Состоялся (https://github.com/leo-yuriev/ReOpenLDAP/releases/tag/v1.1.7) релиз LDAP-сервера ReOpenLDAP 1.1.7 (https://github.com/leo-yuriev/ReOpenLDAP), в рамках которого развивается форк проекта OpenLDAP (http://www.openldap.org/), в котором проведена работа по устранению ошибок и внесению улучшений для стабильной работы репликации. Проект ориентирован (https://github.com/leo-yuriev/ReOpenLDAP/wiki) на надежность и производительность при использовании в решениях с высокой нагрузкой и промышленных системах в сфере телекоммуникаций.
ReOpenLDAP уже применяется в инфраструктуре ПАО МегаФон, обеспечивая высоконагруженную обработку запросов в multi-master кластере с full-mesh репликацией, демонстрируя производительность на уровне 10 тысяч обновлений и 25 тысяч операций поиска в секунду на наборе данных 100 млн записей (100 Гб данных). В новом выпуске добавлен перевод системных руководств на русский язык, обеспечена поддержка привязки открытых ключей (PKP, Public key pinning), удалён ldap_pvt_thread_rmutex, добавлен рекурсивный POSIX мьютекс для libevent, реализована функция ldap_connect().
Причиной создания форка является отказ включения в основной состав OpenLDAP ряда исправлений из-за желания сохранения совместимости с устаревшими Си-компиляторами (совместимость с компиляторами без поддержки вариативных макросов, которые появились в стандарте C99, нарушалась лишь в одном патче из большой серии исправлений). После форка ветка ReOpenLDAP master поддерживается в стабильном состоянии и соответствует OpenLDAP/2.4.x, с добавлением отдельных доработок из OpenLDAP/master. Ветка ReOpenLDAP next соответствует следующей версии OpenLDAP/2.5.x.
Особенности ReOpenLDAP:
- Корректная и надёжная работа репликации в режиме multi-master;
- Команда "reopenldap [iddqd] [idkfa] [idclip]";
- Новые настройки:
- quorum { [vote-sids ...] [vote-rids ...] [auto-sids] [auto-rids] [require-sids ...] [require-rids ...] [all-links] }
- "quorum limit-concurrent-refresh
- "biglock { none | local | common }
- syncprov-showstatus { none | running | all }
- crash-backtrace on|off
- coredump-limit {mbytes}
- memory-limit {mbytes}
- Модернизация хранилища mdbx для повышения масштабируемости и улучшения репликации;
- Поддержка срезов состояния (checkpoint) при изменении раздела или по таймеру;
- Поддержка опции requirecheckpresent для syncrepl;
- Поддержка настройки keepalive для входящих соединений;
- Встроенная система проверки памяти с поддержкой ls-malloc;
- Пригодность для отладки в AddressSanitizer и Valgrind;
- Возможность применения оптимизации на стадии компоновки (LTO, Link-Time Optimization) при сборке в GCC и Clang;
- Поддержка OpenSSL 1.1.x, Mozilla NSS, GnuTLS и LibreSSL 2.5.x;
- Перенос всех исправлений из веток openldap/master и openldap/2.4;
- Большое число исправлений, связанных с репликацией;
- Устранено около 5 тысяч предупреждений при сборке в GCC/clang и 1 тысяча предупреждний при проверке в ThreadSanitizer
- Устранено большинство утечек памяти;
- Решены проблемы, выявленные статистическими анализаторами PVS-Studio и Coverity.URL: https://github.com/leo-yuriev/ReOpenLDAP/releases/tag/v1.1.7
Новость: http://www.opennet.me/opennews/art.shtml?num=48136
Зочем вы форсите это ПО?
Это один из наиболее интересных отечественных проектов последнего времени.
Вот сейчас постгресу было обидно.
А чего обидно-то? Сказано же "один из".
постгрес на рассэйский а международный!
Постгрес "отечественный" в той же степени, в какой, скажем, Линукс.А если это про Постгрес-про - а чего там такого интересного-то?
PostgresPro основали люди, запилившие в свое время весомую часть возможностей, делающих эту СУБД такой интересной.
Компания активно участвует в сообществе и дальнейшем совершенствовании PostgreSQL.
А где почитать о его интересности? Заменит ли оно ад или виндус сервер включат в реестр расейского ПО следом за сапом?
> А где почитать о его интересности?См. выше.
Почитать тут:
https://github.com/leo-yuriev/ReOpenLDAP/wiki
См. ниже.
> Это один из наиболее интересных отечественных проектов последнего времени.и что в нем такого интересного,кроме того что оно работает в мегафоне?
Я вот вижу неумение разработчиков внятно описывать, что и зачем вообще они сделали (ну, или нежелание) и "only linux". С моей точки зрения - "расходимся, смотреть не на что". По крайней мере, пока не нанялись админом в мегафон.
>> Это один из наиболее интересных отечественных проектов последнего времени.
> и что в нем такого интересного,кроме того что оно работает в мегафоне?Впервые успешно продемонстрировали, что можно из микроскопа сделать отбойный молоток.
Упорство 🐿️ изобретательность.
> Впервые успешно продемонстрировали, что можно из микроскопаВ качестве микроскопа субъективно даже 389ds с его плагинами больше подходит...
> и что в нем такого интересного,кроме того что оно работает в мегафоне?_работает_.
ну мы ж даже не знаем, за счет чего - может за счет того что быстро-быстро поднятое упавшим не считается.Вариант хороший для мегафона но не очень - для нас - оно таки работает как нада, и они выкинули проект в паблик потому что правила хорошего тона, не говоря уж о лицензии, да и с гитхабом самим работать удобнее чем с наколенной его копией, но вовсе не для того, чтобы им пользовался кто-то еще.
Вариант плохой и для мегафона, и, к сожалению, весьма вероятный - код написан так же плохо как и сопроводиловка, а документация - "в голове у разработчиков".Ну просто потому что люди, ТАК пишущие документ на тринадцать строк, скорее всего так же напишут и любой другой. А при этом трудно ждать и от кода чудес.
> Ну просто потому что люди, ТАК пишущие документ на тринадцать строк, скорее
> всего так же напишут и любой другой. А при этом трудно
> ждать и от кода чудес.Эта логическая связь (с переходом к качетсву собственно ПО) небезупречна.
Наших никогда толком *не учили* насчёт документации. А западные точно так же *не любят* её делать.
> может за счет того что быстро-быстро поднятое упавшим не считаетсяесли вы про мультимастер так, про CARP и прочее, то спешу обрадовать: то ПО, которое так не умеет вообще не впилось в продакшене.
>А при этом трудно ждать и от кода чудес.пох - не выЁживайся - сходи и посмотри. Оно не Пушкин, но тля!!! 10Кзаписей в лдап с гарантией надёжности на стандартном ... скажем не всякому дано, а тут - из коробки :-р
Хотя мне верить нельзя, я его не пользую.
> _работает_.Очень интересно, тестирует ли мегафон свой софт столь же "хорошо" как и биллинг. Так, глядя на то что биллинг откаблучивает если случайно в него палочкой тыкнуть.
>> Это один из наиболее интересных отечественных проектов последнего времени.Ну я бы не был столь категоричным, ибо там столько унаследованного гoвнoкoда, что мне "на три пенсии" хватит :)
Тем не менее, это пример как можно "взять и сделать, придя со стороны" в ситуации, когда авторы исходного проекта не смогли (не подписались на SLA).
> и что в нем такого интересного,кроме того что оно работает в мегафоне?Слова "работает в инфраструктуре мегафона" - это просто о том, что проект был доведен до промышленной кондиции, т.е. это не про "интересность", а про "кондицию".
> Я вот вижу неумение разработчиков внятно описывать, что и зачем вообще они
> сделали (ну, или нежелание) и "only linux". С моей точки зрения
> - "расходимся, смотреть не на что". По крайней мере, пока не
> нанялись админом в мегафон.Я вас уверяю, в описании проекта и его wiki на github дан разумный объем информации. Больше стоит только ради денег/маркетинга, но это (imho) не окупится и (пока) в планы не входит. Тем мне менее, тут два момента:
1) В сети уже есть достаточно информации "что, зачем и почему". Для примера слайды с осенней конфы в Брюсселе = https://ldapcon.org/2017/wp-content/uploads/2017/08/1_ReOpen.... Кроме этого еще есть слайды, тезисы, видео с трех Альтовых конференций в Калуге.
2) Любая новая информация будет игнорироваться также, как и уже доступная. Причина достаточно проста - мало кто сейчас нуждается в "большом LDAP" с multi-master репликацией (синхронизацией содержимого по RFC4533). Соответственно, подавляющему большинству примерно "пофигу" где оно работает, а где нет.
>Причина достаточно проста - мало кто сейчас нуждается в "большом LDAP" с multi-master репликациейЛеонид - респект!
Увы но скорее всего ты прав.
Лично мне это нужно было в 2007-9. А потом мы OpenLDAP перестали пользовать для реально больших каталогов... А _не_ Open* (NDS) - стоил как паравоз отлитый из золота :(
А вот были бы вы - тогда, может и не перестали бы скотинку мытарить :-)
Парсер конфигов можно сделать дружелюбнее?
> Парсер конфигов можно сделать дружелюбнее?Зачем?
Сейчас есть:
- текстовые conf-файлы
- config-backend с LDAP-интерфейсом.Это все хорошо описано, как в man-страницах, так и в книгах.
Любой третий вариант только увеличит энтропию и не нужен без документации.Если вы имеете в виду переписать исходный код парсера, то логично начать переписывать весь код...
За этим https://github.com/vstakhov/libucl/blob/master/doc/api.md#de...
Отдавать конфиги с REST интерфейсов или получать в удобном стиле.
> За этим https://github.com/vstakhov/libucl/blob/master/doc/api.md#de...
> Отдавать конфиги с REST интерфейсов или получать в удобном стиле.Это ответ на "Как?"
Однако сначала нужен внятный ответ на "Зачем?"
А не из-за этого счастья случайно у них периодически мобильный инет отваливается, пока режим сети туда-сюда не сменишь? xD
И на чем же основано такое, кхм, странное предположение?С таким же успехом можно предположить, что он отваливается из-за конфигурации 1С у главного бухгалтера.
>Команда "reopenldap [iddqd] [idkfa] [idclip]";ЧИТЕРЫ!!!
Человеческий конфиг так и не вернули?
Помню, один чел из Мегафона мне жаловался, что у него редхатовский ipa server под нагрузкой протухает а саппорт не чешется. Видать, послали лесом красношляпу, переехали на реопен этот
Freeipa внутри конечно содержит 389ds, но использовать её в качестве простого ldap-сервера это верх глупости, на мой взгляд. Так что всё правильно, что с неё переехали, правда не обязательно надо было OpenLDAP для своего переезда корячить.
> Команда "reopenldap [iddqd] [idkfa] [idclip]";Это примерно так?
- Хочу сегодня побыть админом мегафона! :)
- И баланс счета анлимный! :)
- А вот еще дампы Ki хочется, чтоб во все двери проходить. И чтоб СБ не поимела!
мне кажется, эти команды добавили просто чтобы повысить обсуждаемость релиза в новостях :D
иначе любопытно было бы знать, что они делают
reopenldap [iddqd] [idkfa]
Управляет специфичными для ReOpenLDAP флагами и режимом совместимости
с исходным OpenLDAP. Надеемся, Вы оцените нашу дань борьбе с монстрами
и прочей нечистой силой в начале 90\-х.Подробнее:
https://github.com/leo-yuriev/ReOpenLDAP/blob/b6b66fcdfd6f24...Про idclip в документации ничего не нашлось. Вот кусочек из кода:
/* LY: entryUUID and entryCSN are required in 'idclip' mode */
> reopenldap [iddqd] [idkfa]
> Управляет специфичными для ReOpenLDAP флагами и режимом совместимости
> с исходным OpenLDAP. Надеемся, Вы оцените нашу дань борьбе с монстрами
> и прочей нечистой силой в начале 90\-х.
> Подробнее:
> https://github.com/leo-yuriev/ReOpenLDAP/blob/b6b66fcdfd6f24...
> Про idclip в документации ничего не нашлось. Вот кусочек из кода:
> /* LY: entryUUID and entryCSN are required in 'idclip' mode */idclip включает некий более "строгий режим" во всяческой логике связанной с репликацией (git grep reopenldap_mode_strict).
В 2016 в документацию его включать не стали по причине незаконченности, а потом забылось честно говоря.
Незаконченность же в том, что эти более строгие проверки несовместимы с некоторыми режимами работы и/или оверлеями (подключаемыми модулями).
Ждемс дистрибутива ReIPA Server с этим всем добром из коробки и отечественной криптографией!
> Ждемс дистрибутива ReIPA Server с этим всем добром из коробки и отечественной
> криптографией!
>На конференции «CRYPTO 2015» Алекс Бирюков, Лео Перрин и Алексей Удовенко представили доклад, в котором говорится о том, что несмотря на утверждения разработчиков, значения S-блока шифра Кузнечик и хэш-функции Стрибог не являются (псевдо)случайными числами, а сгенерированы на основе скрытого алгоритма, который им удалось восстановить методами обратного проектирования[6].Товарищь маёр, википедия(запрещённая в роиссе террористическая организация) всю малину портит.
Есть сведения что используется в билайне, мтс? У буржуев?
у нас вообще не-ldap-based pcrf. но мы так и не вышли на рабочие мощности, поэтому хз, не рухнул бы он под нагрузкой.
Это случайно не из-за этого чудного софта у МегаФона блокируется доступ на сайт bank.megafon.ru?Так хорошо заблокировался, что техподдержка МегаФон уже с сентября 2017 года кормит меня завтраками, что мол для решения проблемы требуется привлечение дополнительных подразделений. Звонки в колл-центр не помогают. Электронные заявки не помогают. Письменные заявки оставленные в салонах связи МегаФон не помогают.
Федеральная компания решает проблему с блокировкой аккаунта у клиента полгода. Конца и края этому не видно. Это просто п....ц какой-то. :) Пальма первенства самой совковой компании теперь не у Почты России, а у компании МегаФон!!!
А почему ты терпишь и платишь, вместо того чтобы уйти к кому то ещё? 8-о
Либо ты терпила-платила :)))) Либо вбрасываешь. Ъ.
> А почему ты терпишь и платишь, вместо того чтобы уйти к кому то ещё? 8-о
> Либо ты терпила-платила :)))) Либо вбрасываешь. Ъ.Вы уважаемый весьма ограничено мыслите. Симка МегаФон была куплена с определенной целью.
> Федеральная компания решает проблему с блокировкой аккаунта у клиента полгода.Базы и биллинг у остальных примерно такие же, как и саппорт. Поэтому народ забил и наслаждается, используя баги в свою пользу. Сам понимаешь, баги в обе стороны бывают. Так что налетев на глюки не спеши чертыхаться, баг может оказаться фичой.
Не, там другая канитель. Полная история выглядит так.В феврале прошлого года они давали кешбек 15% при покупке планшетов в салонах связи МегаФон. Условие было купить планшет и заплатить за него банковской картой МегаФон. Я купил симку, оформил банковскую карту и тут же в салоне загнал на баланс симки нужную сумму для покупки планшета, а следом уже расплатился за планшет банковской картой МегаФон. Продавец обещал, что кешбек вернется на баланс симки в течение 45 дней.
Я потом забил на это и вспомнил где-то весной про эту операцию. Через личный кабинет на сайте bank.megafon.ru оставил претензию к транзакции с просьбой вернуть кешбек за покупку. В августе 2017-го саппорт вдруг очухался и прислал SMS, что они готовы вернуть кешбек, но типа у меня нет карты, на которую они бы могли его вернуть. Я малость опешел, т. к. карта у меня была и она работала. И до сих пор, кстати, работает без проблем.
При попытке войти на сайт bank.megafon.ru выяснилось, что доступ мне, или специально прикрыли, или что-то у них там сломалось. Короче доступа к bank.megafon.ru у меня нет. Тогда я через колл-центр объяснил, что они не правы. Назвал номер банковской карты МегаФон. И пошло-поехало. Открывал тикеты через колл-центр, через основной мегафоновский сайт, писал претензии в салонах, но воз и ныне там. В настоящий момент доступ на сайт bank.megafon.ru заблокирован, кешбек не вернули. Сим-карта работает, банковская карта работает.
Вот таким мошенничеством занимается МегаФон на просторах нашей необъятной страны по среди белого дня. Ну либо в МегаФоне полный мрак и бардак, и никто ни за что не отвечает.
А что там за чит-коды из Дума?