Is LDAP dood?

Op 10 en 11 oktober vond er een LDAP conferentie plaats in Heidelberg. Het evenement trok een 60-tal deelnemers met vertegenwoordigers van de belangrijkste open source LDAP-implementaties (OpenLDAP, OpenDJ, ApacheDS) en mensen die aan de basis lagen van de LDAP-specificaties. Jammer genoeg waren de grote commerciële spelers, zoals Microsoft en Oracle niet aanwezig. Een kleinere speler (Isode) was wel aanwezig met een mooie produktpresentatie van hun M-Vault LDAP-server.

De conferentie ging van start met de provocatieve vraag van Ludovic Poitou: “Is LDAP dead?“. De LDAP specificatie is al jaren gestandaardiseerd en evolueert niet meer. Het topic van een directory service is niet meer “hot” en is meer een commodity geworden. Het ecosysteem van produkten is ook redelijk beperkt met het grootste marktaandeel voor Microsoft ActiveDirectory. De commerciële produkten evolueren vrijwel niet meer. Alle aandacht gaat naar nieuwe technologieën zoals REST, JSON en noSQL databases. Er was wat discussie op de conferentie of de interface op LDAP-servers zich zou moeten aligneren op deze nieuwe technologieën. Het is maar de vraag of dit echt nodig is.

In de open source wereld zijn er wel wat evoluties geweest en wordt er nog actief ontwikkeld. Getuige daarvan deze conferentie.

De overname van Sun door Oracle heeft ervoor gezorgd dat de (nieuwe) open source LDAP implementatie OpenDS van Sun werd geforkt. De codebase is overgenomen door ForgeRock en wordt als OpenDJ aan de man gebracht. Dit is nog steeds een open source project maar de community lijkt momenteel nog sterk beperkt tot ForgeRock personeel. De documentatie dient ook helemaal opnieuw geschreven te worden omdat Sun/Oracle de rechten hebben op de originele documentatie. Oracle biedt zelf ook nog een produkt aan gebaseerd op OpenDS, namelijk Oracle Unified Directory (OUD). Dit brengt het aantal Oracle directory server produkten op drie: Oracle Internet Directory (OID), OUD en ODSE (vroegere Sun directory server).

Met de overname van Sun zullen er heel wat migraties zijn naar andere produkten. Zo een migratie dient goed voorbereid te worden en uitvoerig getest. De presentatie van Alban Meunier was een checklist voor een succesvolle migratie en bevatte heel wat interessante elementen.

OpenLDAP is een zeer mature en krachtige LDAP-server en is heel wijdverspreid. Er wordt nog actief aan ontwikkeld met bijvoorbeeld de nieuwe Memory Mapped backend (mdb) die door Howard Chu werd voorgesteld op deze conferentie. Deze levert heel wat performantiewinst op voor leesoperaties in vergelijking met de klassieke Berkeley-backend met als bijkomend voordeel dat er geen complexe tuning nodig is. Eén van de komende releases zal deze nieuwe backend bevatten.

Een aantal presentaties gingen dieper in op High-availability scenario’s met gebruik van HA-software zoals Pacemaker, Corosync en de replicatiemogelijkheden van OpenLDAP (SyncRepl). De schaalbaarheid van OpenLDAP werd aangetoond door een case van HP van een hoog performante OpenLDAP server met 20 tot 40 miljoen entries, zij het op stevige hardware.

De nood voor een degelijke LDAP-client wordt ingevuld door Apache Directory Studio. Een Eclipse-gebaseerde LDAP-editor die op heel veel bijval kan rekenen en nog verder evolueert. Door zijn uitbreidbaarheid zijn er commerciële modules mogelijk die bijvoorbeeld OpenLDAP-configuraties beheerbaar maken in de Directory Studio.

De mensen achter ApacheDS zijn ook verantwoordelijk voor een nieuwe moderne Java LDAP API die bijna klaar is. Deze API maakt LDAP-operaties heel makkelijk en vervangt de oudere API’s en JNDI-gebaseerde LDAP operaties. Deze API maakt het ook heel wat makkelijker om Java applicaties die LDAP gebruiken te testen. Er was overeenstemming tussen de verschillende aanwezige open source spelers dat een unieke Java API de beste weg is en dat men zal samenwerken met Apache.

LDAP vormde een rode draad doorheen een aantal presentaties rond Role Based Access Control (RBAC). Zo is er een project met de naam Fortress gestart dat de RBAC-specificaties heeft vertaald naar Java-API’s en combineert met een OpenLDAP-backend. In de komende jaren wil men daar een volwaardig open source access management produkt bovenop bouwen.

Tot slot zijn er verschillende interessante tools beschikbaar zoals zoals synchronisatiesoftware (LSC) en een JDBC-LDAP bridge die rapportering makkelijker maakt.

Deze conferentie toonde aan dat er nog wat interesse is in LDAP, zij het dat LDAP vooral onzichtbaar aanwezig is in de infrastructuur. Er is nog een evoluerend vooral open source ecosysteem met interessante tools.  Voor de vaak dure commerciële servers bestaan er heel degelijke open source alternatieven zoals OpenLDAP.

LDAP is dus zeker niet dood en zal nog een lange tijd aanwezig blijven. Dat er zoveel open source software beschikbaar is kan alleen maar de gebruikers van deze technologie ten goede komen.

 

Leave a Reply

Your email address will not be published. Required fields are marked *