Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

Дональд Стюарт (Donald Stewart) в блоге проекта Mageia сообщил о том, что некий злоумышленник получил доступ к базе данных LDAP проекта и опубликовал имена, электронные адреса и хеши паролей пользователей, зарегистрированных на https://identity.mageia.org. Однако хэши были выложены в изменённом виде, поэтому руководство проекта Mageia не уверено, были ли скомпрометированы реальные пароли.

Как уверяет руководство проекта, все пароли хранятся в только виде хэша с использованием «соли», что существенно затрудняет восстановление злоумышленником паролей. Тем не менее, все пароли были сброшены, для восстановления доступа нужно воспользоваться сбросом забытого пароля. Привилегированные пользователи должны обратиться к администратору для восстановления доступа.

Руководство проекта Mageia приносит извинения за возможные проблемы и неудобства.

>>> Подробности

12 августа вышла новая версия ReOpenLDAP — форка общеизвестного OpenLDAP, с устранением массы ошибок и ряда доработок для стабильной работы репликации.

Эта версия, в некотором смысле, является юбилейной — 3 года с момента инициации проекта (публичный форк появился чуть позже). Всё это время ReOpenLDAP работает 24x7 в инфраструктуре ПАО МегаФон, обеспечивая высоконагруженную обработку запросов в multi-master кластере с full-mesh репликацией.

( читать дальше... )

>>> Релиз на github

30 ноября состоялся релиз ReOpenLDAP 1.1.4.

( читать дальше... )

Сейчас ReOpenLDAP работает в инфраструктуре всех филиалов ПАО МегаФон в России.

>>> Подробности

30 июля вышла очередная стабильная версия 1.1.2 проекта ReOpenLDAP. Основные изменения:

• Исправлена масса ошибок и недочетов, внесенных ранее при переходе на актуальные версии autoconf и automake. Этим завершен ряд доработок, необходимых для эффективного формирования пакетов «без костылей».
• Обнаружена и устранена ошибка в механизме репликации.
• Сборка дополнительных (contributed) модулей интегрирована и включается посредством configure-опции --enable-contrib.
• В configure также добавлены опции --enable-check, --enable-hipagut, --enable-valgrind и --enable-experimental.
• Переработана система логирования. Опции configure --enable-debug и --enable-syslog теперь полностью независимы.

ReOpenLDAP, также известный как «TelcoLDAP» — это форк OpenLDAP для применения в телекоммуникационной индустрии, с исправлением массы ошибок и работающей репликацией в мульти-мастер топологии.

Проект реализован для применения в инфраструктуре ОАО МегаФон — крупнейшего в России оператора мобильной связи. Сейчас ReOpenLDAP работает по всей России и доступен для всех как OpenSource с лицензией AGPL.

Осенью о проекте ReOpenLDAP планируются доклады на Highload++2016 и 13-й конференции разработчиков свободных программ.

Новости проекта можно отслеживать в Facebook, а статус Continuous Integration — в Twitter.

>>> Подробности

ReOpenLDAP — форк общеизвестного OpenLDAP, созданный в начале 2015 года с целью получения функциональной работоспособности и стабильности, достаточных для высоконагруженной промышленной (коммерческой) эксплуатации.

Одним из важнейших требований при этом является возможность построения кластера из 4 (2+2) или более узлов. В свою очередь это требует стабильной работы механизма синхронизации (репликации) по RFC4533 в режиме multi-master для full mesh топологии.

Однако, оригинальный OpenLDAP неработоспособен в такой конфигурации, механизм репликации просто теряет часть изменений, а в некоторых случаях может удалить все данные. Более того, неизвестно ни одного другого сервера LDAP, который бы корректно реализовывал RFC4533 с поддержкой multi-master и с приемлемой для эксплуатации производительностью.

Проблемы в исходной реализации синхронизации/репликации были замечены в августе 2015, и почти 9 месяцев было потрачено на их устранение.

Теперь все известные проблемы устранены, а драконовские тесты уже несколько дней показывают только стабильные результаты.

Поэтому мы готовы заявить, что в нашем ReOpenLDAP репликация/синхронизация для multi-master полностью работает как положено. И похоже, что это единственный сервер, пригодный для высоконагруженной промышленной (коммерческой) эксплуатации, причём с открытым исходным кодом.

>>> Исходный код (статус beta) на github

В ReOpenLDAP добавлена поддержка «кворума» при репликации и возможность ограничения syncrepl-сеансов, находящихся в стадии первоначальной синхронизации. В итоге это уменьшает время синхронизации multimaster-кластера при старте, одновременно существенно уменьшая пиковое потребление ресурсов (оперативной памяти и процессорного времени).

Такая синхронизации, или иначе говоря сверка записей в локальной базе с удаленной стороной, происходит всегда для refreshOnly режима и вначале refreshAndPersist. При этом механизм репликации syncrepl формирует и сверяет в памяти списки записей c удаленной стороны (через поставщика syncprov) и записей в локальной базе. Соответственно, именно в этот момент времени можно наблюдать пиковое потребление памяти и процессорного времени.

В кластере, состоящим из нескольких серверов работающих в режиме multi-master репликации, первоначальная синхронизация может одновременно выполняться несколькими экземплярами syncrepl. В этом случае потребление памяти и нагрузка на CPU могут быть в разы (10 и более раз) больше чем при штатной работе.

Проблема усугубляется тем, что при конкурентной первоначальной синхронизации каждый экземпляр syncrepl будет пытаться внести в локальную базу практически идентичные изменения. Соответственно, суммарно только один экземпляр syncrepl отрабатывает эффективно, а остальные просто в холостую, при этом мешая друг-другу. Особо это актуально при подключении к кластеру нового сервера с «пустой» базой.

Наши нагрузочные тесты показывают уменьшение потребление памяти в 2-5 раз и одновременно уменьшение времени синхронизации multimaster-кластера от 3 до 25 раз.

--

ReOpenLDAP — потомок общеизвестного OpenLDAP, но ориентирован на промышленную эксплуатацию в сфере телекоммуникаций (высокие нагрузки, высокая доступность, 24x7). Появился в результате консервативности целей родительского проекта, что выразилось в отказе меинтейнеров Symas Corp принимать изменения улучшающие качество кода и добавление новых возможностей.

Проект реализован силами компании Петер-Сервис R&D, резидента Сколково, для применения в телеком-проектах федерального масштаба.

Актуальная стабильная версия в ветке master на https://github.com/ReOpen/ReOpenLDAP.

Новая «фича» и опции её настройки описаны в русскоязычных man-страницах (пока только в русскоязычных), см. https://github.com/ReOpen/ReOpenLDAP/commit/4d9505532f8ac6f294ae780e33c4f495f...

>>> Проект на github

ReOpenLDAP — это форк OpenLDAP, который стал ответом на отказ принимать исправления, улучшающие качество кода (было убрано порядка 5000 предупреждений), и добавления новых функций. Причиной отказа являлась консервативность разработчиков исходного проекта при постановке целей.

Новая версия базируется на кодовой базе готовящегося к выпуску OpenLDAP 2.4.41, куда изначально направлялись все наши исправления.

Главное качество этой версии — работа без падений и без отказов сервиса под высокой нагрузкой с репликацией в кластере, что ранее было невозможно. В частности, исправлено 8 heisenbugs, которые существовали годами, особенно в коде репликации и LMDB-движке http://en.wikipedia.org/wiki/Lightning_Memory-Mapped_Database. Одному из багов официально почти 7 лет ;)

Добавленные функции позволяют держать нагрузку по изменениям в 2—10 раз больше оригинального OpenLDAP и до 50 — при наличии у системы хранения write-back кэша (проще говоря, RAID с батарейкой). Для точности следует отметить, что «без батарейки» производительность повышается в результате компромисса, за счет более редкой фиксации данных на диск.

>>> Подробности на github: Описание исправлений и новых фич, исходные тексты.

Команда разработчиков Zentyal анонсировала 14-го сентября выход релиза 2.2.

Zentyal, ранее известный под именем eBox Platform, — это своеобразный «серверный комбайн для чайников», то есть дистрибутив с простым и удобным интерфейсом, позволяющим создать свой Linux-сервер даже очень далёким от мира nix людям. Низкий порог вхождения для новичков в администрировании Linux достигается благодаря высокому уровню взаимной интеграции различных сетевых сервисов «из коробки» и продуманному подходу к проектированию инструментов управления.

Zentyal основан на Ubuntu 10.04.2 LTS, по существу добавляя к последнему свой собственный репозиторий пакетов, что не нарушает совместимость с родительским дистрибутивом. Принцип построения уникальной части дистрибутива от Zentyal Developers Team - модульный, благодаря чему на его основе можно настроить сервер практически любого назначения - начиная от простейшего файлохранилища или контроллера домена с интеграцией в LDAP и заканчивая SIP-шлюзом. По идеологии и принципу построения к числу близких аналогов Zentyal можно отнести, например, ClearOS (тоже «комбайн»), средство коллективной работы Zimbra и систему виртуализации Proxmox VE.

Итак, что нового, интересного есть в Zentyal 2.2?

( читать дальше... )

>>> Пресс-релиз

После весьма продолжительного периода ожидания (с середины июля прошлого года) и весьма непростого процесса тестирования, в ходе которого сроки релиза отодвигались несколько раз из-за выявленных ошибок в новом коде, OpenLDAP Project наконец официально объявил о выходе эпохального релиза OpenLDAP 2.4.24, рассеивающего все сомнения в здравии проекта.

OpenLDAP — самый популярный на сегодняшний день открытый сервер каталогов, который продолжает развиваться и совершенствоваться. Каждый новый релиз OpenLDAP добавляет функциональности, хотя изредка бывает, что и нарушает обратную совместимость.

Что же нового и интересного появилось в 2.4.24? Перечислим не всё, только основное:

• В клиентских утилитах OpenLDAP добавлено управление разделением LDIF-файла на строки. Причина той самой старой головной боли со «склеиванием» длинных строк в значениях атрибутов наконец устранена.
• Добавлена поддержка библиотеки MozNSS.
• slapcat стал способен читать даже проблемные базы (добавилась соответствующая опция).
• Бэкенд slapd-sql (чтение из SQL-баз и представление их данных в LDAP-каталоге) поддерживает даже очень длинные ключи.
• Добавлен оверлэй noopsrch: теперь можно быстро получить количество результатов поиска без считывания самих результатов.
• Новый оверлэй kinit позволяет самому серверу slapd получать для себя Kerberos-тикет и самостоятельно обновлять его. Протестирован пока только с MIT Kerberos, но, скорее всего, работает и с Heimdal.

Хотелось бы отметить, что в списке рассылки openldap-announce сообщение о выходе 2.4.24 пока не было опубликовано, а на официальном сайте ссылки на ChangeLog до сих пор не обновлены, так что, как это ни странно, актуальный файл CHANGES можно получить только скачав тарболл с исходным кодом.

>>> Скачать

В этом релизе были добавлены следующие возможности:

• Модуль аудита позволяет вести полный мониторинг и выдавать отчетность обо всех модификациях через веб-интерфейс MMC. Это позволяет администраторам знать, кто, что и когда сделал. В нем отражаются: изменения в LDAP, все изменения файловой системы и управление сервисами (остановка, запуск и пр.);
• Новый модуль политик паролей LDAP делает возможным применение к паролям пользователей правил: полнота, минимальный размер, возраст валидности и т.п.;
• Новые модули, поддерживаемые сообществом: массовый импорт/обновление пользователей через файл CSV, задание дисковых и сетевых квот пользователя;
• Поддержка LDAP TLC;
• Поддержка PowerDNS LDAP;
• Новый модуль управления атрибутами публичных ключей пользователя OpenSSH LPAD.

>>> Подробности

Calculate Directory Server (CDS) - это свободный дистрибутив на базе Gentoo, представляющий собой LDAP-сервер для централизованного хранения настроек приложений, профилей и настроек пользователей, прав доступа в едином сетевом хранилище.

Основные изменения:
1. Добавлена поддержка настройки DNS утилитами Calculate 2. Используется Bind c поддержкой LDAP sdb (simplified database interface). Добавлены новые утилиты: cl-dns-recadd, cl-dns-recdel, cl-dns-recmod, cl-dns-zoneadd, cl-dns-zonedel, cl-dns-zonemod.
2. Добавлена поддержка настройки DHCP утилитами Calculate 2. DHCP сохраняет полные доменные имена подключенных компьютеров в LDAP-директории DNS. Добавлены новые утилиты: cl-dhcp-hostadd, cl-dhcp-hostdel, cl-dhcp-hostmod, cl-dhcp-netadd, cl-dhcp-netdel, cl-dhcp-netmod.
3. Добавлена поддержка интерактивной сборки системы с внесением изменений в состав livecd образа либо squashfs файл на флешке.

Загрузить:
http://www.calculate-linux.ru/Download
CDS 9.9: i686 - 577 MB, x86_64 - 614 MB

>>> Анонс

20 и 21-го сентября в рамках организованной LinuxFoundation конференции LinuxCon 2009 пройдёт форум LDAPCon 2009. Место проведения - отель «Portland Marriott Downtown Waterfront», город Портланд, штат Орегон, США.

Официальный анонс мероприятия

2-я интернациональная Конференция по LDAP (LDAPCon 2009) - это технический форум для IT специалистов, интересующихся LDAP-технологиями и всем, что с ними связано: серверы каталогов, приложения для управления каталогами, управление аутентификацией и контролем доступа, мета-каталоги. 1-я интернациональная Конференция по LDAP прошла в 2007 году в Германии.

LDAPCon 2009 будет акцентирована на реализации и интеграции LDAP-серверов и LDAP-совместимых приложений. Данное мероприятие предоставляет отличную возможность встретиться поставщикам и разработчикам ПО, активным и будущим участникам LDAP-сообщества с целью обмена полезной информацией и накопленным опытом в области стратегий развёртывания и обслуживания каталогов, взаимодействия серверов и приложений, обсуждения возможностей применения LDAP в новых проектах, получения информации о самых современных тенденциях и разработках в области LDAP-технологий.

Язык конференции - английский.

>>> Официальный анонс (англ.)

Как обычно тихо и незаметно всем подписчикам списка рассылки openldap-announce свалилось на почту новое счастье - сообщение о выходе OpenLDAP версии 2.4.17!
Традиционно для "нечётной" версии разработчики в основном акцентировали своё внимание на исправлении ошибок и недоделок, найденных пользователями с момента релиза 2.4.16, но... есть-таки и новые приятные вещи:

• Теперь у нас будет замечательная утилита проверки корректности текущей схемы (разумеется, работает и с динамическим древом cn=config)
• У модуля, способного сделать из вашего LDAP-каталога подобие "Матрицы" (влияющего на все операции чтения/записи) - slapo-rwm, - теперь появилась опция rwm-drop-unrequested-attrs
• А поддержка мега-API SASL, о существовании которого OpenLDAP нам, кажется, уже никогда не даст забыть, расширилась и углубилась благодаря опции auxprop отсеивающей ненужные SASL-плагины.

>>> ChangeLog

Назначение

Calculate Directory Server - это свободная операционная система на базе Gentoo Linux, представляющая собой LDAP-сервер для централизованного хранения настроек приложений, профилей и настроек пользователей, прав доступа в едином сетевом хранилище.

Возможности:
• Центральная авторизация пользователей с хранением настроек сеанса на сервере.
• Удобное администрирование через unix-подобные команды.
• Поддержка хранения в LDAP учетных записей samba, mail, ftp, jabber и proxy сервисов.
• Поддержка репликация почтовых и samba серверов.
• Централизованное обновление серверов и рабочих станций.
• Создание резервных копий учетных записей с настройками приложений и восстановление из них.
• Возможность работать с livecd с полной загрузкой в память.
• Поддерживаемые языки: английский, испанский, немецкий, португальский, итальянский, русский, украинский, польский и французский.
• Поддерживается установка на HDD и USB-HDD с файловой системой: ext4, ext3, ext2, reiserfs, xfs и jfs.

Основные изменения
• Все дополнительные пакеты собираются из ebuild файлов Calculate Overlay. Таким образом Calculate Directory Server на 100% совместим с Gentoo.
• Добавлена поддержка итальянского и польского языков.
• Добавлена поддержка настройки Proxy сервиса с авторизацией пользователей в LDAP. Группа пользователя при этом определяет диапазон доступных портов.
• Добавлена поддержка настройки Samba групп в LDAP сервере.
• Добавлена поддержка настройки нескольких хостов Jabber сервиса.
• Для загрузки с DVD используется isolinux.
• Добавлен выбор раскладки клавиатуры при загрузке с CD.
• Добавлена поддержка загрузки с CD в память с извлечением диска.
• Размаскировка нестабильных версий программ выполнена с учетом последней доступной на момент сборки версии.
• Улучшена совместимость при загрузке с USB DVD привода.

Состав: Bind 9.4.3-P2, Kernel 2.6.28.10, OpenLDAP 2.4.16, Postfix 2.5.5, ProFTPD 1.3.2, Samba 3.0.33.

Обновление
Для обновления предыдущей верии Calculate Directory Server, обновите установщик Calculate до версии 1.1, после чего можно установить систему из 7z архива.

>>> Подробности

В статье объясняется, как эффективным образом настроить службу IBM® Network Authentication Service (IBM NAS) на работу с протоколом LDAP (Lightweight Directory Access Protocol, облегченный протокол доступа к каталогам) в AIX®, что позволит сделать вашу Kerberos-среду максимально надежной и масштабируемой. Показано несколько способов установки гибкой и одновременно стойкой Kerberos-среды.

>>> Подробности

В этом руководстве Шон Уолберг поможет вам подготовиться к экзамену института Linux Professional Institute на квалификацию профессионала Linux высокого уровня (LPIC-3). В этом руководстве, автор расскажет о том, как следует выполнять поиск по дереву каталога LDAP и использовать утилиты командной строки. Также вы узнаете о том, как необходимо настраивать Microsoft Outlook для выполнения запросов к вашему серверу LDAP.

>>> Подробности

В этой статье автор расскажет о конфигурировании сервера LDAP (Lightweight Directory Access Protocol), включающем в себя настройку списков контроля доступов, обеспечение безопасности и оптимизацию. Также узнаете о синтаксисе управления доступом, как предоставлять и отзывать права доступа LDAP.

>>> Подробности

В этом руководстве автор расскажет об установке и настройке сервера LDAP (Lightweight Directory Access Protocol), а также о написании сценариев Perl для доступа к данным каталога. Прочитав руководство, вы узнаете о программировании, установке и настройке сервера LDAP.

>>> Подробности

В первом номере журнала «Системный администратор» за 2008 год был опубликован обзор сервера каталогов FDS 1.1. "Когда говорят о проекте Fedora, в первую очередь имеют в виду одноименный дистрибутив операционной системы Linux. Однако, в рамках Fedora Project идет работа не только над Fedora Linux, но и над рядом смежных проектов. Об одном из них – Fedora Directory Server, очередная версия которого вышла в начале января этого года – и пойдет речь." Обзор размещен с разрешения редакции.

>>> Краткий обзор