Vergleich OpenLDAP vs 389 Directory Server

[hawkeye78]

Hallo,

da ich im moment drauf und dran bin einen Testserver mit OpenLDAP aufzusetzen, erhielt ich von meinem Chef die Bitte mir doch mal bitte auch den 389 Directory Server von Red Hat anzuschauen und dann eine Empfehlung auszusprechen welcher von beiden Servern zu bevorzugen ist. Nun habe ich mit OpenLDAP bereits ein bißchen herumgebastelt und damit auch schon das eine oder andere zum laufen bekommen, darum befürchte ich ist meien Meinung nicht mehr wirklich neutral.
Aus diesem Grund habe ich nun die Hoffnung das vielleicht hier im Forum jemand ist, der mir das eine oder andere zu diesem Thema sagen kann vor allem was wirklich für den 389 spricht, mir persönlich ist bis jetzt nur aufgefallen das der 389 eine eigene Oberfläche für die Administration mitbringt während man bei OpenLDAP sich selbst entscheiden kann was man neben der Konsole benutzen möchte. Darüber hinaus würde meiner Meinung nach für 389 sprechen das es in der Hand von Red Hat liegt und diese damit durch aus kommerzielle Ziele verfolgen was für weniger Fehler (oder wie auch immer man das ausdrücken möchte) in den Sourcen spricht.
Auf der anderen Seite spricht in meinen Augen für OpenLDAP eine dynamische Konfiguration erlaubt d.h. ohne einen Reboot auskommt, wobei ich mir hier nicht sicher bin ob das nicht auch mit 389 geht. Des weiteren spricht für OpenLDAP das es offenbar weiter verbreitet ist zumindestens hatte ich nach kurzer Suche den Eindruck das es deutlich mehr Dokumentation für OpenLDAP als für 389 gibt.
Ich würde mich über die eine oder andere Meinung freuen und hoffe es stellt kein Problem da das 389 eher für den Red Hat Zweig gedacht ist, während OpenLDAP sowohl auf Debian als auch auf Red Hat läuft.
Viele Grüsse
Dan

PS
auf unseren Server soll sowohl Red Hat installiert werden so das die Auswahl nicht von der Distribution an sich abhängig gemacht werden muss...

[Six]

389s Stärken sind die hervorragende Integration in das RHEL OS, der Zuschnitt auf bestimmte Einsatzszenarien, die sehr gute und umfangreiche Dokumentation und die grafische Oberfläche, die die komplette Konfiguration (damit meine ich wirklich alles, z. B. auch inkl. Multi-Master-Replikation) des 389 DS erlaubt. Meiner Meinung nach ist diese sogar MS ADS überlegen. Die Schwächen von 389 dürften die Abhängigkeit von Java sein, die geringere Flexibilität im Einsatz und die "niedrige" Lese-Geschwindigkeit (ungefähr so schnell wie MS ADS).

OpenLDAP ist hingegen superflexibel, sauschnell, völlig LDAP standardkonform, extrem robust und manchmal bis an die Schmerzgrenze konfigurationsresistent Die Dokumentation ist umfangreich, aber streckenweise veraltet, unübersichtlich und nicht besonders einsteigerfreundlich. Als spezielle Schwäche muss man im df.de noch anführen, dass OpenLDAP unter Debian GNUtls benutzt, was ihh, pfui, bah ist und bei den OpenLDAP-Entwicklern auf keine Gegenliebe stößt und explizit als nicht unterstütztes Setup gilt. Entsprechend dünn fällt die Hilfe bei Problemen mit TLS aus.

[minimike]

Vielem kann ich six zustimmen. Allerdings mit dem Tempo bin ich auf der Testinstallation bisher zufrieden. Mir gefällt das die Administration weitgehend ohne Downtime vonstatten geht. ACL können komplett Online konfiguriert werden. Sowie Replication und Clustering. Java wird nur für den Admin Clienten benötigt. Ich habe hier auf dem Server kein Java installiert.

Wenn der ApacheDS nicht einen miesen Fehler mit ACL hätte würde ich den allerdings noch bevorzugen. Da geht fast alles via eclipse online ohne Downtime.
Fehler ist keine ACL nach neustart des Services für / der partition. wenn ich ACL auf dc=example,dc=com setze sind die nach dem Neustart weg. Wenn ich organisation anlege z.B. o=myorganisation,dc=example,dc=com würde das gehen. Aber erklär das mal jemanden der dafür bezahlt.....