LDAP Slave in DMZ

german

#1

Hallo,

ich habe folgendes vor: Für ein paar Projekte ist es gewünscht, dass unser LDAP extern erreichbar ist. Dazu hatte ich folgendes vor:

LDAP Master im internen Netzwerk
LDAP Slave in der DMZ

Die Firewall zwischen Green und Orange lässt aktuell DNS, ICMP ECHO und LDAP (389) durch, ich hatte auch kurz mal “any” erlaubt, da die DMZ von aussen grad “dicht” ist.
Jedoch scheitert es an einer Verbindung zwischen Slave und Master.

Der Slave war so konfiguriert, dass er den Master als DNS Server eingestellt hatte. In einer extra VM hatte ich bereits Dinge wie: DNS Lookup, Ping und ldapsearch probiert und konnte den Master von der DMZ aus abfragen. Das ging also problemlos. Bei der Installation meint der Installer bereits, dass er Probleme hat, sich zum Master zu verbinden, zu dem Zeitpunkt habe ich leider keine direkte Möglichkeit das nachzuvollziehen (komplett GUI und kein ssh möglich zu diesem Zeitpunkt). Hat bereits mal jemand so ein Szenario eingerichtet? Eigentlich sollte doch das größte Problem die DNS Auflösung des Masters bzw. der Zone sein, oder?

Muss ich am LDAP Master noch Änderungen vornehmen, dass dieser den Slave akzeptiert?

Grüße
Simon


#2

Hallo,

ich lese aus Ihrem Post nicht heraus, dass Sie schon SDB: ID #1255 - Auf welche TCP/UDP-Ports des UCS Masters müssen andere UCS-System zugreifen können? gesehen haben.

Viele Grüße,
Dirk Ahrnke


#3

Hallo,

wir haben das mit dem SDB: ID #1255 ans laufen bekommen und unseren Jabber (Plucs) in die DMZ verschoben.

Aber generell stellt sich für mich die Frage:

Wie sieht das eigentlich mit der Sicherheit aus?

Wäre es vielleicht Sinnvoller das per VPN Tunnel anzubinden?

Wie würden das die Expoerten machen? Kann jemand was zu euren Lösungen sagen?

Viele Grüße
Fitus


#4

Es stand wohl noch ein Neustart der Dienste am Master aus. Ich hatte vorher noch eine Änderung an der Netzwerkkonfiguration gemacht und diese wurde laut UI ordentlich übernommen, dennoch ging es nach dem Neustart erst.

Danke und Grüße
Simon