Problem: Ein externer LDAP-Server soll lesend an den UCS 2.3 Verzeichnisdienst angebunden werden

Lösung: Ein Slurpd-ähnliches Replikationsverfahren ist mit einem Syncrepl-ProxySetup realisierbar

Die für die folgende Anleitung notwendigen Dateien können in Form eines tar-Archivs aus dem Anhang dieses Artikels heruntergeladen und auf einen UCS DC Master kopiert werden. Der anzubindende externe LDAP Server ist im folgenden Beispiel als 'extldap.univention.test' bezeichnet, für die UCS Domäne wird in der Anleitung als BasisDN 'dc=univention,dc=test' verwendet, diese Namen sind an die lokalen Gegebenheiten anzupassen. Im Wesentlich sind vier Schritte notwendig, die als root-Benutzer auf dem UCS DC Master und dem anzubindenden System auszuführen sind:

Als erstes sollte im UDM ein Rechner-Objekt vom Typ IP-Managed Client für extldap.univention.test mit DNS-Einträgen angelegt werden. Dadurch werden auch SSL-Zertifikate für das System erzeugt, die im nächsten Schritt auf das externe System kopiert werden:

Damit sind die Template-Erweiterungen auf dem UCS DC Master installiert und es wurden der LDAP-Datenauszug, eine beispielhafte Konfigurationsdatei für den externen LDAP-Server, die Univention-Schema Dateien sowie SSL-Zertifikate auf das externe System kopiert. Im nächsten Schritt wird die Konfiguration des externen LDAP-Servers angepasst und der aktuelle Auszug der LDAP-Daten eingespielt. Dabei ist zu beachten, dass hier nur eine minimale slapd.conf installiert wird, die nach Bedarf um lokale Anpassungen zu ergänzen ist:

Damit sollte die Konfiguration des externen LDAP-Servers abgeschlossen sein. Es sollte sichergestellt werden, dass dieser nun vom UCS DC Master aus per LDAPS-Protokoll erreichbar ist. Dies kann z.B. mit folgender Suchanfrage vom UCS DC Master aus überprüft werden:

Falls es sich bei dem externen System um ein Debian-System handelt, ist dazu ggf. die Variable 'SLAPD_SERVICES' in /etc/default/slapd anzupassen. Wenn die LDAPS-Verbindung funktioniert, kann die Konfiguration des Syncrepl-Proxys auf dem UCS DC Master aktiviert werden. Dazu ist das gleiche Passwort 'REMOTE_UPDATE_PASSWORD' in einer Datei zu hinterlegen, das in die Konfiguration des externen LDAP-Servers eingetragen wurde. Zusätzlich ist die Adresse des externen LDAP-Servers in Form einer LDAP-URI in die UCR Variable ldap/replica/uri einzutragen. Sollen mehrere Systeme angebunden werden, so können die entsprechenden LDAP-URI durch Leerzeichen getrennt in die UCR-Variable eingetragen werden und weitere replica-Passwort-Dateien angelegt werden. Die Nummer im Namen der Passwortdateien ist für jedes weitere System um eins zu erhöhen.

Die Replikation findet vom UCS DC Master ausgehend über LDAPS zum Hostnamen des externen LDAP-Serversystems statt. Dafür ist eine Namensauflösung z.B. per DNS notwendig und der Hostname muss vollständig angegeben sein, damit die Überprüfung des SSL-Zertifikats erfolgreich ist.

Zum Test sollte z.B. die Beschreibung an einem existierenden Benutzer geändert werden und eine Replikation in das externe LDAP-Verzeichnis z.B. per ldapsearch überprüft werden. Zur Fehleranalyse kann es sinnvoll sein, auf dem externen LDAP-Server in der Datei slapd.conf den loglevel z.B. auf den Wert 'config stats' zu setzen und den LDAP-Server neu zu starten.

angehängte Dateien: syncrepl-proxy-setup.tgz

Kommentieren nicht möglich

Artikel kommentieren

Name:
E-Mail-Adresse:
Eingegebener Kommentar:

Bitte die Zeichen der Captcha-Grafik eingeben