Keine Angst vor OpenLDAP 2.5
Seit nunmehr über einem Jahr gibt es OpenLDAP in den Versionen 2.5 und 2.6, aber nicht wenige haben die Version 2.4 noch immer im Einsatz. Das mag verschiedene, oft auch nachvollziehbare Gründe haben. Die DAASI International empfiehlt jedoch die Migration auf eine der höheren Versionen. Nachfolgend finden Sie daher nähere Informationen zum Thema, die Ihnen die Entscheidung für ein Upgrade erleichtern sollen.
Symas OpenLDAP – Was ist neu?
Bei einer Migration stellt sich zunächst die Frage nach der Version. Warum gibt es in diesem Fall zwei mögliche Versionen gleichzeitig, und warum wird an beiden entwickelt? Mit der Veröffentlichung der Versionen 2.5 und 2.6 stellt die Firma Symas eine auf 5 Jahre ausgelegte LTS-Version 2.5 und eine aktuelle Feature-Version 2.6 zur Verfügung. Die Version 2.5 löst dabei das Produkt „Symas OpenLDAP Directory Gold Edition“ ab, das bisher zusammen mit verschiedenen Support-Leveln für den professionellen Einsatz angeboten worden ist. Die darin enthaltenen Binär-Pakete waren bislang nicht öffentlich zugänglich. Jetzt sind neben dem schon immer offenen Quellcode auch alle Binär-Pakete frei verfügbar und damit vom Kauf eines Support-Pakets entkoppelt. Die Entscheidung für eine möglichst stabile LTS-Version 2.5 oder für eine mit neuen Features ausgestattete Version 2.6 bleibt den Nutzer*innen nun selbst überlassen. Beide Versionen stehen als Repository für RHEL7, RHEL8, SLES 15.3, Debian 10, Debian 11, Ubuntu 18.04 und Ubuntu 20.04 zur Verfügung und erleichtern so die Integration in diverse bestehende IT-Landschaften. Eine Anleitung zum Download und zur Integration des Repositorys in die jeweilige Distribution gibt es ebenfalls [1].
Konfiguration und besondere Features
Die durchzuführenden Anpassungen an der Konfiguration bei einem Upgrade von 2.4 auf 2.5 oder 2.6 sind gut dokumentiert und unter dem Menüpunkt „Upgrades“ der jeweiligen Seiten unterhalb der Startseite [1] verlinkt. Einige etwas detailliertere Erklärungen stehen im „Appendix B. Upgrading from 2.4.x“[2] des „OpenLDAP Software 2.5 Administrator’s Guide“[3] zur Verfügung.
Neben der Tatsache, dass die Version 2.4 nicht mehr weiterentwickelt wird, gibt es auch einige neue Features, für die sich ein Upgrade lohnt. Nachfolgend werden die wichtigsten Neuerungen genannt:
Wer bisher das Overlay „memberOf“ im Zusammenhang mit Replikation mehrerer Provider verwendet hat, ist sicherlich über die Aussage der Entwickler*innen gestolpert, dass das Overlay nicht für den Einsatz in solchen Umgebungen empfohlen wird. Dieses Overlay wird nun abgelöst durch „dynlist“, das ebenfalls schon lange existiert, jedoch noch einmal überarbeitet wurde. Es stellt inzwischen einen vollwertigen Ersatz dar, mit kleinen Einbußen hinsichtlich Performanz. Da das Attribut „memberOf“ über „dynlist“ jedoch nicht mehr repliziert, sondern von jedem Provider oder Lese-Replikat bei Anfragen berechnet wird, fallen die bisherigen Probleme bei der Replikation von operationalen Attributen einfach weg.
Auch an der Performanz der MDB wurde weiter gearbeitet. Über einen Konfigurationsparameter (multival) können nun z. B. Attribute definiert werden, deren Inhalt bei Erreichen einer konfigurierten Anzahl von Werten in eine separate Tabellenstruktur der MDB ausgelagert wird, um sowohl eine Verbesserung der Schreibgeschwindigkeit als auch eine geringere Fragmentierung der Haupttabelle zu erreichen.
Für eine effektive Lastverteilung gegen mehrere Replikate bringt die Version 2.5 nun einen eigenen Loadbalancer auf Protokoll-Ebene in Form eines Overlays mit. Auf diese Weise kann nicht nur auf Verbindungsebene, sondern auch auf Ebene von Operationen eine Lastverteilung stattfinden. So können mehrere komplexe Suchanfragen eines einzelnen Clients von mehreren Servern verteilt ausgeführt werden. Statt als Overlay, kann der Loadbalancer auch als Daemon gestartet werden.
Fazit
Insgesamt ist die Umstellung von 2.4 auf 2.5 oder 2.6 mit einem überschaubaren Aufwand verbunden. Nur wer Overlays wie „lastbind“, „ppolicy“ oder „memberOf“ einsetzt, wird etwas mehr Zeit investieren müssen. Dass nun für die gängigen Linux-Distributionen Repositorys direkt von Symas zur Verfügung gestellt werden, erleichtert den Umstieg und führt zu mehr Unabhängigkeit von den jeweiligen Distributionen.
Selbstverständlich steht Ihnen die DAASI International für weitere Beratung zu OpenLDAP-Migrationen gerne zur Verfügung. Sprechen Sie uns an.
Weitere Informationen
[2] https://www.openldap.org/doc/admin25/appendix-upgrading.html
[3] https://www.openldap.org/doc/admin25/