Ideen AD <-> LDAP Sync

UCS - Univention Corporate Server
,
#1

Hallo,

derzeit ist es ja so, dass man im Grunde immer eine Verbindung zum Domänencontroller Master braucht, welches in manchen Fällen aber nicht Ideal ist…
Nun gibt es ja die SMB4 AD Implementierung, mit welchem ich Ideal regeln kann, wer mit wem synct (AD Sites), bzw. kann sogar für Aussenstellen RO AD definieren, um zB. nur Passwörter von bestimmten Nutzern zu synchronisieren…

Nur bringt mir dieses alles nichts, da eure OpenLDAP Univention Integrierung sowieso kein RO (für Passwörter Synchronisierung) unterstützt, bzw. ist hier sowieso immer nur ein LDAP beschreibbar…

Daher meine Frage:

Habt ihr schonmal über folgende Dinge nachgedacht:

Das OpenLDAP komplett abzulösen, und alles über das AD laufen zu lassen. Ich denke, den DHCP Server in das AD zu integrieren, wird nicht das große Problem sein.
Wenn OpenLDAP trotzdem benötigt wird, kann man auf bestimmte Server (oder auch auf allen Servern) das OpenLDAP nachinstallieren, wobei dieses mit dem lokalen AD synchronisiert, somit wären auch alle OpenLDAPs beschreibbar, und in den OpenLDAPs liegen dann auch nur die Passwörter, welche gesynct werden sollen (im Falle eines RO ADs).

Der univention-notifier Dienst würde komplett fallen, alle listener horchen auf ihr lokales LDAP.

Falls das lokale OpenLDAP ablösen nicht in Frage kommt (wird wahrscheinlich so sein), so könnte man es wie folgt lösen:


Jeder Server bekommt ein AD, zusätzlich bekommt jeder Server ein OpenLDAP. Jeder Server synchronisiert eigenständig das AD zu seinem lokalen OpenLDAP.

Vorteile:
[ul]Jeder OpenLDAP Server ist beschreibbar, im Falle einer Änderung wird diese zum lokalen AD Server synchronisiert, dieser rollt die Änderung im Netzwerk aus
Ich kann RO ADs / OpenLDAPs definieren, somit kann ich bei Aussenstellen steuern, welche Benutzerpasswörter synchronisiert werden sollen.
Man ist nicht von einem beschreibbaren OpenLDAP Server abhängig.[/ul]

Meinungen?

#2

Danke für die Anregungen und ja, grundsätzlich denken wir über viele Dinge nach. :wink:

Punkte, die mit diesem Konzept schwierig werden:
[ul]

[li] Selektive Replikation ist mit DRS so nicht möglich. Es gibt zwar RODCs, aber auch in diesem Fall sind alle Benutzer auf allen DCs. Das ist ein Blocker für viele unserer Kunden.

[/li]
[li] Umgebungen ohne AD. Wir haben viele Kunden, die aktuell AD nicht einsetzen und auch zukünftig nicht einsetzen werden. Diese Kunden werden weiterhin OpenLDAP einsetzen, da es in sehr großen Umgebungen derzeit eine bessere Performance bietet. Auch wollen einige Kunden derzeit nicht die Komplexität eines AD in ihrer Umgebung haben.

[/li]
[li] Schema Erweiterungen sind in OpenLDAP deutlich transparenter und einfacher, auch die Schema-Replikation müsste in diesem Konzept berücksichtigt werden.

[/li]
[li] ACLs für Verzeichnisdienste sind mit Samba 4 derzeit deutlich umfangreicher einzurichten.[/li][/ul]

Wir arbeiten im Moment auch daran die Multimaster-Replikation in UCS zu ermöglichen. In einigen Kundenumgebungen wird beispielsweise die Passwortsynchronisation schon ermöglicht, auch wenn der Master nicht verfügbar ist. Sobald der Master wieder verfügbar ist, werden die Änderungen repliziert.

Wenn Sie in der Umgebung bereits Samba 4 per DRS einsetzen, dann ist es ja nicht so, dass Sie zwingend die Verbindung zum DC Master benötigen. Die Daten innerhalb der Samba 4 Umgebung werden bereits per DRS repliziert, auch ohne Master.

Viele Grüße
Stefan Gohmann

Mastodon