Hallo,
ich habe den Job, in unseren beiden Rechenzentren eine zentrale Authentifizierung einzuführen. Im Anhang habe ich aufgezeichnet, wie ich mir die Struktur vorstellen würde. Sehr gerne hätte ich zur Lösung der Aufgabe auf Univention gesetzt, bin jedoch nach der Lektüre eures Handbuchs der Meinung, dass mein Konzept auf diese Art nicht umsetzbar ist. Habe ich etwas übersehen, oder gibt es eine doch eine Lösung für mein Problem? Kann ich evtl eine “Forest”-Struktur mit Univention betreiben?
Grüße
Moin,
Univention unterstützt sehr wohl den Betrieb mehrerer netwerktopologisch voneinander getrennter Netze durch die Verwendung von Servern mit der Rolle »Domaincontroller Slave«. Der verlinkte Handbuchabschnitt enthält de facto sogar genau die Grafik, die Sie selber auch erstellt haben.
Diese DC Slaves enthalten eine Kopie des LDAPs (und damit der User, Gruppen, Computer etc.) und können somit als lokale Authentifizierungsquelle genutzt werden, und zwar unabhängig davon, ob am Hauptstandort gerade die Internetverbindung etabliert ist oder nicht. Die LDAP-Daten werden laufend über den Notifier/Listener-Mechanismus synchronisiert. Modifikationen werden ausschließlich an den Domaincontrollern Master/Backup vorgenommen.
Um auf Ihr Konzept zurückzukommen, würde ich daher:
[ul][li]einen VPN-Tunnel zwischen Hauptstandort und Rechenzentrum aufbauen,[/li]
[li]im Rechenzentrum eine IP für den DC Slave vorsehen,[/li]
[li]firewalltechnisch auf dem VPN-Tunnel ausschließlich den Verkehr zwischen DC Master und dem DC Slave erlauben (idealerweise nur die wirklich benötigten Ports; welche das sind, sollte sich auf einem laufenden DC Master herausfinden lassen — zumindest 7389 für LDAP, 6669 für den Directory Notifier/Listener-Mechanismus sowie der SSH-Port),[/li]
[li]einen DC Slave im Rechenzentrum einrichten und in die vorhandene Domäne joinen.[/li][/ul]
Das ist auch wieder de facto genau der Aufbau, der in der eingangs erwähnten Grafik zu sehen ist.
Einen Replikationsmechanismus zwischen zwei komplett getrennten Univention-Domänen (das, was Sie vermutlich mit »Forest« meinen) gibt es hingegen nicht, nur einen, um mit Hilfe des Univention AD Connectors Accounts mit einer von Windows-DCs betriebenen AD-Struktur zu synchronisieren.
Was es noch gibt, ist der OpenLDAP-eigene syncrepl-Mechanismus zur Duplizierung von LDAP-Verzeichnisinhalten. Hiermit habe ich persönlich wenig Erfahrung und würde die Einrichtung auch nicht unbedingt empfehlen, da die Verwendung eines DC Slaves schlicht deutlich weniger Arbeits- und Konfigurationsaufwand nach sich zieht.
Gruß,
mosu