Benutzer-Authentifizierung gegen externes LDAP

german

#1

Moin,

ich würde gerne mit einem UCS einen AD Domain Controller implementieren. Ist es möglich, den UCS so zu konfigurieren, dass er die Passwörter gegen einen externen LDAP-Server prüft?

Die “UCS-Domäne” soll nämlich in eine größere Umgebung eingebunden sein, auf deren Betrieb/Konfiguration ich keinen Einfluss habe. Wenn jetzt UCS den externen LDAP fragen könnte, ob ein von einem Benutzer gegebenes Passwort korrekt ist, wären die Benutzer-Passwörter nur an einer einzigen Stelle, nämlich dem externen LDAP, gespeichert.

Mir ist klar, dass die Benutzer dann aus der UCS-Domäne heraus ihr Passwort nicht ändern könnten.

Geht das irgendwie?


#2

Moin,

UCS bringt den Active-Directory-Connector mit. Dies ist eine Komponente, die Benutzerkonten (und auch Gruppen und Computer) aus einem AD entweder unidirektional in Richtung UCS synchronisiert oder sogar bidirektional. Installiert man auf dem AD-Server auch den Passwortdienst, so werden die Passwörter etc. richtig mit synchronisiert, sodass man das UCS gar nicht gegen einen externen LDAP-Server authentifizieren lassen muss.

Dies ist alles in der UCS-Dokumentation beschrieben. Sie sollten sich das komplette Kapitel 9.3 einmal durchlesen.

Gruß,
mosu


#3

Moin,

besten Dank für die Antwort!

Das Problem ist, dass es sich bei dem externen LDAP nicht um einen AD Controller handelt, sondern um einen ganz simplen OpenLDAP unter Linux.


#4

Moin,

oh, da habe ich den ersten Artikel falsch gelesen.

Eine reine Synchronisation der User mit einem reinen LDAP-Server gibt es meines Wissens nach unter UCS nicht. Weiterhin wird es nicht möglich sein, UCS so umzukonfigurieren, dass es sich gegen einen externen LDAP-Server authentifiziert. Die meisten Dienste sind schlicht so konfiguriert, dass sie den UCS-LDAP nutzen. Auch sind sämtliche Verwaltungstools darauf ausgelegt, dass sie ihre Änderungen im UCS-LDAP hinterlegen und eben nicht in einem externen LDAP-Server.

Weiterhin ist das viel größere Problem Samba. Unter UCS gibt es zwei LDAP-Server: den OpenLDAP auf Port 7389 und den von Samba 4 im Rahmen der AD-Dienste benötigten LDAP-Server auf Port 389. Zwischen beiden gibt es eine bidirektionale Synchronisation. Das betrifft alles mögliche, u.a. auch Passwortinformationen und Kerberos-Daten. Hier wird es schlicht unmöglich sein, eine externe Authentifizierungsquelle zu nutzen.

Sie sollten daher eher in Erwägung ziehen, die Benutzer vom alten LDAP-Server komplett zum UCS-Server umzuziehen und alle anderen Dienste, die vorher den alten LDAP genutzt haben, auf UCS umzukonfigurieren.

Gruß,
mosu


#5

Moin, danke für Ihre Einschätzung - ich hatte sowas ja schon befürchtet …