido con un alto grado de profesionalismo. Toda la comunidad responde rápida y profesionalmente a las preguntas y propuestas de parches enviadas. El equipo de OpenLDAP envía lanzamientos de funciones a un ritmo de aproximadamente 12 a 18 meses, intercalados con lanzamientos de mantenimiento según sea necesario. Los lanzamientos de funciones maduran durante mucho tiempo y no están sujetos a la presión de los plazos de lanzamiento. En este punto, el proyecto funciona de manera similar a otros proyectos de código abierto como Debian. Esto no siempre es fácil de manejar para los distribuidores en términos de planificación de lanzamiento de productos, pero es la libertad de dichos proyectos decidir en su propia medida cuándo se considera que algo está listo para su lanzamiento.
Todas estas son razones por las que Univention recomienda UCS con OpenLDAP también para sus usuarios empresariales. En la mayor implementación de UCS realizada por el proveedor de telecomunicaciones francés Orange, OpenLDAP presta servicios a hasta 30 millones de cuentas de autenticación y demostró la máxima escalabilidad y estabilidad.
La confiabilidad, el rendimiento y la escalabilidad de la tecnología base es un criterio crucial para la operación en dominios profesionales. Desde este punto de vista, argumenta Univention, la decisión de RedHat y SUSE es difícil de justificar. Actualmente, 389-ds todavía se basa en un backend de Sleepycat Berkeley DB, mientras que OpenLDAP desde 2.4 recomienda el moderno LMDB (Lightning Memory Database) como su backend. Howard Chu, arquitecto jefe del proyecto OpenLDAP desde 2007, inventó y desarrolló la base de datos No-SQL/Key-Value LMDB. ). Alcanza aumentos de rendimiento sin precedentes en comparación con otras tecnologías de bases de datos, especialmente con respecto al perfil de uso de los servicios de directorio LDAP, que a menudo se centran más en operaciones de lectura que de escritura.
Desde 2014, Univention también cambió a LMDB como backend OpenLDAP en su producto principal Univention Corporate Server (UCS). De acuerdo con la experiencia de Univention, LMDB abrió las puertas para que OpenLDAP cumpliera con los requisitos de proyectos de escala de alto rendimiento. De hecho, la solidez y el rendimiento de LMDB son tan notables que Univention decidió reemplazar su propia caché de replicación LDAP basada en BDB por una implementación basada en LMDB en 2014. Aunque la rama de la versión actual de LMDB de 0.9 ya demostró una estabilidad convincente, la serie 1.0 ofrecerá mejoras adicionales que serán cruciales como un backend sólido para OpenLDAP.
El próximo gran hito para el proyecto OpenLDAP en sí será el lanzamiento de OpenLDAP 2.5. Algunas de las funciones anunciadas para OpenLDAP 2.5 ya vieron la luz del día como actualización de nivel de parche para la serie 2.4, que se finalizará en 2.4.47 de acuerdo con la hoja de ruta actual.
Muchas gracias a OpenLDAP
Univention quiere agradecer al proyecto OpenLDAP y a sus desarrolladores por el trabajo profesional y el compromiso con la idea de código abierto. Como distribuidor de Linux, Univention espera con entusiasmo y confianza continuar usando OpenLDAP en proyectos basados en UCS en los próximos años, ofreciendo a corporaciones e instituciones públicas y privadas una solución de software abierta, escalable y profesional, al mismo tiempo que potencia la libertad de elección y la independencia de bloqueos de proveedores.
Esta es una publicación invitada de Univention . Las opiniones del autor son totalmente suyas y pueden no reflejar las opiniones de OSTechNix.