Das Herzstück eines Identity Management-Systems ist ein Verzeichnisdienst, der an einer zentralen Stelle Benutzerdaten verwaltet und Applikationen zur Verfügung stellt. Beim Univention Corporate Server (UCS) übernimmt OpenLDAP diese Aufgabe. Da bei einem Ausfall des LDAP-Verzeichnisdienstes die Nutzung vieler angeschlossenen Systeme nicht mehr ohne Weiteres möglich ist, zeigen wir in diesem Beitrag, wie Sie Ihre UCS-Domäne auf eine solche Störung vorbereiten. Das Zauberwort heißt LDAP-Replikation – wenn die LDAP-Datenbank auf mehr als einem Server verfügbar ist, erhöht das nicht nur die Ausfallsicherheit, sondern verbessert auch die Performance.
Vorteile der LDAP-Replikation
Überlegungen zur Ausfallsicherung und Lastverteilung sind für größere Unternehmen und Organisationen, die über mehrere Standorte verteilt sind, unverzichtbar. Aber auch Betriebe mit wenigen Mitarbeitern profitieren von einem solchen Konzept. Fällt der Server mit dem Verzeichnisdienst aus, kann ein weiterer Server einspringen und dessen Aufgaben übernehmen. Dieser zweite Rechner sorgt darüber hinaus für eine Verbesserung der Performance, denn er kann ebenfalls Anfragen beantworten und so schnellen Zugriff auf die Daten gewährleisten.
Die LDAP-Replikation verteilt alle Daten automatisch zwischen den Servern, sodass diese immer den aktuellen Stand der Datenbank kennen. Die Konfiguration übernimmt UCS während der Installation selbst. Bevor wir uns der Einrichtung und den dabei eingesetzten UCS-Systemrollen zuwenden, wollen wir kurz erklären, wie die LDAP-Replikation in der UCS-Domäne grundsätzlich funktioniert.
LDAP / OpenLDAP: zwei Grundpfeiler des UCS Identity & Access Managements
Für diejenigen, die wenig technisches Hintergrundwissen zum Thema IAM in UCS haben, werden in diesem Artikel die Begriffe LDAP / OpenLDAP näher erläutert… mehr erfahren
DC Master, DC Backup und DC Slave
Der Domänencontroller Master ist der führende Server der Domäne. Er hat die einzige schreibbare Kopie des LDAP und ist der Ausgangspunkt aller Änderungen. Entsprechend gibt es immer genau einen Master in einer Domäne. Er enthält sensible Daten wie etwa Benutzerkennwörter und kann diese auch ändern. Der Domänencontroller Master hat darüber hinaus eine vollständige Kopie der SSL-Zertifikatskette.
Der Domänencontroller Backup ist eine exakte Kopie des Masters. Bei einem Totalausfall des Masters kann ein DC-Backup zum Master befördert werden, da er ebenfalls alle sensiblen Daten und die SSL-Zertifikate vorhält. Der DC Backup dient damit als sogenanntes Fallback-System.
Der Domänencontroller Slave ist ein Read-Only-LDAP Server, speichert die Domänendaten also „nur lesend“ als Kopie. Anders als der DC Backup enthält der Slave jedoch nicht alle SSL-Zertifikate – ein Slave kann daher niemals zum Master werden. Der Slave speichert jedoch alle Daten, um Applikationen ein lokales LDAP zu bieten. So können z. B. Groupware Server, die viele LDAP-Zugriffe benötigen, ohne Netzwerklatenzen auf die Daten zugreifen.
Beachten Sie unbedingt die Reihenfolge in der Replikation: Der Master führt die Änderung durch. Ein oder mehrere DC-Backup-Systeme replizieren vom Master. Die Slaves replizieren von einem der Backups oder direkt vom Master.
LDAP-Replikation konfigurieren
Rechner in einer UCS-Domäne können unterschiedliche Systemrollen haben. Das erste System einer UCS-Domäne erhält die Systemrolle Domänencontroller Master. Wenn weitere Systeme einer bestehenden UCS-Domäne beitreten, dann können sie die Systemrollen Domänencontroller Backup, Domänencontroller Slave oder Memberserver (Systeme ohne lokalen LDAP-Verzeichnisdienst) erhalten.
Die LDAP-Replikation richtet UCS vollautomatisch ein und setzt dabei auf den eigenen Listener/Notifier-Mechanismus. Der Listener-Dienst läuft auf allen UCS-Systemen. Der Notifier ist hingegen nur auf dem DC Master (und eventuell vorhandenen DC-Backup-Systemen) aktiv. Er überwacht Änderungen im LDAP-Verzeichnis und übermittelt diese an die Listener-Dienste.
Während der Installation eines neuen UCS-Rechners sollten Sie diesem unbedingt die richtige Systemrolle zuweisen. Im Einrichtungsassistenten wählen Sie dafür im Menü Netzwerk einen bestehenden UCS-Server als Domain Controller aus, damit der neue Rechner Ihren Master findet. Im Anschluss daran geht es ans Zuweisen der Systemrolle: Klicken Sie zuerst auf Einer bestehenden UCS-Domäne beitreten und wählen Sie danach die Rolle Domänencontroller Backup oder Domänencontroller Slave aus.
Auf der folgenden Seite geben Sie das Passwort für den Account Administrator ein. Beachten Sie, dass Sie alternativ einen Benutzernamen eines Accounts eintragen können, der gleichzeitig Mitglied in den beiden Gruppen Domain Administrators und Backup-Join ist. Ohne weitere manuelle Eingriffe erfolgt dann die endgültige Einrichtung am Schluss im Rahmen des Domänenbeitritts (Join).
Monitoring: LDAP-Replikation überprüfen
Die LDAP-Replikation ist natürlich nur dann nützlich, wenn Daten zuverlässig vom Master zu den anderen Servern übertragen werden. Insbesondere Netzwerkprobleme können aber zu Ausfällen in der Replikation führen. In den meisten Fällen ist die Replikation dabei selbstheilend.
Um den Replikationsstatus zu überwachen, können Sie die Monitoring-Software Nagios verwenden, die Sie im Univention App Center finden. Während der Installation werden automatisch verschiedene Nagios-Prüfungen für die UCS-Rechner in der Domäne eingerichtet, darunter auch eine Überwachung von LDAP-Servern und eine Überwachung der Replikation (u. a. Status der Replikation oder Stillstand).
Automatisch Ausfallsicher
Mit UCS ist es leicht, eine ausfallsichere Umgebung aufzubauen und eine LDAP-Replikation einzurichten. Dabei spielt es keine Rolle, wie viele Server, Computer und Benutzer sich in der Domäne befinden. Durch die automatische Einrichtung sind keine besonderen Kenntnisse notwendig, sodass einer Hochverfügbarkeit der Anmeldedienste nichts im Wege steht.