In „Ausfallsicherheit und Lastverteilung durch LDAP-Replikation“ habe ich mich auf die Beschreibung des OpenLDAP-Verzeichnisdienstes von UCS konzentriert. OpenLDAP nützt mir nur leider vergleichsweise wenig, wenn ich in meinem Netzwerk Windows-Systeme betreiben möchte, denn Windows spricht von Haus aus nicht das standardkonforme LDAP-Protokoll, sondern einen besonderen Dialekt, den Microsoft für sein Active Directory gewählt hat. Ich möchte beschreiben, mit welchen in Univention Corporate Server integrierten Technologien wir diesem Umstand begegnen und gehe dabei näher auf eine Replikation via Listener/Notifier für OpenLDAP, DRS-Replikation für das Active Directory und den „Univention S4 Connector“ ein, der zwischen beiden Welten synchronisiert.

Zwei Welten

UCS hat seit jeher den Anspruch, heterogene Netzwerke verwalten zu können und schlägt daher Brücken, um die Linux/Unix-Welt mit der Windows-Welt zu verbinden. Um den unkomplizierten Betrieb von Windows-Systemen in einer UCS-Domäne zu ermöglichen, bietet UCS mithilfe der Samba Software Suite auch Active Directory kompatible Domänendienste an und ersetzt dadurch Microsoft Windows Domaincontroller.

Um sowohl die Linux-Clients und -Server sowie die darauf aufbauenden Applikationen als auch die Windows-Systeme und deren Applikationen bedienen zu können, wird auf einem UCS-System neben dem grundsätzlich immer vorhandenen OpenLDAP-Verzeichnisdienst noch ein zweiter, AD-kompatibler Verzeichnisdienst eingerichtet. Dieser AD-kompatible Samba-Verzeichnisdienst belegt dann auch die Standardports für LDAP 389 und 636 – denn dort erwarten die Windows-Systeme einen Verzeichnisdienst, der sich wie ein Active Directory verhält. Der OpenLDAP-Verzeichnisdienst verwendet hingegen die Ports 7389 und 7636 – hier ist eine (Um-)Konfiguration des verwendeten Ports bei Client-Systemen in aller Regel unkompliziert. Bei UCS- und UCC-Systemen ist dies bereits automatisch der Fall.

Nun haben wir also einen Verzeichnisdienst für die Linux-Welt und einen Verzeichnisdienst für die Windows-Welt. Der große Vorteil von UCS ist an dieser Stelle die automatische Synchronisation zwischen den beiden Verzeichnisdiensten. Diese wird mit dem von Univention entwickelten „Univention S4 Connector“ durchgeführt, der bei relevanten Änderungen in einem der beiden Verzeichnisdienste die jeweilige Änderung sofort in den jeweils anderen Verzeichnisdienst übernimmt. Dadurch verfügen beide Welten stets über denselben Informationsstand, die beiden Verzeichnisdienste werden zu einer gemeinsamen Domäne zusammengeschlossen.
Im Übrigen übernimmt Samba in diesem Szenario dann auch den Kerberos-Dienst und stellt seinen Verzeichnisdienst als DNS-Backend für den Nameserver ISC Bind bereit.

Univention S4 Connector

Wie funktioniert nun die Replikation?

Wie im vorangegangenen Artikel aufgezeigt, bietet die Replikation des Verzeichnisdienstes auf andere Server-Systeme einige Vorteile. Während UCS ein hierarchisches Replikationsmodell umsetzt, erfolgt die Replikation in einem Active Directory (und damit natürlich auch bei Samba AD Domaincontrollern) als sog. Multi-Master-Replikation – jeder Domaincontroller kann von und mit jedem anderen Domaincontroller replizieren. Dabei kommt der sog. Directory Replication Service (DRS) zum Einsatz.

Die Multi-Master-Replikation hat Vorteile – z. B. kann eine Änderung dann an jedem beliebigen Domaincontroller vorgenommen werden, bringt aber auch Nachteile mit sich. So kann bspw. nicht einfach eine selektive Replikation wie im vorangegangenen Artikel für OpenLDAP erwähnt umgesetzt werden. Auch skaliert die Multi-Master-Replikation im direkten Vergleich weniger gut. Wenn jeder Domaincontroller mit jedem anderen Domaincontroller kommunizieren muss, erzeugt das alleine natürlich schon Last auf den Systemen und auf Netzwerkebene. Hier bietet Active Directory mit seinem Standort („Site)-Konzept aber weitere Möglichkeiten.

Putting the pieces together

Wir haben also hierarchische Replikation über Listener/Notifier für OpenLDAP, Multi-Master-Replikation über DRS für das Active Directory und den „Univention S4 Connector“, der zwischen beiden Welten synchronisiert.Replikation und Synchronisation in UCS mit Samba ADDer Univention S4 Connector ist zwar auf allen UCS-Domänencontrollern installiert, aber immer nur auf einem aktiv. Standardmäßig ist dies das erste UCS System, auf dem Samba als Active Directory kompatibler Domaincontroller installiert wird. Im Regelfall empfiehlt sich hier der UCS DC Master.

Änderungen, die bspw. über die webbasierte Univention Management Console (UMC) vorgenommen werden, landen zunächst im OpenLDAP und werden, sofern relevant, über den Univention Listener/Notifier-Mechanismus auf die übrigen UCS-Systeme repliziert. Gleichzeitig synchronisiert der Univention S4 Connector die Änderung, sofern relevant, in den Samba-Verzeichnisdienst. Samba repliziert die Änderung dann über DRS an alle übrigen Samba-AD-Server.Replikation UCS zu Samba

Der umgekehrte Weg funktioniert natürlich ebenfalls: Ändert bspw. ein Benutzer sein Kennwort an seinem Windows-Client, wird die Änderung zunächst gegen einen der Samba AD Domaincontroller vorgenommen. Dieser repliziert wiederum per DRS u. a. zum UCS DC Master, dort synchronisiert der Univention S4 Connector die Änderung des Kennwort-Hashes nach OpenLDAP und von dort gelangt die Information per Listener/Notifier auch in die übrigen OpenLDAP-Instanzen. Das gleiche gilt, wenn mit den Windows Remote Server Administration Tools (RSAT) z. B. Benutzer oder Gruppen angelegt oder geändert werden. Diese Möglichkeit habe ich mit UCS ebenfalls.Replikation Samba zu UCSÜber diese Mechanismen, die Änderungen an einem Verzeichnisdienst augenblicklich in den anderen Verzeichnisdienst und dessen Repliken übertragen, schafft UCS also die Möglichkeit, auch große, heterogene IT-Infrastrukturen einfach und zentral zu verwalten. Administratoren haben somit flexible Möglichkeiten, um Änderungen vorzunehmen und UCS kümmert sich automatisch darum, dass die Informationen auf allen relevanten Systemen ankommen.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Michael begann 2007 eine Ausbildung zum Fachinformatiker Systemintegration bei der G&M IT-Systeme GmbH, wo er anschließend in der Abteilung Support, Administration und IT-Sicherheit kleine und mittelständische Unternehmen betreute und eine Weiterbildung zum IT-Sicherheitsmanager abschloss. 2013 wechselte er als Open Source Software Consultant in das Professional Services Team von Univention und verantwortet diesen Bereich seit Anfang 2019.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Michael Kolowicz

    Super Grundlagenartikel über den komplexen Mechanismus

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.