LINUX.ORG.RU

В ReOpenLDAP репликация в multi-master топологии полностью работает

 , , , ,


3

6

ReOpenLDAP — форк общеизвестного OpenLDAP, созданный в начале 2015 года с целью получения функциональной работоспособности и стабильности, достаточных для высоконагруженной промышленной (коммерческой) эксплуатации.

Одним из важнейших требований при этом является возможность построения кластера из 4 (2+2) или более узлов. В свою очередь это требует стабильной работы механизма синхронизации (репликации) по RFC4533 в режиме multi-master для full mesh топологии.

Однако, оригинальный OpenLDAP неработоспособен в такой конфигурации, механизм репликации просто теряет часть изменений, а в некоторых случаях может удалить все данные. Более того, неизвестно ни одного другого сервера LDAP, который бы корректно реализовывал RFC4533 с поддержкой multi-master и с приемлемой для эксплуатации производительностью.

Проблемы в исходной реализации синхронизации/репликации были замечены в августе 2015, и почти 9 месяцев было потрачено на их устранение.

Теперь все известные проблемы устранены, а драконовские тесты уже несколько дней показывают только стабильные результаты.

Поэтому мы готовы заявить, что в нашем ReOpenLDAP репликация/синхронизация для multi-master полностью работает как положено. И похоже, что это единственный сервер, пригодный для высоконагруженной промышленной (коммерческой) эксплуатации, причём с открытым исходным кодом.

>>> Исходный код (статус beta) на github



Проверено: Pinkbyte ()
Ответ на: комментарий от snaf

Ну конечно идею лучше никто так и не рассказал...

Могу и рассказать. Какая область интересует? Телеком? Что конкретно? Бэкенд для радиус сервера?

zloelamo ★★★ ()
Ответ на: комментарий от snaf

Если помечтать, то я бы использовал redis в качестве базы и собственную реализаюцию радиус сервера. Но жизнь дерьмовая штука и почти во всех биллингах, что я видел используют sql базы, а логику либо выносят в радиус сервер, либо херачат на plsql.

zloelamo ★★★ ()
Ответ на: комментарий от zloelamo

nosql прогнозируемый ответ. но зачем изобретать лисапед?

к тому же ldap живёт далеко не только «оставшись в AD». Да и этот факт можно считать успехом, ведь ldap (или конкретно, АДъ) только инструмент, главное это приложения, которые им пользуются для хранения и запроса данных. AD юзает как Венда, так и другой софт от некрософта, и совершенно сторонние программы. Это ли не успех? «LDAP-enabled» бывает самый разнообразный софт, в т.ч. редкий/кастомный и т.д. Мыло отлично завязывают на ldap от Зимбры до standalone компонентов. в Макоси разве аж по дефолту учетки не хранятся в каталоге? Не стоит забывать Edirectory (вот в конторе где я оно есть) да и многое другое.

Короче, ldap это хорошо, надо уметь его готовить.)

ЗЫ ldap (open по крайней мере) умеет в разные backend'ы хранения, в т.ч. этот самый LMDB, который и пилит/пиарит скрипач. Чем оно хуже всяких хипсторских nosql'ей?

mos ★★★★★ ()
Последнее исправление: mos (всего исправлений: 3)
Ответ на: комментарий от mos

Короче, ldap это хорошо, надо уметь его готовить.)

Тараканов тоже надо уметь готовить, но как-то не хочется.

Это ли не успех?

Пожалуй да, но чем дальше тем меньше таких приложений. Зимбра неплохо вяжется с ldap/ad, но кто ещё? Dovecot даёт такую возможность, exim ... лучше бы не давал падла. С клиентами тоже не все слава богу. Например Thunderbird может хранить адресную книгу в ldap, но требует свою схему данных, которую кроме него никто не поддерживает.

Большинство приложух не из мира Виндовс используют ldap чисто для аутентификации, что явно из пушки по воробьям. Видал приложения, в которых пользователя нужно руками заводить в систему и только тогда он сможет логиниться через ldap? Я видел - печальное зрелище.

zloelamo ★★★ ()
Ответ на: комментарий от zloelamo

Зимбра неплохо вяжется с ldap/ad

Видал приложения, в которых пользователя нужно руками заводить в систему и только тогда он сможет логиниться через ldap?

мне не хочется вас расстраивать, но...

snaf ★★★★★ ()
Ответ на: комментарий от snaf

Зимбра неплохо вяжется с ldap/ad

Ну она мне по легендам известна. Там тоже так?

zloelamo ★★★ ()
Ответ на: комментарий от zloelamo

создаётся пользователь. Потом он привязывается с ldap-ом. Связь односторонняя. Из Зимбы пароль пользователя нельзя изменить.

snaf ★★★★★ ()
Ответ на: комментарий от zloelamo

Куча софта на самом деле. Неохота всё перечислять. От сурово юниксового (automounter, sudo, kerberos, apache, bind, шапковый FreeIPA и многие подобные юзают как для аутентификации/авторизации, так и хранят там свою инфу/конфиги) до таких вещей как всякие продукты Citrix или VMWare, не говоря уже про бимерский софт. Да и та же аутентификация - логичная фича, единый аккаунт для разного софта (если он конечно не требует какой-то извращенной схемы, ни с чем не совместимой). Календари опять же всякие. Дофига. Наверняка есть и кастомный софт.

mos ★★★★★ ()
Последнее исправление: mos (всего исправлений: 1)
Ответ на: комментарий от anonymous

А как же Oracle LDAP? На нем и репликация есть и стабильность.

это который, SunDS-<iPlanet<-NDS? шлак тот еще. репликация есть, мультимастера толком нет.

val-amart ★★★★★ ()
Ответ на: комментарий от DRVTiny

И LDAP != OpenLDAP ни в коем разе: в nix'ах с незапамятного 2000-го года существовали как миниум 2 альтернативы (Netscape iPlanet разделился на 2 части).

… ни одна из которых не может толком в мультимастер.

val-amart ★★★★★ ()
Ответ на: комментарий от zloelamo

Не, зачем радиус. Интересна система авторизации для различных приложений: как почтовый сервер, xmpp, httpd, различные веб приложения, может быть авторизация на рабочем месте. Такая, для которой у ПО уже есть готовые модули.

Единая центральная авторизация хороша тем, что не надо для каждого ПО создавать своих пользователей. Для ldap у многих программ такие модули уже есть.

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

Там речь шла непосредственно о биллинговых системах.

zloelamo ★★★ ()
Ответ на: комментарий от Manhunt

Re: Будьте так любезны, почините уже этот тег [pre], что, сложно что-ли?

Ответ на комментарий:

полить владельцев и создателей сайта говном

Масло масляное, в этом нет никакой необходимости.

#FlameApril12

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.