Best-Practises zum Aufbau von einer UCS Struktur

german

#1

Hallo zusammen,

ich bin im Moment vom UCS Server recht begeistert, und würde diesen auch gern in einem Projekt einsetzen, und hätte da ein paar Fragen bzgl. Best-Practises wie ihr das machen würdet. Wäre echt nett, hier ein bisserl Input zu bekommen.

Ich betreue aktuell eine kleine Firma, die Waren über das Internet verkauft. Die Mitarbeiter sind über mehrere Standorte verteilt, und haben einen zentralen Server im Internet, über den die Waren angeboten werden. Die Web-Anwendung, über die der Verkauf läuft, wird von mir programmiert und gepflegt. Die Standorte haben derzeit keine wirkliche Struktur, vom USB-Stick an einer Fritzbox als Dateiablage angefangen bis zu einer kleinen NAS. Ein zentrales Benutzerrepositoriy ist derzeit nicht vorhanden.

Wir wollen jetzt das ganze auf vernünftigere Füsse stellen, ein zentrales Benutzerrepository aufbauen, das sich über mehrere Standorte verteilt, und Standortdienste anbietet. Weiter sollen einzelne Home-Arbeitspläte und Mobile User eingebunden werden.

Ich stelle mir das im Moment so vor, das der zentrale Internetknoten einen virtuellen UCS als master bekommt, und die Standorte jeweils als Slave an diesen angebunden werden. Der zentrale Dienst wird den DNS-Namen firma.local bekommen. Die Standorte bekommen ein 3stelliges Standortkürzel und die Domain angehängt z.B. aaa.firma.local. An den Standorten werden kleine Netzwerke mit vlans aufgebaut, in die entsprechende Personengruppen eingetacktet werden.

Vom Netzwerk, Routing und VPN mach ich mir keine Sorgen, das hab ich im Griff :slight_smile:

Ist das so mit UCS sauber zu machen, oder soll ich je eine eigene Domain pro Standort anlgen und einen trust zwischen den Domains machen?

Der UCS hat ja auch einen Radius-Server. Kann ich im UCS die Informationen ablegen, so das ich auch ein NAC (Network Access Control) darüber machen kann? Am besten über 802.1x, Zertifikate, so das beim Anmelden die Zuordnung zum VLAN gemacht werden kann. Damit könnte man ja auch das Thema WLAN mit WPA 2 Enterprise erschlagen.

Ich habe diese ganzen Dinge bereits über Debian / Centos Server aufgebaut, würde aber alles gern über die UCS Struktur aufbauen, da mir die zentrale Verwaltung sehr gut gefällt.

Das wären jetzt mal die ersten Fragen, und ich bedanke mich im Voraus für ein paar hilfreiche Tipps.

Liebe Grüße

Robert


#2

Da spielt natürlich neben der Umgebungsgröße auch die Kostenbetrachtung mit rein, aber man könnte das folgendermaßen aufbauen (wo die zentralen Server stehen, ob im Internet oder an einem HQ Standort, ist Ermessenssache):

Zentraler UCS master + UCS backup (+ ggf. Mailserver?)
Standort UCS slaves (für lokales LDAP, etc.)
Standort UCS memberserver als Fileserver (aber das ist nach Belieben - das kann ja auch ein NAS machen)

Die Standortslaves sind gegen den master gejoint (initial lokal oder über VPN) und kommunizieren per VPN
Die Standortclients sind gegen die Standortslaves gejoint

Samba4 installiert mind. auf dem master und auf den Standortslaves wo Windows Clients eingesetzt werden.

Die Einbindung für Homearbeitsplätze kann dann per VPN in den Standort geschehen - ggf. muss man dann für Standorte nochmal detailliertere Netzwerkstrukturen überlegen und weitere member einbauen (VPN Gateway, o.ä.). “mobile clients” ist ein weites Feld - wenn es hier um mails geht, würden die sich zu einem zentralen mailserver connecten - inwieweit das Frontend das bereitstellt muss man dann sehen. Thema Sites: Samba AD-Domänen können in Sites strukturiert werden. Dies kann z.B. verwendet werden um Standorte in einer Domäne zu gruppieren. Im Hauptmenü der Gruppenrichtlinienverwaltung (RSAT-Tools) werden alle Sites aufgeführt. Dort findet sich auch eine Liste von Domänen. Die aktuellen Samba-Versionen unterstützen keine Forest-Domänen, so dass hier immer nur eine Domäne angezeigt wird.

Radius: http://wiki.univention.de/index.php?title=RADIUS

Ist das bereits hilfreich?


#3

Hallo Herr Thorp-Hansen,

erst mal vielen Dank für die detailierte Antwort.

Wenn ich das richtig verstehe, ist es am Sinnvollsten, das ganze als flache Domain-Struktur aufzubauen und die Locationen über die Gruppenrichtlinien / Standorte zu steuern.

Mails möchte ich nur zentral vorhalten (IMAP) das passt.

Zum Thema Radius, was ich noch nicht verstehe, wo hinterlege ich die Zuordnung zum VLAN. Am liebsten wäre es mir, wenn ich an einer Gruppe dieses Attribut hinterlegen könnte, so das Benutzer X immer z.B. im VLAN 20 landet. Was ich finde ist die Dokumentation, das eine Gruppe ACCESS hat, aber nicht welches VLAN er bekommt.

Ich danke dir im Voraus.

Robert


#4

So detailliert kann ich zu Radius leider nicht antworten, das tut mir leid. Im Moment klingt das Vorhaben für mich danach, als könnte man allgemeine Radius Konfigurationsanleitungen verwenden.