Abkündigung LDAP-Backend

[d.oertel]

Sehr geehrte opsi Anwender,

seit gut 4 Jahren (opsi 3.0) unterstützt opsi als ein mögliches Backend LDAP.
In dieser Zeit konnten wir einige Erfahrung mit dem Betrieb und der Pflege dieses Backends machen.
Aufgrund dieser Erfahrungen empfehlen wir schon seit einiger Zeit in unseren Schulungen, dieses Backend nicht mehr zu verwenden.

Die wesentlichen Gründe sind:

- Eine LDAP-basierte Datenhaltung ist hervorragend geeignet, wenig veränderliche Daten verteilt schnell zur Verfügung zu stellen. Sie ist
weniger dazu designed, um sehr bewegliche Daten zu halten. opsi erzeugt aber sehr bewegliche Datensätze, da z.B. jeder Webservicekontakt eines Clients mit dem Server einen Datensatz verändert.

- LDAP wird häufig als eine verteilte Datenhaltung verwendet.
opsi benötigt aber auch bei verteilten Lokationen nur eine zentrale Datenhaltung.
Bei einem opsi Backend in einem verteiltem LDAP erzeugt nun jede Veränderung eines Datensatzes einen LDAP Replikationsvorgang,
der diesen veränderten Datensatz an die anderen LDAP Lokationen verteilt.
Dort werden diese Daten aber nicht gebraucht und wir haben hier daher eine unnötige Netzlast. Weiterhin sollten aus
grundsätzlichen Sicherheitserwägungen heraus die opsi Daten nicht an Stellen vorliegen, an denen Sie nicht benötigt werden.

Seit opsi 4 liegt mit dem MySQL-Backend ein Backend vor, welches für größere Installationen besser geeignet ist als das LDAP-Backend.

Gleichzeitig hat sich die Pflege des LDAP-Backends als besonders aufwendig herausgestellt.

Vor diesem Hintergrund haben wir uns dazu entschlossen, das LDAP-Backend nicht mehr weiter zu entwickeln.

Das bedeutet konkret:

Das LDAP Backend wird zunächst in allen jetzt unterstützten Kombinationen von opsi 4.0.1 und der aktuellen Distribution weiter funktionieren.

Im Rahmen zukünftiger opsi Versionen, bei denen es zu Datenstruktur-Änderungen bzw. -Erweiterungen kommt, werden diese im LDAP-Backend nicht mehr eingepflegt.
Dies wird sicherlich bei der nächsten Major Release passieren, welche wir aber nicht vor Mitte nächsten Jahres erwarten (wir haben noch nicht damit angefangen).

Sollten bei neuen Distributionsversionen Änderungen am LDAP-Backend nötig sein, so wird das LDAP-Backend auf dieser neuen Version nicht mehr unterstützt werden.
So wird z.B. auf der kommenden Version des Univention Corporate Server (UCS) 3 das LDAP Backend nicht mehr unterstützt werden.

Wir hoffen, dass diese Entscheidung auf Ihr Verständnis stößt.

Beileidsbekundungen für das dahin scheidende Backend und Kritik gerne in diesem Thread posten.

Mit freundlichen Grüßen

detlef oertel

[SirTux]

Und wie sieht es dann mit der Freigabe des MySQL-Backends aus? Wird dieses vorzeitig geschehen? Oder werde ich als Privatnutzer von opsi4ucs gezwungen sein so lange auf der alten Version zu bleiben bis die Finanzierung weitesgehend abgeschlossen ist? Und wann ist mit opsi für UCS 3.0 eigentlich zu rechnen?

Und gibt es eigentlich Migrationswerkzeuge?

[ueluekmen]

Gleich so viele Fragen auf einmal.

Ich versuche diese mal einzeln zu beantworten:

Und wie sieht es dann mit der Freigabe des MySQL-Backends aus?

Diese Frage kann eigentlich nur ein Hellseher beantworten. Was natürlich jetzt sein kann und was wir auch implizit hoffen, dass die großen Installationen, die mit dem ldap-Backend gearbeitet haben nun auf mysql-backend umsteigen, was dieses Modul vielleicht schneller refinanziert, damit die Community dieses Modul schneller bekommt. Es liegt auch in unserem Interesse, das mysql-backend als Standard-Backend zu verwenden. (Würde zumindest einiges auch in der Entwicklung einfacher machen.) Allerdings ist das Wunschdenken, ersten es kommt anders und zweitens als man denkt.

werde ich als Privatnutzer von opsi4ucs gezwungen sein so lange auf der alten Version zu bleiben bis die Finanzierung weitesgehend abgeschlossen ist

Natürlich nicht, die opsi4ucs Pakete sind nicht zwingendermaßen an das univention-backend von opsi angewiesen. Diese Pakete arbeiten auch mit anderen Backends zusammen. Da Sie Privatnutzer sind und ein Kauf des ldap-Backends wahrscheinlich nicht aus der Haushaltskasse gezahlt werden kann, wird hier das file-backend übrig bleiben. Was Sie dann gleichsetzen würde, mit allen anderen opsi-Anwendern, die das mysql-backend nicht kaufen.

Und wann ist mit opsi für UCS 3.0 eigentlich zu rechnen

Da wir eng mit Univention zusammenarbeiten, sind wir auch über die Entwicklungsstände voneinander informiert. Das bedeutet, wir kriegen mit, wenn Univention etwas neues Entwickelt und umgekehrt. Allerdings kann man eine wirkliche Aussage dazu erst treffen, wenn der Release-Candidate von UCS 3.0 von univention freigegeben wird, worauf wir natürlich keinen Einfluss haben.

Und gibt es eigentlich Migrationswerkzeuge?

Gibt es bei uns in der Regel immer. Wenn es ein Upgrade von opsi ist. Da hier das Betriebssystem einem Upgrade unterzogen wird, können wir zur Migration von UCS 2.4 auf UCS 3.0 natürlich nichts sagen, diese Frage wäre in diesem Forum: http://forum.univention.de/ besser aufgehoben.

Vielleicht nochmal zusammenfassend, es ist eigentlich Standard, in solchen Umgebungen opsi Standalone zu betreiben. Ein Beispiel sind unsere Kunden und Anwender aus der Community, die Active Directory von Microsoft in Ihrer Infrastruktur einsetzen. Dort gab es nie eine Kopplung mit opsi. Dementsprechend sind wir der Meinung, dass auch solch ein Einsatz mit UCS-Systemen keine Ausnahmen bilden wird. Ob es irgendwann wieder eine echte Integration zwischen den beiden Systemen gibt, kann man jetzt noch nicht sagen. Wenn es allerdings einen intensiveren Integrationsversuch in der Zukunft gibt, wird es keine Lösung sein, dass opsi direkt im LDAP herum schreibt, sondern eher dass beide Systeme Eventbasiert auf Aktionen voneinander reagieren.

Ich hoffe ich konnte hier nicht nur Ihre Fragen, sondern vielleicht auch Fragen andere opsi4ucs-Anwender klären.