UCS: LDAP-Replikation leicht gemacht

Kevin Dominik Korte
Univention LDAP Replikation mit agorum core

Das Herzstück eines Identity-Management-Systems in der IT-Infrastruktur von Organisationen ist das Management, über das an zentraler Stelle alle Benutzerdaten und Applikationen, wie z.B. agorum core, verwaltet werden können. Die Servermanagementlösung Univention Corporate Server (UCS) der Bremer Firma Univention, stellt mit seiner Management Console eine solche zentrale Benutzerverwaltung bereit. Über sie lassen sich komfortabel Benutzer anlegen, editieren oder löschen und ihnen Zugriff auf bestimmte Applikationen gewähren oder Zugriffsrechte (z.B. bei Ausscheiden aus dem Unternehmen) entziehen. Technisch funktioniert das, weil im Hintergrund ein sogenanntes OpenLDAP für die Bereitstellung der Daten sowie für die Replikation auf mehrere Server gleichzeitig sorgt. Dadurch steht die LDAP-Datenbank mit den Benutzeridentitäten auf mehr als einem Server zur Verfügung. Dies erhöht nicht nur die Ausfallsicherheit, sondern verbessert auch die Performance bei der Anmeldung an Ihrem agorum core Server und ist daher fast schon ein Must have. Das Anlegen von Nutzern und die Replikation von Daten ist mit UCS einfach und intuitiv bedienbar und eignet sich auch für Benutzer, die kein dezidiertes IT-Fachwissen mitbringen.

Auf Nummer Sicher - Vorteile der LDAP-Replikation

Überlegungen zur Ausfallsicherung und Lastverteilung sind für größere Unternehmen und Organisationen, die über mehrere Standorte verteilt sind, unverzichtbar. Aber auch Betriebe mit wenigen Mitarbeitern profitieren von einem solchen Konzept. Fällt der Server mit dem Verzeichnisdienst aus, kann ein weiterer Server einspringen und dessen Aufgaben übernehmen. Somit können sich Benutzer weiterhin bei agorum core anmelden. Dieser zweite Rechner sorgt darüber hinaus für eine Verbesserung der Performance, denn Anfragen zu Benutzern und Gruppen werden kurzfristiger beantwortet, was schnelleren Zugriff auf die Dateien in agorum core  gewährleistet.

Die LDAP-Replikation verteilt alle Benutzerdaten automatisch zwischen den Servern, sodass diese immer den aktuellen Stand der Datenbank kennen. Die Konfiguration übernimmt UCS während der Installation selbst. Bevor wir uns der Einrichtung und den dabei eingesetzten UCS-Systemrollen zuwenden, möchte ich kurz erklären, wie die LDAP-Replikation in der UCS-Domäne grundsätzlich funktioniert. Die Konfiguration von Applikationen aus dem Univention App Center zur Nutzung auf mehreren Servernn wird von UCS automatisch durchgeführt. Im App Center finden Sie neben agorum übrigens rund 90 weitere Anwendungen zu unterschiedlichsten Einsatzgebieten.

Rollenverteilung -
DC Master, DC Backup und DC Slave

Rechner in einer UCS-Domäne können unterschiedliche Systemrollen einnehmen. Das erste System einer UCS-Domäne erhält die Systemrolle Domänencontroller Master. Wenn weitere Systeme einer bestehenden UCS-Domäne beitreten, dann können sie die Systemrollen Domänencontroller BackupDomänencontroller Slave oder Memberserver (Systeme ohne lokalen LDAP-Verzeichnisdienst) erhalten.

Der Domänencontroller Master ist der führende Server der Domäne. Er hat die einzige schreibbare Kopie des LDAP und ist der Ausgangspunkt aller Änderungen. Entsprechend gibt es immer genau einen Master in einer Domäne. Er enthält sensible Daten wie etwa Benutzerkennwörter und kann diese auch ändern. Der Domänencontroller Master hat darüber hinaus eine vollständige Kopie der SSL-Zertifikatskette.

Der Domänencontroller Backup ist eine exakte Kopie des Masters. Bei einem Totalausfall des Masters kann ein DC-Backup zum Master „befördert“ werden, da er ebenfalls alle sensiblen Daten und die SSL-Zertifikate vorhält. Der DC Backup dient damit als sogenanntes Fallback-System.

Der Domänencontroller Slave ist ein Read-Only-LDAP Server, speichert die Domänendaten also „nur lesend“ als Kopie. Anders als der DC Backup enthält der Slave jedoch nicht alle SSL-Zertifikate – ein Slave kann daher niemals zum Master werden. Der Slave speichert jedoch alle Daten, um Applikationen ein lokales LDAP zu bieten. So können z. B. Groupware Server, die viele LDAP-Zugriffe benötigen, ohne Netzwerklatenzen auf die Daten zugreifen.

Der Memberserver, ohne eigenes LDAP, eignet sich hingegen hervorragend für Systeme wie agorum core, die LDAP Daten nur bei der Anmeldung und Gruppenauflösung benötigen. Durch das weniger schwere Profil steht agorum an dieser Stelle so ein höherer Teil der Systemressourcen zur Verfügung.

Beachten Sie unbedingt die Reihenfolge in der Replikation: Der Master führt die Änderung durch. Ein oder mehrere DC-Backup-Systeme replizieren vom Master. Die Slaves replizieren von einem der Backups oder direkt vom Master. Memberserver replizieren nicht, sondern setzen die Daten der Domaincontroller zur Anmeldung und Konfiguration ein.

LDAP Replikation UCS Univention mit agorum core

LDAP-Replikation konfigurieren

Die LDAP-Replikation richtet UCS vollautomatisch ein und setzt dabei auf den eigenen Listener/Notifier-Mechanismus. Der Listener-Dienst läuft auf allen UCS-Systemen. Der Notifier ist hingegen nur auf dem DC Master (und eventuell vorhandenen DC-Backup-Systemen) aktiv. Er überwacht Änderungen im LDAP-Verzeichnis und übermittelt diese an die Listener-Dienste.

Während der Installation eines neuen UCS-Rechners sollten Sie diesem unbedingt die richtige Systemrolle zuweisen. Im Einrichtungsassistenten wählen Sie dafür im Menü Netzwerk einen bestehenden UCS-Server als Domain Controller aus, damit der neue Rechner Ihren Master findet. Im Anschluss daran geht es ans Zuweisen der Systemrolle: Klicken Sie zuerst auf Einer bestehenden UCS-Domäne beitreten und wählen Sie danach die Rolle Domänencontroller Backup oder Domänencontroller Slave aus.

Auf der folgenden Seite geben Sie das Passwort für den Account Administrator ein. Beachten Sie, dass Sie alternativ einen Benutzernamen eines Accounts eintragen können, der gleichzeitig Mitglied in den beiden Gruppen Domain Administrators und Backup-Join ist. Ohne weitere manuelle Eingriffe erfolgt dann die endgültige Einrichtung am Schluss im Rahmen des Domänenbeitritts (Join).

Automatisch Ausfallsicher

Mit UCS ist es leicht, eine ausfallsichere Umgebung aufzubauen und eine LDAP-Replikation einzurichten. Dabei spielt es keine Rolle, wie viele Server, Computer und Benutzer sich in der Domäne befinden. Durch die automatische Einrichtung sind keine besonderen Kenntnisse notwendig, sodass einer Hochverfügbarkeit der Anmeldedienste nichts im Wege steht. Insofern stellt UCS eine sinnvolle Ergänzung zu agorum core für den Einsatz in Organisationen aller Größen dar.

140826_Kevin_Dominik_Korte

Über den Autor:
Kevin Dominik Korte ist Mitglied des Professional Services Teams von Univention und leitet die Univention North Amercia Inc.
www.univention.de

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter abonnieren

Abonnieren Sie den Newsletter und erhalten Sie wöchentliche Updates über weitere spannende Themen.