Bundesamt für Sicherheit in der Informationstechnik

M 2.485 Auswahl von Backends für OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Aus den geplanten Nutzungsmöglichkeiten des Verzeichnisdienstes folgt, welche Backends für die spätere Installation und Konfiguration vorzusehen sind:

  • Verwaltet Open LDAP eine oder mehrere Datenbanken direkt, so ist ein Backend auszuwählen, das für eine entsprechende Datenhaltung geeignet ist. Für die Verwaltung von Daten ist OpenLDAP darauf optimiert, das Datenbankmanagementsystem (DBMS) BerkeleyDB zu verwenden. Für BerkeleyDB stehen zwei verschiedene Backends zur Verfügung: "back-bdb" und die Weiterentwicklung "back-hdb". Das Backend "back-hdb" erzeugt zwar eine höhere Last im IT-System und hat höhere Anforderungen an den für das Zwischenspeichern von Daten benötigten Datenspeicher, besitzt jedoch einen größeren Funktionsumfang und unterstützt das Umbenennen ganzer Teilbäume in der Verzeichnisstruktur (subtree renaming). Die mittelfristige Planung des OpenLDAP-Teams sieht vor, "back-bdb" aufzugeben. Für Neuinstallationen von OpenLDAP wird deshalb empfohlen, "back-hdb" zu verwenden.
    OpenLDAP kann mit dem Backend "back-ldif" Daten auch in Dateien im LDAP Data Interchange Format (LDIF) speichern. Im Format LDIF wird die gesamte Datenbank im Klartextformat in Textdateien abgelegt. Diese Art der Datenhaltung ist ineffizient für größere Datenmengen und für eine große Zahl von Benutzern ungeeignet. Wird die Online-Konfiguration verwendet, so ist dennoch "back-ldif" notwendig, da das Suffix "CN=config" immer im Format LDIF abgelegt wird.
  • OpenLDAP kann ganz oder teilweise als Proxy für andere LDAP-Server eingesetzt werden. In diesem Fall wird das Backend "back-ldap" oder die Weiterentwicklung "back-meta" benötigt. Im Gegensatz zu "back-ldap" ist "back-meta" in der Lage, gleichzeitig verschiedene Server anzusprechen. Das Backend hat einen größeren Funktionsumfang als "back-ldap", ist dafür allerdings auch sehr aufwändig zu konfigurieren. Für die meisten Anwendungsfälle ist "back-ldap" ausreichend.
    Das Backend "back-ldap" wird auch immer dann benötigt, wenn der slapd-Server selbst ldap-Operationen auslöst. Dies ist beispielsweise der Fall, wenn der slapd-Server Verweise eigenständig auflöst oder eine Replikation im push-Modus durchgeführt wird.
  • Es ist darüber hinaus möglich, dass OpenLDAP auf Daten einer relationalen Datenbank zugreift. Hierfür wird das Backend "back-sql" verwendet. Es wird darauf hingewiesen, dass eine relationale Datenbank ungeeignet ist, um die Daten eines Verzeichnisdienstes vollständig zu speichern. Es kann lediglich sinnvoll sein, OpenLDAP an eine relationale Datenbank anzubinden, um einzelne Zusatzinformationen aus einer solchen Datenquelle auszulesen, wie eine Telefonnummer aus einer Telefonliste in einen Verzeichnisdienst, der alle Benutzer einer Institution verwaltet.
  • Gegebenenfalls muss OpenLDAP Daten aus selbst entwickelten Anwendungen beziehen oder wird eingesetzt, um solche Anwendungen zu steuern. Geschieht die Kommunikation nicht über den LDAP-Standard, so ist in Abhängigkeit von der selbst erstellten Schnittstelle eines der Backends "back-perl", "back-shell" oder "back-sock" notwendig.
  • Wird entschieden, dass der Betrieb von OpenLDAP überwacht werden soll (Monitoring), so stellt das Backend "back-monitor" die dafür nötigen Funktionen bereit (siehe M 4.407 Protokollierung beim Einsatz von OpenLDAP ).

Andere Backends als die hier genannten sollten nicht in der Planung für Produktionsumgebungen berücksichtigt werden. Sie sind entweder veraltet (back-ldbm, back-tcl), nur für Testzwecke gedacht (back-passwd, back-null) oder haben in der OpenLDAP-Version 2.4 noch einen experimentellen Status (back-dnssrv, back-ndb, back-relay).

Prüffragen:

  • Werden in einer Produktionsumgebung nur die benötigten OpenLDAP-Backends verwendet?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK