だめだめ日記

■ [Samba]Samba 4からOpenLDAPのサポートがなくなる方向に

メールが出たのが 04/01 でしたので、一瞬エイプリルフールかと思っちゃいましたが……

• Should we keep the Samba4 LDAP backend?

ということで、Samba開発者の一人、Andrew Bartlett 氏が意見照会という形で投げかけています。以下、ざっくりですが、翻訳を。

Samba4 の AD DC のコードで LDAP バックエンド（OpenLDAP および Fedora
DS/389) のサポートを継続する意義があるのか、疑念を感じている。

これは、Samba3/Samba4 の統合後も含め、Samba3 の NT4 DC における LDAP
バックエンドのサポートには関係しないことを明言しておく必要があろう。

サポート継続に必要な ldb_map コードの削除を提案するつもりはないし、
provison のコードを破棄すべきかどうかについても明確な考えはないが、少
なくとも、この機能の存在を公知するのは止めるべきではないかと思案してい
る。

先に世に現れたのは LDAP バックエンドであるとはいえ、LDB バックエンドは
拡張を重ね、もっとも重要な機能である DRS による複製をサポートするに至っ
ている。

また、LDAP バックエンドのスキーマは固定的であり(動的な変更は現在サポー
トされていない)、安全ではなく(トランザクションが非サポート)、そして非
常に遅い。

最大の問題は、ユーザが LDAP に振り回されていることである。我々のところ
にはひっきりなしに質問が寄せられており、Wiki 上で推奨しない旨警告して
いる。

https://wiki.samba.org/index.php/Samba4/LDAP_Backend#.28De.29motivation

=====
このページでは、Samba4 で汎用の LDAP サーバをバックエンドとして用いる
ための設定に付いて記述している。ただし、この方式は推奨されるものではな
く、トリッキーな設定を行わないと利用できない。LDAP バックエンドを用い
るように Samba4 を設定した場合でも、クライアントは Samba4 がポート 389
で提供する LDAP サービスにアクセスすることが必要であり(これは、Active
Director の DC として適切に動作させる上で必要である)、Active Directory
のスキーマの使用も必須である。加えて、LDAP バックエンドを使用する場合、
DRS による複製がサポートされない。あらかじめ警告しておく。
=====

わたしは知らないが、誰か LDAP バックエンド開発の継続を検討しているか、
サポートを継続すべき理由はあるか?

わたしとしては、同意が得られれば Wiki ページと LDAP バックエンドを
provison で構築する機能を単に削除することを提案したい(おそらくテスト用
スクリプトのオプションはそのまま残すことになろう)。

今後 LDAP バックエンドとの互換性を損なう変更が必要となった際にも、互換
性維持が不要であることを確認できていれば、変更の実施が容易になる。

ご意見を伺いたい。

samba-jp メーリングリストにも、同じ内容を投稿しています。

追記(04/03)

わたしの意見も投稿してみました。

• Should we keep the Samba4 LDAP backend?

Samba4 から LDAP バックエンドのサポートをなくすこと自体は同意だが、いわゆるエンタープライズのディレクトリが LDAP で構築されていることが多いことを考えると、そことの同期機能は残しておくべきではないかといった感じです。

追記(04/07)

結局削除という方向になったようです。

• Should we keep the Samba4 LDAP backend?