Server im Betrieb

Es ist ein altbekanntes Problem unter IT-Fachleuten: die einzelne Verwaltung von Benutzeraccounts für diverse Anwendungen und zugehörige Zugriffsrechte gestaltet sich schon mit wenigen Angestellten sehr zeitaufwändig. Ändern sich Zuständigkeiten oder kommen neue Mitarbeiter*innen hinzu, besteht die Gefahr, dass schnell Wildwuchs in der IT-Infrastruktur entsteht. Diese Prozedur ist nicht nur ein echter Zeitfresser; vielmehr leidet die Sicherheit auf Dauer immens darunter. Oftmals werden in der Konsequenz die Verwaltung der Benutzer und deren Berechtigungen vernachlässigt. Dieses Problem wächst parallel zur Größe des Unternehmens und kann irgendwann bedenkliche Ausmaße annehmen. Um wieder Herr der Lage zu werden, empfiehlt sich das Anlegen einer zentralen Benutzerverwaltung in Form eines Identity-Management-Systems.

Nicht selten stellt ein LDAP-Verzeichnisdienst, den wir übrigens auch in unserem Univention Corporate Server verwenden, den Kern eines Identity Management Systems dar. Die Abkürzung „LDAP“ steht für engl. Lightweight Directory Access Protocol. Wie dieser Name schon vermuten lässt, wird damit zunächst lediglich das Protokoll beschrieben. Allgemein sprechen wir aber gern von „dem LDAP“, obwohl wir eigentlich den LDAP-Verzeichnisdienst im Sinn haben.

Funktionen des LDAP-Verzeichnisdienstes

Der LDAP-Verzeichnisdienst nimmt in einem IT-Netzwerk eine zentrale Rolle ein: beispielsweise stellt er Benutzerdaten zur Verfügung, die sich zur Authentifikation von Usern nutzen lassen. Aber auch für Gruppenmitgliedschaften einzelner Nutzer, mit denen sich wiederum Berechtigungsstrukturen unkompliziert abbilden lassen, werden die Benutzerdaten aus dem LDAP-Verzeichnis gebraucht. Das Chaos, das durch einen Ausfall des Verzeichnisdienstes ausgelöst würde, ist einfach vorstellbar; insofern ist es essentiell, ihn vor fehlenden Netzwerkverbindungen, Überlastungen oder Hardware-Schäden zu schützen.

Vorbeugen durch LDAP-Replikation

Mit einer LDAP-Replikation lässt sich einem Ausfall des Verzeichnisdienstes präventiv entgegentreten. Dazu wird der Inhalt des LDAP von einem zentralen Server auf weitere Server mit installiertem LDAP-Dienst kontinuierlich übertragen. Dadurch erreicht man eine optimale Lastenverteilung, ist für ein größeres Aufkommen an Anfragen gefeit und kann die Performance in der IT-Infrastruktur nachhaltig verbessern.
Ausfallsicherheit ist ein weiterer wesentlicher Vorteil der LDAP-Replikation: mit nur einer LDAP-Verzeichnisinstanz in Benutzung fällt ein etwaiger Ausfall desselben natürlich unmittelbar und gravierend ins Gewicht. Dieses Risiko lässt sich durch die Etablierung mehrerer LDAP-Repliken optimal verringern.

Anwendungsszenarien für LDAP-Replikation

Innerhalb der IT-Infrastruktur lassen sich die Daten eines LDAP-Verzeichnisses vielseitig via LDAP-Replikation bereitstellen. Diese Option ist besonders für Organisationen und Unternehmen von Vorteil, die an mehreren Standorten zugleich tätig sind und sowohl ihre IT-Performance verbessern als auch die Ausfallwahrscheinlichkeit verringern wollen.

Szenario „Unternehmen mit mehreren Filialen oder Standorten“

Eine Firma betreibt neben ihrem Hauptsitz noch weitere kleinere Standorte, an denen den Mitarbeiter*innen der Zugriff auf die IT-Infrastruktur sowie auf die elementaren laufenden Anwendungen ermöglicht werden soll. Um dies zu gewährleisten, wird an allen Standorten des Unternehmens ein Standort-Server eingerichtet, der die Abfragen an die LDAP-Verzeichnisse lokal beantworten kann. Falls es nun zum Ausfall der Verbindung zum Firmen-Hauptsitz kommt, beeinträchtigt das den Workflow nicht. Einzige Einschränkung: Änderungen am Verzeichnisdienst (bspw. an Benutzern und Gruppen) können erst wieder vorgenommen werden, wenn der zentrale Server (bislang „Domaincontroller Master“, ab UCS 5.0 dann „Primary Directory Node“) als führendes System wieder online ist.

Szenario: „Lastenverteilung für weitere Anwendungen erhöhen“

Ein junges, im dynamischen Wachstum begriffenes Unternehmen hat Bedarf an einer Groupware. Bisher wird seitens der Firmen-IT ein einzelnes UCS-System betrieben, das bereits gut ausgelastet ist, da es die Aufgaben des LDAP-, DNS-, DHCP-, Samba AD-, Druck- und Fileservers abbildet. Um durch den Einsatz der geplanten Groupware keinen Server-Ausfall zu provozieren, wird ein weiterer Server angeschafft, auf dem nun ein UCS eingerichtet wird, welches als Domaincontroller Backup (mit Einführung der neuen Namen für Systemrollen ab UCS 5.0 dann „Backup Directory Node“) dient. Auf diesem läuft dann schlussendlich auch die Groupware. Dank UCS auf der einen und der LDAP-Replikation auf der anderen Seite kann das Groupware-System nun direkt auf eine lokale Kopie des LDAP-Verzeichnisdienstes zugreifen, ohne dafür erst Anfragen an den Domaincontroller Master stellen zu müssen.

LDAP-Verzeichnisdienst mit UCS replizieren

Schematische Darstellung einer Lastenverteilung durch DLAP-Replikation

Mittels LDAP-Replikation kann die Anfragenlast optimal auf mehrere Server aufgeteilt werden.

Hier liegt ein großer Vorteil für UCS-Nutzer*innen: die LDAP-Replikation läuft vollautomatisch. Der Prozess lässt sich gut über den Univention-eigenen Listener/Notifier-Mechanismus abbilden. Besonders praktisch: bei der Einrichtung weiterer UCS-Systeme müssen im Zuge der Installation nur die Rollen „Domaincontroller Backup“ oder „Domaincontroller Slave“ zugewiesen werden, während der Domaincontroller Master als DNS-Server ausgewiesen wird.
Mittels DNS findet das neu zu installierende UCS alle wesentlichen Informationen. Für gewöhnlich tritt es bereits während der Installation der Domäne bei und fängt in diesem Zuge auch gleich mit der LDAP-Replikation an. Für den Administrierenden bedeutet das: Eine manuelle Konfiguration oder das Editieren von config-Files via Kommandozeile ist nicht notwendig. Die Kopie des LDAP-Verzeichnisses ist zeitgleich mit dem Abschluss der Installation von UCS fertig und einsatzbereit.
Weitere Informationen zur Potential-Ausschöpfung von UCS hinsichtlich Ausfallsicherheit liefert auch der Artikel „Fail-safe domain setup“ aus unserem Hilfeforum Help (in englischer Sprache).

Einen Schritt weiter: Selektive LDAP-Replikationen

Schematische Darstellung selektiver LDAP-Replikation

Selektive LDAP-Replikation kann vor allem für Unternehmen mit mehreren Standorten sinnvoll sein.

Es kann Szenarien geben, bei denen eine Strukturierung nach Organisationseinheiten im Zusammenspiel mit der selektiven LDAP-Replikation sinnvoll ist. Dies ist zum Beispiel dann der Fall, wenn einzelne Standorte nicht über den Verzeichnisinhalt eines anderen Standortes verfügen sollen. In einem solchen Szenario erfolgt die zentrale Bereitstellung der Daten dennoch wie gewöhnlich am Hauptsitz des Unternehmens beziehungsweise über den Master-Server. Jedoch werden nur die Inhalte der betreffenden Standort-Organisationseinheiten an den dazugehörenden Standort-Server repliziert. Dieses Verfahren bietet den Vorteil, dass die Gesamtlast innerhalb der IT-Struktur vermindert wird und nicht wahllos jeder Mitarbeiter und jede Mitarbeiterin mit entsprechenden Berechtigungen auf sämtliche Daten aller Standorte zugreifen kann. Wir wenden dieses Verfahren zum Beispiel standardmäßig bei unserem Produkt UCS@school an, da dort natürlich die Daten einzelner Schulen voneinander getrennt werden müssen.

 

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Michael Grandjean

Michael begann 2007 eine Ausbildung zum Fachinformatiker Systemintegration bei der G&M IT-Systeme GmbH, wo er anschließend in der Abteilung Support, Administration und IT-Sicherheit kleine und mittelständische Unternehmen betreute und eine Weiterbildung zum IT-Sicherheitsmanager abschloss. 2013 wechselte er als Open Source Software Consultant in das Professional Services Team von Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert