Active Directory: Herausforderungen beim Umstieg von OpenLDAP auf 389 DS
LDAP-Verzeichnisdienste sind ein kritischer Bestandteil der IT. Weil fĂĽhrende Linux-Distributionen die Server-Implementierung wechseln, entsteht Handlungsdruck.
- Daniel Kobras
- Mark Pröhl
Alleine durch den hohen Verbreitungsgrad von Active Directory (AD) und dessen integrierte LDAP-Schnittstelle ist das seit den 1990er-Jahren entwickelte Protokoll heute praktisch allgegenwärtig. Zwar deckt AD viele Anforderungen rund um die Verwaltung von Benutzern bereits ab, doch damit sind die Einsatzmöglichkeiten von Verzeichnisdiensten wie LDAP längst nicht erschöpft. Benötigt eine Anwendung strikte Konformität zu LDAP-Standards, stößt AD mitunter an seine Grenzen. Auch hauseigene Objektklassen und Attribute spielen Administratoren erfahrungsgemäß nur widerwillig ins AD ein, denn solche Schemaerweiterungen sind dort nicht mehr rückgängig zu machen. Die bessere Alternative sind deshalb oft eigenständige, standardkonforme LDAP-Verzeichnisdienste mit applikations- und sitespezifischen Schemaerweiterungen.
Unter Linux heißt der Platzhirsch in diesem Bereich seit jeher OpenLDAP. Als Nutzer einer Distribution mit kommerziellem Support wie Red Hat Enterprise Linux (RHEL) oder SUSE Linux Enterprise Server (SLES) hatte man Zugriff auf OpenLDAP-Server-Pakete inklusive Bug- und Security-Fixes und konnte bei Problemen den Linux-Distributor in die Pflicht nehmen. Dies hat sich mit den jüngsten Major Releases dieser beiden Distributionen geändert: RHEL 8 liefert von OpenLDAP lediglich die Clientkommandos und Bibliotheken mit. Der OpenLDAP-Server slapd bleibt außen vor. Auch SUSE schlägt einen ähnlichen Weg ein: SLES 15 verbannt den OpenLDAP-slapd ins primär für Migrationszwecke gedachte Legacy-Modul und kündigt an, ihn nicht mehr über den kompletten Lebenszyklus von SLES 15 zu unterstützen. Stattdessen setzen beide Distributionen nun ganz auf den 389 Directory Server, kurz 389 DS – benannt nach dem TCP/IP-Standard-Port für LDAP.
Migration oder externer Support
Trotz gemeinsamer Wurzeln ist der Wechsel zwischen den Implementierungen für Administratoren keineswegs transparent. Betreiber von OpenLDAP-basierten Verzeichnisdiensten bleiben beim Distributionswechsel deshalb zwei Möglichkeiten, wenn ihr Verzeichnisdienst weiterhin Support erhalten soll: Sie können die technischen Migrationsaufwände klein halten, indem sie bei OpenLDAP bleiben und die Software zusätzlich zum Betriebssystem als separates Softwarepaket samt eigenem Support von einem Drittanbieter beziehen.
Das war die Leseprobe unseres heise-Plus-Artikels "Active Directory: Herausforderungen beim Umstieg von OpenLDAP auf 389 DS". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
