LDAP Server vom Slave-Server für Abfragen benutzen?

UCS - Univention Corporate Server
#1

Hallo,

Ich möchte mein Domain-Master von 2.2 auf 2.3 aktualisiern. Als konsequenz, muss ich den Master offline schalten bis der Upgrade erfolgreich durchgelaufen ist.

Problem ist nun - wie können meine Clients sich authentifizieren während der Ausfall? Ich habe gehofft, der Domain-Slave die Authentifizierung übernehmen könnte… Idealerweise, hätte ich bei den Client-Servers zwei Server-Einträge in der /etc/ldap.conf file, wie z.B.

uri ldap://192.168.1.140

Wenn der 130 ausfällt (der Domain-Master), würde der Client transparent auf der 140 ausweichen.

Leider scheint es nicht zu funktionieren, da der Slave ein komplett anderes Passwort hat für den root-binddn.

Hat jemanden einen Tipp, wie ich eine Lösung finden kann?

Gruss,
Will

#2

Hallo,

grundsätzlich ist es ohne weitere möglich einen DC-Slave zur Authentifizierung zu verwenden. Allerdings haben DC-Backup und DC-Slave Server keinen Schreibzugriff auf ihr LDAP-Verzeichnis. Für die reine Anmeldung von Benutzer sollte dies, sowie der Zugriff über einen “LDAP-root”, auch nicht notwendig sein (unter sdb.univention.de/1095 finden Sie eine Dokumentation zur Anbindung von Linux-Systemen die keine “LDAP-root” benötigt).

Sollten Sie zwingend einen LDAP-root auf dem DC-Slave System benötigen, können Sie auf den Update-Benutzer für die LDAP-Synchronisation zurückgreifen (cn=update,, Passwort aus /etc/ldap/rootpw.conf). Bitte beachten Sie aber dass Änderungen am LDAP des DC-Slave nicht auf andere Server Synchronisiert werden und die Synchronisation ggf. stören sobald der DC-Master wieder verfügbar ist.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon