The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз LDAP-сервера ReOpenLDAP 1.1.7

24.02.2018 10:38

Состоялся релиз LDAP-сервера ReOpenLDAP 1.1.7, в рамках которого развивается форк проекта OpenLDAP, в котором проведена работа по устранению ошибок и внесению улучшений для стабильной работы репликации. Проект ориентирован на надежность и производительность при использовании в решениях с высокой нагрузкой и промышленных системах в сфере телекоммуникаций.

ReOpenLDAP уже применяется в инфраструктуре ПАО МегаФон, обеспечивая высоконагруженную обработку запросов в multi-master кластере с full-mesh репликацией, демонстрируя производительность на уровне 10 тысяч обновлений и 25 тысяч операций поиска в секунду на наборе данных 100 млн записей (100 Гб данных). В новом выпуске добавлен перевод системных руководств на русский язык, обеспечена поддержка привязки открытых ключей (PKP, Public key pinning), удалён ldap_pvt_thread_rmutex, добавлен рекурсивный POSIX мьютекс для libevent, реализована функция ldap_connect().

Причиной создания форка является отказ включения в основной состав OpenLDAP ряда исправлений из-за желания сохранения совместимости с устаревшими Си-компиляторами (совместимость с компиляторами без поддержки вариативных макросов, которые появились в стандарте C99, нарушалась лишь в одном патче из большой серии исправлений). После форка ветка ReOpenLDAP master поддерживается в стабильном состоянии и соответствует OpenLDAP/2.4.x, с добавлением отдельных доработок из OpenLDAP/master. Ветка ReOpenLDAP next соответствует следующей версии OpenLDAP/2.5.x.

Особенности ReOpenLDAP:

  • Корректная и надёжная работа репликации в режиме multi-master;
  • Команда "reopenldap [iddqd] [idkfa] [idclip]";
  • Новые настройки:
    • quorum { [vote-sids ...] [vote-rids ...] [auto-sids] [auto-rids] [require-sids ...] [require-rids ...] [all-links] }
    • "quorum limit-concurrent-refresh
    • "biglock { none | local | common }
    • syncprov-showstatus { none | running | all }
    • crash-backtrace on|off
    • coredump-limit {mbytes}
    • memory-limit {mbytes}
  • Модернизация хранилища mdbx для повышения масштабируемости и улучшения репликации;
  • Поддержка срезов состояния (checkpoint) при изменении раздела или по таймеру;
  • Поддержка опции requirecheckpresent для syncrepl;
  • Поддержка настройки keepalive для входящих соединений;
  • Встроенная система проверки памяти с поддержкой ls-malloc;
  • Пригодность для отладки в AddressSanitizer и Valgrind;
  • Возможность применения оптимизации на стадии компоновки (LTO, Link-Time Optimization) при сборке в GCC и Clang;
  • Поддержка OpenSSL 1.1.x, Mozilla NSS, GnuTLS и LibreSSL 2.5.x;
  • Перенос всех исправлений из веток openldap/master и openldap/2.4;
  • Большое число исправлений, связанных с репликацией;
  • Устранено около 5 тысяч предупреждений при сборке в GCC/clang и 1 тысяча предупреждний при проверке в ThreadSanitizer
  • Устранено большинство утечек памяти;
  • Решены проблемы, выявленные статистическими анализаторами PVS-Studio и Coverity.


  1. Главная ссылка к новости (https://github.com/leo-yuriev/...)
  2. OpenNews: Доступен ReOpenLDAP 1.1.6, форк проекта OpenLDAP
  3. OpenNews: OpenDJ - новый открытый LDAP-сервер, продолживший развитие Sun OpenDS
  4. OpenNews: Доступен модуль авторизации LDAP для nginx (nginx-auth-ldap)
  5. OpenNews: Релиз свободного LDAP-сервера Mandriva Directory Server 2.4.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48136-reopenldap
Ключевые слова: reopenldap, ldap
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 10:54, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Зочем вы форсите это ПО?
     
     
  • 2.3, Аноним (-), 11:22, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Это один из наиболее интересных отечественных проектов последнего времени.
     
     
  • 3.4, Аноним (-), 11:38, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сейчас постгресу было обидно.
     
     
  • 4.6, Anonim (??), 11:45, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А чего обидно-то? Сказано же "один из".
     
  • 4.10, Аноним (-), 14:55, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    постгрес на рассэйский а международный!
     
  • 4.25, KonstantinB (ok), 02:49, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Постгрес "отечественный" в той же степени, в какой, скажем, Линукс.

    А если это про Постгрес-про - а чего там такого интересного-то?

     
     
  • 5.50, funny.falcon (?), 22:50, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    PostgresPro основали люди, запилившие в свое время весомую часть возможностей, делающих эту СУБД такой интересной.
    Компания активно участвует в сообществе и дальнейшем совершенствовании PostgreSQL.
     
  • 3.12, Аноним (-), 15:38, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А где почитать о его интересности? Заменит ли оно ад или виндус сервер включат в реестр расейского ПО следом за сапом?
     
     
  • 4.20, Michael Shigorin (ok), 22:57, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А где почитать о его интересности?

    См. выше.

     
  • 4.26, KonstantinB (ok), 02:54, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почитать тут:
    https://github.com/leo-yuriev/ReOpenLDAP/wiki
     
  • 4.38, Аноним (-), 21:44, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    См. ниже.
     
  • 3.18, пох (?), 20:56, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Это один из наиболее интересных отечественных проектов последнего времени.

    и что в нем такого интересного,кроме того что оно работает в мегафоне?

    Я вот вижу неумение разработчиков внятно описывать, что и зачем вообще они сделали (ну, или нежелание) и "only linux". С моей точки зрения - "расходимся, смотреть не на что". По крайней мере, пока не нанялись админом в мегафон.

     
     
  • 4.19, EHLO (?), 22:06, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это один из наиболее интересных отечественных проектов последнего времени.
    > и что в нем такого интересного,кроме того что оно работает в мегафоне?

    Впервые успешно продемонстрировали, что можно из микроскопа сделать отбойный молоток.

    Упорство 🐿️ изобретательность.


     
     
  • 5.22, Michael Shigorin (ok), 23:09, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Впервые успешно продемонстрировали, что можно из микроскопа

    В качестве микроскопа субъективно даже 389ds с его плагинами больше подходит...

     
  • 4.21, Michael Shigorin (ok), 22:58, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и что в нем такого интересного,кроме того что оно работает в мегафоне?

    _работает_.

     
     
  • 5.23, пох (?), 23:59, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну мы ж даже не знаем, за счет чего - может за счет того что быстро-быстро поднятое упавшим не считается.

    Вариант хороший для мегафона но не очень - для нас - оно таки работает как нада, и они выкинули проект в паблик потому что правила хорошего тона, не говоря уж о лицензии, да и с гитхабом самим работать удобнее чем с наколенной его копией, но вовсе не для того, чтобы им пользовался кто-то еще.
    Вариант плохой и для мегафона, и, к сожалению, весьма вероятный - код написан так же плохо как и сопроводиловка, а документация - "в голове у разработчиков".

    Ну просто потому что люди, ТАК пишущие документ на тринадцать строк, скорее всего так же напишут и любой другой. А при этом трудно ждать и от кода чудес.

     
     
  • 6.29, Ю.Т. (?), 08:24, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну просто потому что люди, ТАК пишущие документ на тринадцать строк, скорее
    > всего так же напишут и любой другой. А при этом трудно
    > ждать и от кода чудес.

    Эта логическая связь (с переходом к качетсву собственно ПО) небезупречна.
    Наших никогда толком *не учили* насчёт документации. А западные точно так же *не любят* её делать.

     
  • 6.40, Клыкастый (ok), 10:34, 26/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > может за счет того что быстро-быстро поднятое упавшим не считается

    если вы про мультимастер так, про CARP и прочее, то спешу обрадовать: то ПО, которое так не умеет вообще не впилось в продакшене.

     
  • 6.43, _ (??), 19:35, 27/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >А при этом трудно ждать и от кода чудес.

    пох - не выЁживайся - сходи и посмотри. Оно не Пушкин, но тля!!! 10Кзаписей в лдап с гарантией надёжности на стандартном ... скажем не всякому дано, а тут - из коробки :-р

    Хотя мне верить нельзя, я его не пользую.

     
  • 5.24, Аноним (-), 01:44, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > _работает_.

    Очень интересно, тестирует ли мегафон свой софт столь же "хорошо" как и биллинг. Так, глядя на то что биллинг откаблучивает если случайно в него палочкой тыкнуть.

     
  • 4.34, Леонид Юрьев (?), 14:40, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Это один из наиболее интересных отечественных проектов последнего времени.

    Ну я бы не был столь категоричным, ибо там столько унаследованного гoвнoкoда, что мне "на три пенсии" хватит :)

    Тем не менее, это пример как можно "взять и сделать, придя со стороны" в ситуации, когда авторы исходного проекта не смогли (не подписались на SLA).


    > и что в нем такого интересного,кроме того что оно работает в мегафоне?

    Слова "работает в инфраструктуре мегафона" - это просто о том, что проект был доведен до промышленной кондиции, т.е. это не про "интересность", а про "кондицию".

    > Я вот вижу неумение разработчиков внятно описывать, что и зачем вообще они
    > сделали (ну, или нежелание) и "only linux". С моей точки зрения
    > - "расходимся, смотреть не на что". По крайней мере, пока не
    > нанялись админом в мегафон.

    Я вас уверяю, в описании проекта и его wiki на github дан разумный объем информации. Больше стоит только ради денег/маркетинга, но это (imho) не окупится и (пока) в планы не входит. Тем мне менее, тут два момента:

    1) В сети уже есть достаточно информации "что, зачем и почему". Для примера слайды с осенней конфы в Брюсселе = https://ldapcon.org/2017/wp-content/uploads/2017/08/1_ReOpenLDAP-LDAPCON-2017. Кроме этого еще есть слайды, тезисы, видео с трех Альтовых конференций в Калуге.

    2) Любая новая информация будет игнорироваться также, как и уже доступная. Причина достаточно проста - мало кто сейчас нуждается в "большом LDAP" с multi-master репликацией (синхронизацией содержимого по RFC4533). Соответственно, подавляющему большинству примерно "пофигу" где оно работает, а где нет.

     
     
  • 5.44, _ (??), 19:43, 27/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Причина достаточно проста - мало кто сейчас нуждается в "большом LDAP" с multi-master репликацией

    Леонид - респект!
    Увы но скорее всего ты прав.
    Лично мне это нужно было в 2007-9. А потом мы OpenLDAP перестали пользовать для реально больших каталогов... А _не_ Open* (NDS) - стоил как паравоз отлитый из золота :(
    А вот были бы вы - тогда, может и не перестали бы скотинку мытарить :-)

     

  • 1.8, Аноним (-), 13:08, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Парсер конфигов можно сделать дружелюбнее?
     
     
  • 2.36, Леонид Юрьев (?), 15:15, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Парсер конфигов можно сделать дружелюбнее?

    Зачем?

    Сейчас есть:
    - текстовые conf-файлы
    - config-backend с LDAP-интерфейсом.

    Это все хорошо описано, как в man-страницах, так и в книгах.
    Любой третий вариант только увеличит энтропию и не нужен без документации.

    Если вы имеете в виду переписать исходный код парсера, то логично начать переписывать весь код...

     
     
  • 3.39, Аноним (-), 10:03, 26/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    За этим https://github.com/vstakhov/libucl/blob/master/doc/api.md#description
    Отдавать конфиги с REST интерфейсов или получать в удобном стиле.
     
     
  • 4.41, Леонид Юрьев (?), 10:57, 26/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > За этим https://github.com/vstakhov/libucl/blob/master/doc/api.md#de...
    > Отдавать конфиги с REST интерфейсов или получать в удобном стиле.

    Это ответ на "Как?"
    Однако сначала нужен внятный ответ на "Зачем?"

     

  • 1.9, anomymous (?), 13:49, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А не из-за этого счастья случайно у них периодически мобильный инет отваливается, пока режим сети туда-сюда не сменишь? xD
     
     
  • 2.27, KonstantinB (ok), 02:58, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И на чем же основано такое, кхм, странное предположение?

    С таким же успехом можно предположить, что он отваливается из-за конфигурации 1С у главного бухгалтера.

     

  • 1.11, ZloySergant (ok), 15:00, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Команда "reopenldap [iddqd] [idkfa] [idclip]";

    ЧИТЕРЫ!!!

     
  • 1.13, Аноним (-), 15:38, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Человеческий конфиг так и не вернули?
     
  • 1.14, пх (?), 17:25, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Помню, один чел из Мегафона мне жаловался, что у него редхатовский ipa server под нагрузкой протухает а саппорт не чешется. Видать, послали лесом красношляпу, переехали на реопен этот
     
     
  • 2.31, Аноним (-), 10:22, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Freeipa внутри конечно содержит 389ds, но использовать её в качестве простого ldap-сервера это верх глупости, на мой взгляд. Так что всё правильно, что с неё переехали, правда не обязательно надо было OpenLDAP для своего переезда корячить.
     

  • 1.15, Аноним (-), 18:50, 24/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >  Команда "reopenldap [iddqd] [idkfa] [idclip]";

    Это примерно так?
    - Хочу сегодня побыть админом мегафона! :)
    - И баланс счета анлимный! :)
    - А вот еще дампы Ki хочется, чтоб во все двери проходить. И чтоб СБ не поимела!

     
     
  • 2.17, annual slayer (?), 20:04, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    мне кажется, эти команды добавили  просто чтобы повысить обсуждаемость релиза в новостях :D


    иначе любопытно было бы знать, что они делают

     
     
  • 3.33, noname.htm (ok), 12:33, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    reopenldap [iddqd] [idkfa]
    Управляет специфичными для ReOpenLDAP флагами и режимом совместимости
    с исходным OpenLDAP. Надеемся, Вы оцените нашу дань борьбе с монстрами
    и прочей нечистой силой в начале 90\-х.

    Подробнее:
    https://github.com/leo-yuriev/ReOpenLDAP/blob/b6b66fcdfd6f2464b9088c0ac6289001

    Про idclip в документации ничего не нашлось. Вот кусочек из кода:
    /* LY: entryUUID and entryCSN are required in 'idclip' mode */

     
     
  • 4.35, Леонид Юрьев (?), 15:02, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > reopenldap [iddqd] [idkfa]
    > Управляет специфичными для ReOpenLDAP флагами и режимом совместимости
    > с исходным OpenLDAP. Надеемся, Вы оцените нашу дань борьбе с монстрами
    > и прочей нечистой силой в начале 90\-х.
    > Подробнее:
    > https://github.com/leo-yuriev/ReOpenLDAP/blob/b6b66fcdfd6f2464b9088c0ac6289001
    > Про idclip в документации ничего не нашлось. Вот кусочек из кода:
    > /* LY: entryUUID and entryCSN are required in 'idclip' mode */

    idclip включает некий более "строгий режим" во всяческой логике связанной с репликацией (git grep reopenldap_mode_strict).
    В 2016 в документацию его включать не стали по причине незаконченности, а потом забылось честно говоря.
    Незаконченность же в том, что эти более строгие проверки несовместимы с некоторыми режимами работы и/или оверлеями (подключаемыми модулями).


    https://github.com/leo-yuriev/ReOpenLDAP/issues/156

     

  • 1.28, Аноним (-), 05:25, 25/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждемс дистрибутива ReIPA Server с этим всем добром из коробки и отечественной криптографией!
     
     
  • 2.32, Аноним (-), 10:27, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ждемс дистрибутива ReIPA Server с этим всем добром из коробки и отечественной
    > криптографией!
    >На конференции «CRYPTO 2015» Алекс Бирюков, Лео Перрин и Алексей Удовенко представили доклад, в котором говорится о том, что несмотря на утверждения разработчиков, значения S-блока шифра Кузнечик и хэш-функции Стрибог не являются (псевдо)случайными числами, а сгенерированы на основе скрытого алгоритма, который им удалось восстановить методами обратного проектирования[6].

    Товарищь маёр, википедия(запрещённая в роиссе террористическая организация) всю малину портит.

     

  • 1.30, лютый жабист__ (?), 08:51, 25/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть сведения что используется в билайне, мтс? У буржуев?
     
     
  • 2.37, буржуй (?), 16:47, 25/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у нас вообще не-ldap-based pcrf. но мы так и не вышли на рабочие мощности, поэтому хз, не рухнул бы он под нагрузкой.

     

  • 1.42, Аноним (-), 18:25, 26/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это случайно не из-за этого чудного софта у МегаФона блокируется доступ на сайт bank.megafon.ru?

    Так хорошо заблокировался, что техподдержка МегаФон уже с сентября 2017 года кормит меня завтраками, что мол для решения проблемы требуется привлечение дополнительных подразделений. Звонки в колл-центр не помогают. Электронные заявки не помогают. Письменные заявки оставленные в салонах связи МегаФон не помогают.

    Федеральная компания решает проблему с блокировкой аккаунта у клиента полгода. Конца и края этому не видно. Это просто п....ц какой-то. :) Пальма первенства самой совковой компании теперь не у Почты России, а у компании МегаФон!!!

     
     
  • 2.45, _ (??), 19:59, 27/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему ты терпишь и платишь, вместо того чтобы уйти к кому то ещё? 8-о
    Либо ты терпила-платила :)))) Либо вбрасываешь. Ъ.
     
     
  • 3.48, Аноним (-), 07:20, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему ты терпишь и платишь, вместо того чтобы уйти к кому то ещё? 8-о
    > Либо ты терпила-платила :)))) Либо вбрасываешь. Ъ.

    Вы уважаемый весьма ограничено мыслите. Симка МегаФон была куплена с определенной целью.

     
  • 2.46, Аноним (-), 21:37, 27/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Федеральная компания решает проблему с блокировкой аккаунта у клиента полгода.

    Базы и биллинг у остальных примерно такие же, как и саппорт. Поэтому народ забил и наслаждается, используя баги в свою пользу. Сам понимаешь, баги в обе стороны бывают. Так что налетев на глюки не спеши чертыхаться, баг может оказаться фичой.

     
     
  • 3.47, Аноним (-), 06:50, 28/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не, там другая канитель. Полная история выглядит так.

    В феврале прошлого года они давали кешбек 15% при покупке планшетов в салонах связи МегаФон. Условие было купить планшет и заплатить за него банковской картой МегаФон. Я купил симку, оформил банковскую карту и тут же в салоне загнал на баланс симки нужную сумму для покупки планшета, а следом уже расплатился за планшет банковской картой МегаФон. Продавец обещал, что кешбек вернется на баланс симки в течение 45 дней.

    Я потом забил на это и вспомнил где-то весной про эту операцию. Через личный кабинет на сайте bank.megafon.ru оставил претензию к транзакции с просьбой вернуть кешбек за покупку. В августе 2017-го саппорт вдруг очухался и прислал SMS, что они готовы вернуть кешбек, но типа у меня нет карты, на которую они бы могли его вернуть. Я малость опешел, т. к. карта у меня была и она работала. И до сих пор, кстати, работает без проблем.

    При попытке войти на сайт bank.megafon.ru выяснилось, что доступ мне, или специально прикрыли, или что-то у них там сломалось. Короче доступа к bank.megafon.ru у меня нет. Тогда я через колл-центр объяснил, что они не правы. Назвал номер банковской карты МегаФон. И пошло-поехало. Открывал тикеты через колл-центр, через основной мегафоновский сайт, писал претензии в салонах, но воз и ныне там. В настоящий момент доступ на сайт bank.megafon.ru заблокирован, кешбек не вернули. Сим-карта работает, банковская карта работает.

    Вот таким мошенничеством занимается МегаФон на просторах нашей необъятной страны по среди белого дня. Ну либо в МегаФоне полный мрак и бардак, и никто ни за что не отвечает.

     

  • 1.49, Шумер (?), 11:19, 28/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что там за чит-коды из Дума?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру