HowTo: 2x UCS-Domain, eimal davon in der DMZ?

german

#1

Guten Tag,

wir sind neu im Univention-Universum, aber nicht neu auf Linux. Für einen Kunden mit schützenswerten Daten soll der Umstieg von SBS2003 auf UCS geplant werden. Der abzulösende SBS2003 war Domaincontroller und Mailserver. Diese beiden Funktionen möchten wir nun trennen. Dazu soll in der DMZ vor der Firewall ein UCS mit Zafara arbeiten (Mailverkehr). Hinter der Firewall (mit NAT) soll eine Domain auf UCS-Basis aufgebaut werden.

Wie gehe ich am Besten vor?
Eine eigenständige UCS-Domain mit Userverwaltung in der DMZ und eine weitere UCS-Domain für das interne Netz?
Oder kann man die Domain von “drinnen” verwenden und den UCS-Server aus der DMZ einbinden, so dass User nur einmal verwaltet werden müssen?

Vielen Dank für Antworten im Voraus!


#2

Moin,

es gibt für mein Dafürhalten keinen guten Grund (auch sicherheitstechnisch nicht), hier zwei getrennte Domänen zu nutzen. Was ich statt dessen vorschlagen würde, wäre das folgende Konzept:

[ul][li]Der Hauptserver (im UCS-Jargon: »Domaincontroller Master« oder »DC Master«) steht im internen Netz. Über ihn erfolgt die Benutzerverwaltung. Er enthält das LDAP-Verzeichnis.[/li]
[li]In der DMZ wird ein UCS-Memberserver mit Postfix & Zarafa installiert. Zarafa wird über das UCS-AppCenter installiert. Dadurch wird es automatisch so konfiguriert, dass es den DC Master als Authentifizierungsquelle nutzt. Alle auf dem Master angelegten und als »Zarafa-User« geflaggten Accounts stehen somit automatisch auf dem Zarafa-Server zur Verfügung.[/li]
[li]Die Firewall zwischen internem Netz und DMZ muss natürlich für die Kommunikation zwischen den beiden Servern angepasst werden.[/li][/ul]

Zum Hintergrund: In UCS gibt es grob vier relevante Serverrollen:

[ul][li]Domaincontroller Master – gibt es genau ein mal; maßgebliche Quelle für Benutzerverwaltung[/li]
[li]Domaincontroller Backup – enthält dieselben Konfigurationsdaten wie der Master und dient als Notfallgerät für Disaster-Zwecke, falls der Master nicht mehr zur Verfügung steht (nur sinnvoll, wenn auf anderer Hardware laufend)[/li]
[li]Domaincontroller Slave – enthält ebenfalls ein LDAP und ist für z.B. Außenstellen geeignet, um einen netzwerktopologisch lokalen Authentifizierungsdienst bereitzustellen[/li]
[li]Memberserver – enthält als einziger keinen LDAP und dient als Arbeitspferd für beliebige Dienste[/li][/ul]

Die meisten kleineren Firmen fahren gut mit Modellen, in denen es den Master und zuzüglich mehrere Memberserver gibt.

Gruß,
mosu


#3

hi Moritz_Bunkus,

grundsätzlich muss ich dem Beitrag nach über einem Jahr zustimmen.

Es gibt aber ein paar Anwendungsfälle, in denen man Active Directory benötigt.
z.B. die Verwaltung von Nutzerzugängen über LDAP.

freundliche Grüße
fine77