Direkt zum Inhalt
03.05.2023 - Fachbeitrag

OpenLDAP 2.5 und 2.6 lösen OpenLDAP 2.4 ab – Ein Gastbeitrag von Stefan Kania

SLAC Vortrag openLDAP

Sie möchten auf die neue Version von OpenLDAP umsteigen und suchen einen Überblick über die aktuellen Neuerungen? Stefan Kania ist OpenLDAP-Profi, nutzt seit 1993 Linux und arbeitet seit über 25 Jahren als Trainer. In diesem Gast­beitrag gibt er einen kurzen Überblick darüber, was die neue Version zu bieten hat.  

Am 29. April 2021 war es endlich soweit: Nach 14 Jahren wurde die neue OpenLDAP-Version (zu Anfang nur 2.5) zur produktiven Nutzung freigegeben. Alle haben lange auf die neue Version mit neuen Funktionen, mehr Performance und mehr Sicherheit gewartet. Bei der Version 2.5 handelt es sich um eine LTS-Version, die auch noch länger mit Updates versorgt wird.

Am 25. Oktober 2021 kam dann die "Feature-Version" 2.6 dazu. Hier werden jetzt neue Funktionen als erstes bereitgestellt. Nicht alles sind Funktionen, die sofort ersichtlich sind. Manche Dinge betreffen auch "nur" interne Prozesse.

Anfang 2022 wurde dann die Version 2.4 als deprecated gekennzeichnet und es gibt seitdem keine Updates und was noch viel wichtiger ist KEINE Sicherheits-Updates mehr. 2023 wurde die Version 2.4 dann als "historical" bezeichnet. Jetzt gibt es von Seiten der Entwickler auch keinen Support mehr. Auch auf der Mailingliste werden keine Fragen von den Entwicklern mehr zu 2.4-Problemen beantwortet. Es wird also höchste Zeit umzustellen.

Die Umstellung kann auch im laufenden Betrieb durchgeführt werden und es kommt bei guter Planung zu keinen Ausfallzeiten.

Was bringt die neue Version?

  • eine erheblich verbesserte Replikation. In einer Multiproviderumgebung lässt sich jetzt auch die Konfiguration via cn=config sauber replizieren.
  • Die Performance wurde erheblich gesteigert, sodass Suchanfragen schneller abgearbeitet werden können.
  • In allen Versionen bis 2.4 gibt es einen einzigen Thread-Pool, der Worker-Threads für jede Operation zuweist. Da diese Zuweisung über eine einzige Warteschlange mit einer einzigen Sperre erfolgt, gerät sie bei großen Arbeitslasten ziemlich ins Stocken und lässt sich nicht gut auf mehrere Kerne skalieren. Daher ist in 2.5 eine konfigurierbare Anzahl von Warteschlangen erlaubt. In Tests hat dies zu beträchtlichen Vorteilen geführt: eine 25-prozentige Steigerung der Suchvorgänge pro Sekunde mit dem back-mdb-Backend auf einem Testsystem mit vier Kernen.
  • Die Unterstützung von ARGON2 als Passwordhash, um die Passwörter noch sicherer im LDAP abzulegen.
  • Die zwei Faktoren Authentifizierung kann jetzt im OpenLDAP durch ein neues Overlay direkt dem Benutzer zugewiesen werden.
  • Das Overlay "autoca" verwaltet automatisch Benutzer- und Host-Zertifikate und fügt sie zu den entsprechenden Objekten hinzu.
  • Zwei neue Werkzeuge sind hinzugefügt worden: slapdelete und slapmodify. Sie dienen dazu, die Datenbanken direkt zu verändern.
  • Ein neues Modul "lloadd" wurde zum OpenLDAP hinzugefügt - ein Loadbalancer auf Basis des OpenLDAP. Das hat den Vorteil, dass der Loadbalancer die Anforderungen des Protokolls kennt und dafür sorgen kann, dass bestimmte Verbindungen kohärent behandelt werden, sprich: Auf Grund der Anfrage wird ein Client solange immer an denselben LDAP-Server weitergeleitet, bis die Aufgabe erfüllt wurde. Das ist eine Funktion, die aber erst in der Version 2.6 bereitgestellt wird.
  • Eine weitere große Neuerung ist, dass das Overlay "memberOf" als "deprecated" gekennzeichnet wurde. Die Funktion des Overlays lässt sich jetzt besser und performanter mit dem Overlay "dynlist" einrichten. Da das ganze dynamisch durchgeführt wird, kann das Attribut "memberOf" der Benutzer auch noch im Nachhinein eingerichtet werden.

Die hier aufgeführten Änderungen und Neuerungen sind nur ein kurzer Überblick.

Bleiben Sie also mit Ihrem OpenLDAP aktuell. Wenn Sie immer noch nicht auf die neue Version umgestiegen sind, ist es sinnvoll, dass Sie sich möglichst zeitnah eine Migrationsstrategie überlegen, denn die nächste Sicherheitslücke kommt bestimmt.

Schulungen & SLAC: Noch tiefer in OpenLDAP eintauchen

Sie möchten noch mehr über die Neuerungen rund um OpenLDAP erfahren? Dann erleben Sie Stefan Kania live auf unserer Secure Linux Administration Conference (SLAC) vom 23. - 25. Mai 2023 in Berlin und hören Sie seinen Vortrag „OpenLDAP 2.6, was ist neu“.

Melden Sie sich jetzt zu unserer SLAC an und seien Sie dabei:
www.slac-2023.de
 
Wenn Sie noch tiefer in Themen rund um OpenLDAP einsteigen möchten, besuchen Sie eine der Schulungen von Stefan an unserer Heinlein-Akademie:

12.06. - 16.06.2023 openLDAP Advanced
09.10. - 13.10.2023 LDAP-Server

Übrigens werden die beiden Seminare nur noch mit OpenLDAP 2.5 / 2.6 durchgeführt.