[samba-jp:21368] Samba4 から OpenLDAP のサポートがなくなるかも

TAKAHASHI Motonobu monyo @ monyo.com
2011年 4月 3日 (日) 00:17:39 JST


日記にも書きましたが、Samba4 から OpenLDAP など LDAP バックエンドのサ



・Should we keep the Samba4 LDAP backend?

における Andrew Bartlett 氏の発言を簡単に翻訳してみました。

Samba4 の AD DC のコードで LDAP バックエンド(OpenLDAP および Fedora
DS/389) のサポートを継続する意義があるのか、疑念を感じている。

これは、Samba3/Samba4 の統合後も含め、Samba3 の NT4 DC における LDAP

サポート継続に必要な ldb_map コードの削除を提案するつもりはないし、
provison のコードを破棄すべきかどうかについても明確な考えはないが、少

先に世に現れたのは LDAP バックエンドであるとはいえ、LDB バックエンドは
拡張を重ね、もっとも重要な機能である DRS による複製をサポートするに至っ

また、LDAP バックエンドのスキーマは固定的であり(動的な変更は現在サポー

最大の問題は、ユーザが LDAP に振り回されていることである。我々のところ
にはひっきりなしに質問が寄せられており、Wiki 上で推奨しない旨警告して


このページでは、Samba4 で汎用の LDAP サーバをバックエンドとして用いる
く、トリッキーな設定を行わないと利用できない。LDAP バックエンドを用い
るように Samba4 を設定した場合でも、クライアントは Samba4 がポート 389
で提供する LDAP サービスにアクセスすることが必要であり(これは、Active
Director の DC として適切に動作させる上で必要である)、Active Directory
のスキーマの使用も必須である。加えて、LDAP バックエンドを使用する場合、
DRS による複製がサポートされない。あらかじめ警告しておく。

わたしは知らないが、誰か LDAP バックエンド開発の継続を検討しているか、

わたしとしては、同意が得られれば Wiki ページと LDAP バックエンドを
provison で構築する機能を単に削除することを提案したい(おそらくテスト用

今後 LDAP バックエンドとの互換性を損なう変更が必要となった際にも、互換


TAKAHASHI Motonobu <monyo @ monyo.com>

From: Andrew Bartlett <abartlet @ samba.org>
Subject: Should we keep the Samba4 LDAP backend?
Date: Fri, 01 Apr 2011 19:29:14 +1100

I'm wondering if there is much value to be had in keeping the Samba4
LDAP backends (OpenLDAP and Fedora DS/389) as a supported part of the
Samba4 AD DC codebase.

I should be clear, this is not about the support for LDAP backends in
the NT4 DC of Samba3, even after a Samba3/Samba4 merge. 

I don't propose to remove the ldb_map code that allows them to be
created, and I don't really have a view as to if the provision code
should be scrapped, but I wonder if we should stop having public
references to this functionality. 

In the time since the LDAP backend first came into being, the LDB
backend has gone from strength to strength, gaining our most important
feature:  DRS replication. 

At the same time, the LDAP backend is fixed schema (no dynamic update
currently supported), unsafe (no transactions) and really, really slow. 

The biggest problem is that it distracts users - we regularly get
questions about it, dispute the de-motivational statement on the wiki:


> This page is a guide to setting up Samba4 to use a general purpose
> LDAP server as the backend. However, this mode of operation is not
> recommended and is only available to support some esoteric
> configurations. Even if you provision Samba4 with the LDAP backend,
> the clients will still communicate with the LDAP service provided by
> Samba4 on port 389 (this is necessary for correct operation as an
> Active Directory Domain Controller) and you'll still be forced to use
> the Active Directory schema. What's more, using the LDAP backend is
> incompatible with DRS replication. You have been warned.

Does anyone have any plans to further develop the LDAP backend that I
don't know of?  Is there any reason to keep it?  

My proposal, if accepted, would be simply to remove the wiki pages and
the ability to build the ldap-backend with provision (perhaps leaving an
option for the test scripts).  

When we later need to make some change that is directly incompatible
with the LDAP backend, then we can easily decide to do that later,
knowing it is no longer a goal.

What do folks think?

Andrew Bartlett

Andrew Bartlett                                http://samba.org/~abartlet/
Authentication Developer, Samba Team           http://samba.org
Samba Developer, Cisco Inc.

samba-jp メーリングリストの案内