LDAP Verzeichnis mit UCS

Schon mit wenigen Mitarbeitern ist die einzelne Verwaltung von Benutzeraccounts für diverse Anwendungen und zugehörige Zugriffsrechte sehr zeitaufwändig. Spätestens wenn sich Zuständigkeiten ändern oder neue Mitarbeiter hinzukommen entsteht schnell ein Wildwuchs bei der IT-Infrastruktur, der nicht nur zeitraubend, sondern auch mit der Zeit immer unsicherer wird. Eine häufige Folge: Die Verwaltung der Benutzer und deren Berechtigungen wird irgendwann vernachlässigt. Je größer das Unternehmen wird, desto bedenklicher und fahrlässiger wird solch eine wild gewachsene Infrastruktur. Um die eigene IT wieder unter Kontrolle zu bringen schafft eine zentrale Benutzerverwaltung in Form eines Identity-Management-Systems Abhilfe.

Herzstück eines Identity-Management-Systems ist oftmals ein sog. LDAP-Verzeichnisdienst, der auch in unserem Univention Corporate Server integriert ist. LDAP steht für Lightweight Directory Access Protocol, bezeichnet also erstmal nur das Protokoll, wobei umgangssprachlich auch gerne von „dem LDAP“ gesprochen wird, wenn eigentlich der LDAP-Verzeichnisdienst gemeint ist.

Was tut der LDAP-Verzeichnisdienst überhaupt?

Der LDAP-Verzeichnisdienst stellt in einem IT-Netzwerk zentral bestimmte Informationen zur Verfügung wie zum Beispiel Benutzerdaten, die dazu genutzt werden können, einen Benutzer oder eine Benutzerin zu au­then­ti­fi­zie­ren oder Gruppenmitgliedschaften, mit denen auf einfache Weise Berechtigungsstrukturen abgebildet werden können. So kommt diesem Dienst oft eine entscheidende, unternehmenskritische Rolle zu, weswegen sichergestellt werden muss, dass er nicht beispielsweise aufgrund von Überlastung, Hardware-Schäden oder fehlender Netzwerkverbindung ausfällt.

Das Zauberwort lautet hier LDAP-Replikation: Der Inhalt des Verzeichnisdienstes wird von einem zentralen Server auf weitere Server mit installiertem LDAP-Dienst repliziert. So kann die Last der Anfragen besser verteilt und damit eine höhere Performance in der IT-Infrastruktur erreicht werden. Auch gibt es natürlich den Vorteil der Ausfallsicherheit, denn bei nur einer Instanz des LDAP-Verzeichnisses macht sich ein Ausfall für die Benutzer in einem Unternehmen oder einer Organisation sehr schnell und sehr deutlich bemerkbar. Sind mehrere LDAP-Repliken verfügbar, ist das Ausfallrisiko logischerweise deutlich geringer.

Welche Anwendungszenarien für LDAP-Replikationen gibt es?

Mit einer LDAP-Replikation kann man die Daten eines LDAP-Verzeichnisses sehr vielseitig innerhalb der IT-Infrastruktur bereitstellen. Gerade bei Unternehmen oder Organisationen, die über mehrere Standorte verteilt sind, ist dies eine sehr gute Möglichkeit, um die Performance und Ausfallsicherheit zu steigern.

Anwendungsbeispiel „Unternehmen mit mehreren Standorten oder Filialen“:

Ein Unternehmen besitzt neben dem Hauptsitz noch weitere Filialen oder Standorte, an denen die Mitarbeiter auf die IT-Infrastruktur und die in der zentrale laufenden Anwendungen zugreifen sollen. In jeder Filiale des Unternehmens wird deshalb je ein DC-Slave-Server aufgestellt, um die Abfragen an die LDAP-Verzeichnisse lokal beantworten zu können. Fällt die Verbindung zum Haupsitz aus, können die Mitarbeiter*Innen trotzdem weiterarbeiten. Lediglich Änderungen können nicht durchgeführt werden, solange der zentrale Master-Server nicht erreichbar ist.

Anwendungsbeispiel „Erhöhung der Lastverteilung für weitere Anwendungen“:

In einem jungen, sich dynamisch entwickelnden Unternehmen soll endlich eine Groupware eingeführt werden. Bislang betreibt das Unternehmen einen einzelnen UCS Domaincontroller Master, der bereits als LDAP-, DNS-, DHCP-, Samba AD-, Druck- und Fileserver dient. Der Einsatz der neuen Groupware würde den Server früher oder später überlasten, weswegen ein zweiter Server angeschafft wird. Dort wird wiederum ein UCS als Domaincontroller Backup oder Slave installiert, auf dem anschließend die Groupware läuft. Das Groupware-System verfügt nun dank UCS und der LDAP-Replikation ohne weitere Eingriffe über eine lokale Kopie des LDAP-Verzeichnisdienstes. Die Groupware selbst kann direkt auf diese lokale Kopie zugreifen und muss ihre Anfragen nicht über das Netzwerk an den Domaincontroller Master stellen.

Doch wie funktioniert eine LDAP-Replikation mit UCS?

LDAP ReplikationBei UCS glücklicherweise vollautomatisch. UCS setzt auch bei der LDAP-Replikation auf den Univention-eigenen Listener/Notifier-Mechanismus. Das hat u.a. den Vorteil, dass einem zweiten, dritten oder x-ten UCS System lediglich bei der Installation die Rolle „Domaincontroller Backup“ oder „Domaincontroller Slave“ zugewiesen und das erste UCS System (Domaincontroller Master) als DNS-Server angegeben werden muss. Das zu installierende UCS System findet über DNS alle relevanten Informationen, tritt in der Regel bereits während der Installation der Domäne bei und beginnt direkt mit der LDAP-Replikation. Eine manuelle Konfiguration oder gar das Editieren von config-files auf der Kommandozeile entfällt komplett. Die Replik des LDAP-Verzeichnisses ist unmittelbar nach der Installation einsatzbereit.

Um auch das Potential hinsichtlich Ausfallsicherheit voll ausschöpfen zu können, sollte noch der SDB-Artikel „Fail-safe domain setup“ beachtet werden.

Für Fortgeschrittene: Selektive LDAP-Replikation

Selektive LDAP-ReplikationWenn bspw. Standorte nicht über die LDAP-Verzeichnisinhalte anderer Standorte verfügen sollen, kann eine Strukturierung nach Organisationseinheiten (OUs) in Verbindung mit einer selektiven Replikation zum Einsatz kommen. So werden die Daten zwar zentral im Master am Hauptsitz komplett vorgehalten, aber nur die Verzeichnisdienst-Inhalte der jeweiligen Standort-OUs auch an die Standort-Server repliziert. Vorteil: Die Last innerhalb der gesamten IT-Infrastruktur ist deutlich geringer und der Leiter der Filiale A hat nicht automatisch Zugriff auf die Daten der Filiale B. Dieses Prinzip kommt beispielsweise standardmäßig bei dem Produkt UCS@school zum Einsatz, um die Daten der einzelnen Schulen voneinander zu trennen.

Im nächsten Blogartikel: Synchronisation und Replikation mit Samba Active Directory

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Michael begann 2007 eine Ausbildung zum Fachinformatiker Systemintegration bei der G&M IT-Systeme GmbH, wo er anschließend in der Abteilung Support, Administration und IT-Sicherheit kleine und mittelständische Unternehmen betreute und eine Weiterbildung zum IT-Sicherheitsmanager abschloss. 2013 wechselte er als Open Source Software Consultant in das Professional Services Team von Univention und verantwortet diesen Bereich seit Anfang 2019.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.