Benutzer-Authentifizierung gegen externes LDAP

Moin,

ich würde gerne mit einem UCS einen AD Domain Controller implementieren. Ist es möglich, den UCS so zu konfigurieren, dass er die Passwörter gegen einen externen LDAP-Server prüft?

Die “UCS-Domäne” soll nämlich in eine größere Umgebung eingebunden sein, auf deren Betrieb/Konfiguration ich keinen Einfluss habe. Wenn jetzt UCS den externen LDAP fragen könnte, ob ein von einem Benutzer gegebenes Passwort korrekt ist, wären die Benutzer-Passwörter nur an einer einzigen Stelle, nämlich dem externen LDAP, gespeichert.

Mir ist klar, dass die Benutzer dann aus der UCS-Domäne heraus ihr Passwort nicht ändern könnten.

Geht das irgendwie?

Moin,

UCS bringt den Active-Directory-Connector mit. Dies ist eine Komponente, die Benutzerkonten (und auch Gruppen und Computer) aus einem AD entweder unidirektional in Richtung UCS synchronisiert oder sogar bidirektional. Installiert man auf dem AD-Server auch den Passwortdienst, so werden die Passwörter etc. richtig mit synchronisiert, sodass man das UCS gar nicht gegen einen externen LDAP-Server authentifizieren lassen muss.

Dies ist alles in der UCS-Dokumentation beschrieben. Sie sollten sich das komplette Kapitel 9.3 einmal durchlesen.

Gruß,
mosu

Moin,

besten Dank für die Antwort!

Das Problem ist, dass es sich bei dem externen LDAP nicht um einen AD Controller handelt, sondern um einen ganz simplen OpenLDAP unter Linux.

Moin,

oh, da habe ich den ersten Artikel falsch gelesen.

Eine reine Synchronisation der User mit einem reinen LDAP-Server gibt es meines Wissens nach unter UCS nicht. Weiterhin wird es nicht möglich sein, UCS so umzukonfigurieren, dass es sich gegen einen externen LDAP-Server authentifiziert. Die meisten Dienste sind schlicht so konfiguriert, dass sie den UCS-LDAP nutzen. Auch sind sämtliche Verwaltungstools darauf ausgelegt, dass sie ihre Änderungen im UCS-LDAP hinterlegen und eben nicht in einem externen LDAP-Server.

Weiterhin ist das viel größere Problem Samba. Unter UCS gibt es zwei LDAP-Server: den OpenLDAP auf Port 7389 und den von Samba 4 im Rahmen der AD-Dienste benötigten LDAP-Server auf Port 389. Zwischen beiden gibt es eine bidirektionale Synchronisation. Das betrifft alles mögliche, u.a. auch Passwortinformationen und Kerberos-Daten. Hier wird es schlicht unmöglich sein, eine externe Authentifizierungsquelle zu nutzen.

Sie sollten daher eher in Erwägung ziehen, die Benutzer vom alten LDAP-Server komplett zum UCS-Server umzuziehen und alle anderen Dienste, die vorher den alten LDAP genutzt haben, auf UCS umzukonfigurieren.

Gruß,
mosu

Moin, danke für Ihre Einschätzung - ich hatte sowas ja schon befürchtet …

Mastodon