Ce mois-ci, le projet OpenLDAP fête son vingtième anniversaire ! Son année de naissance est 1998 lorsque Kurt Zeilenga et d'autres ont décidé de consolider les correctifs qui avaient été diffusés sur les listes de diffusion et les groupes de discussion pour améliorer le code du serveur LDAP autonome original de l'Université du Michigan (slapd). Après la démission de Kurt Zeilenga, Howard Chu a repris le rôle d'architecte en chef du projet. Le projet OpenLDAP suit traditionnellement la philosophie de conception d'Unix "un travail - un outil". Sous la direction de Kurt Zeilenga, le développement d'OpenLDAP en tant qu'implémentation de référence du "Lightweight Directory Access Protocol" (LDAP) a été principalement motivé par les brouillons Internet et les RFC. Cet accent mis sur l'ouverture et l'interopérabilité a transformé le projet en un point de repère important dans le paysage des services réseau, étant pris en charge par toutes les principales distributions Linux d'entreprise qui offraient OpenLDAP en tant que composant maintenu de leurs produits.
RedHat et SUSE ont annoncé le retrait de la prise en charge d'OpenLDAP
Malheureusement, cela va changer cette année puisque RedHat et SUSE ont annoncé le retrait de la prise en charge d'OpenLDAP dans leurs offres Enterprise Linux au profit du 389 Directory Server (389-ds) de RedHat. Cette nouvelle a été annoncée aux clients dans les notes de publication de SLE 15. Le 389 Directory Server Le projet est construit sur la base de code datant de 1996 lorsque Netscape a engagé le fondateur de LDAP, Tim Howes, et certains de ses anciens collègues de l'Université du Michigan. Cette base de code a été acquise en 2004 par RedHat et publiée et étendue en Open Source sous Gnu Public License (GPL).
OpenLDAP 1.0 lui-même est né en 1998 d'améliorations, que la communauté avait recueillies au cours de deux ans. Le code d'aujourd'hui a été tellement amélioré avec la deuxième version majeure qu'il n'a pratiquement rien en commun avec le code d'origine.
Le code source sous licence GPL de 389 Directory Server est la base technologique de deux offres distinctes. RedHat fait la distinction entre la solution de gestion des identités (IdM) FreeIPA (Identity, Policy, Audit) d'une part et le "Red Hat Directory Server" (RHDS) d'autre part. Ce dernier est recommandé pour les applications commerciales critiques générales avec des exigences particulières. Consultez les liens suivants pour plus de détails.
- https://rhelblog.redhat.com/2015/06/01/identity-management-or-red-hat-directory-server-which-one-should-i-use/
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#comparing
Cependant, pour le fonctionnement du produit RHDS, vous avez besoin d'un abonnement de support séparé. La décision de RedHat de se concentrer uniquement sur 389-ds doit être considérée dans ce contexte. Selon cette annonce, OpenLDAP ne sera plus pris en charge dans la prochaine version majeure de RedHat Enterprise Linux et le progiciel "openldap-servers" est déjà obsolète dans RHEL 7.4 (voir le paragraphe "Important" dans cette annonce).
Avec cette décision, les clients RedHat utilisant OpenLDAP se retrouvent dans une situation où ils doivent soit migrer vers 389-ds (ou RHDS), soit recourir à des packages OpenLDAP d'offres tierces pour le support (par exemple https://symas.com/message -president-regarding-red-hat-suse-removing-openldap-linux-distributions/ et https://daasi.de/en/2017/09/25/red-hat-wont-continue-openldap-support-rhel- 8-daasi-international-soutient-la-migration/). Les packages gérés par la communauté continueront d'être disponibles.
Univention adopte une perspective différente
Depuis 2003 Univention prend en charge OpenLDAP pour une utilisation en entreprise. C'est l'un des composants centraux de leur produit Univention Corporate Server (UCS). C'est possible, car OpenLDAP a toujours été maintenu avec un haut degré de professionnalisme. Toute la communauté répond rapidement et professionnellement aux questions et aux propositions de correctifs soumises. L'équipe OpenLDAP livre des versions de fonctionnalités dans un rythme d'environ 12 à 18 mois, entrecoupées de versions de maintenance selon les besoins. Les versions de fonctionnalités mûrissent depuis longtemps et ne sont pas liées à la pression des délais de publication. À ce stade, les projets fonctionnent de la même manière que d'autres projets open source comme Debian. Ce n'est pas toujours facile à gérer pour les distributeurs en termes de planification de sortie de produit, mais c'est la liberté de ces projets de décider à leur propre mesure quand quelque chose est considéré comme prêt pour la sortie.
Toutes ces raisons expliquent pourquoi Univention recommande UCS avec OpenLDAP également pour ses utilisateurs en entreprise. Dans le plus grand déploiement UCS géré par l'opérateur de télécommunications français Orange, OpenLDAP dessert jusqu'à 30 millions de comptes d'authentification et a démontré une évolutivité et une stabilité optimales.
La fiabilité, la performance et l'évolutivité de la technologie de base est un critère crucial pour le fonctionnement dans les domaines professionnels. De ce point de vue, soutient Univention, la décision de RedHat et SUSE est difficile à justifier. 389-ds s'appuie actuellement toujours sur un backend Sleepycat Berkeley DB tandis qu'OpenLDAP depuis 2.4 recommande la LMDB (Lightning Memory Database) moderne comme backend. La base de données No-SQL/Key-Value LMDB a été inventée et développée par Howard Chu qui est l'architecte en chef du projet OpenLDAP depuis 2007. Le nouveau backend de la base de données offre en particulier un fonctionnement sans verrouillage, apprenant des problèmes de longue date de Berkeley DB (BDB ). Il atteint des augmentations de performances sans précédent par rapport aux autres technologies de base de données, en particulier en ce qui concerne le profil d'utilisation des services d'annuaire LDAP, qui se concentrent souvent plutôt sur les opérations de lecture que d'écriture.
Depuis 2014, Univention est également passé à LMDB en tant que backend OpenLDAP dans son produit principal Univention Corporate Server (UCS). Selon l'expérience d'Univention, LMDB a ouvert les portes à OpenLDAP pour répondre aux exigences des projets d'envergure à haute performance. En fait, la robustesse et les performances de LMDB sont si remarquables qu'Univention a décidé de remplacer son propre cache de réplication LDAP basé sur BDB par une implémentation basée sur LMDB en 2014. Même si la branche de version actuelle de LMDB de 0.9 a déjà prouvé une stabilité convaincante, la série 1.0 offrira des améliorations supplémentaires qui seront cruciales en tant que backend solide pour OpenLDAP.
La prochaine étape importante pour le projet OpenLDAP lui-même sera la sortie d'OpenLDAP 2.5. Certaines des fonctionnalités annoncées pour OpenLDAP 2.5 ont déjà vu le jour sous forme de mise à jour de niveau de correctif pour la série 2.4, qui sera finalisée d'ici le 2.4.47 selon la feuille de route actuelle.
Un grand merci à OpenLDAP
Univention tient à remercier le projet OpenLDAP et ses développeurs pour le travail professionnel et l'engagement envers l'idée open source. En tant que distributeur Linux, Univention attend avec enthousiasme et confiance de continuer à utiliser OpenLDAP dans des projets basés sur UCS dans les années à venir, offrant aux entreprises et institutions publiques et privées une solution logicielle ouverte, évolutive et professionnelle tout en permettant la liberté de choix et l'indépendance de verrouillage des fournisseurs.
Ceci est un article invité d'Univention . Les opinions de l'auteur sont entièrement les siennes et peuvent ne pas refléter les vues d'OSTechNix.