Externer LDAP Mirror

,

Hi zusammen,

Ich würde gerne einen externen Mirror unseres ADs erstellen. Der Grund ist ganz einfach: Wir haben in letzter Zeit öfter Internetausfälle, was unsere gesamte Kommunikation lahmlegt. Deshalb ziehe ich unser rocket.chat vermutlich demnächst auf einen gemieteten Server um. Da muss dann aber eben auch ein LDAP Mirror her, sonst funktioniert die Anmeldung natürlich nicht, wenn unser Hauptserver mal nicht erreichbar ist.

Ich meine mich zu erinnern, dass das hier schonmal jemand gemacht hat, finde aber den Thread nicht mehr. Kann mir da jemand einen Tipp geben?

VG, Dorian

Hallo Dorian,

Das ist genau bei uns am Wochenende passiert, und damit waren unsere externe Dienste alle down. Eine LDAP-Replikation würde das beheben und auch ermöglichen, den Verkehr am HauptServer entlasten.

Es gibt hier eine Anleitung für die 6.2 : anwenderwiki:erweiterungen:ldap-replikation [CommunityWiki] wahrscheinlich nicht mehr kompatibel mit v7.

Ich muss es auch anschauen, finde aber momentan absolut keine Zeit dafür, und vielleicht kannst du damit anfangen.

Gruß

Arnaud

Hallo Dorian,

voila:

LG

Holger

Hallo Holger,

Was du meinst ist ein LDAP-Proxy, um extern eine saubere Lösung um Zertifikat zu steuern, und Dorian spricht von Replikation.

Gruß

Arnaud

Hi,

Danke, @Arnaud Replikation war das Stichwort. Hier ist der Thread:

Da steht nur leider nichts Genaueres, ich werd mal nachfragen.

VG, Dorian

Hab grad das hier gefunden und werde es mal testen:

Hallo Arnaud,

… mein Fehler :frowning:
LG

Holger

… und das ist nicht so tragish :slight_smile:

Gruß

Arnaud

So falsch war die Idee von Holger nicht…man braucht schon einen externen Proxy der per DNS auflösbar ist und die LDAP-Anfragen an den internen und externen LDAP-Server verteilt. Sonst bringen redundante LDAP-Server nichts.

Gruß
Thomas

P.S. Und ja…der Proxy kann dann auch gleich das SSL-Offloading für LDAPS mit übernehmen
PP.S. Einschränkung: Ja, man braucht den Proxy nicht, wenn alle externen Dienste, die das AD abfragen, den externen LDAP-Server abrufen. Ist aber nicht so elegant wie ein Offsite HA-Proxy der das Onsite und Offsite AD abruft, SSL-Offloading und Lastverteilung macht.

Mit loadbalancing-light wäre natürlich sehr elegant, aber mir würde im ersten Schritt schon reichen, eine Replikation außerhalb des Schulnetzes zu haben.
Alle Ausfälle, die wir bisher beim Anmelden in Kauf nehmen mussten, hatten ihre Ursache in der Schule und als ich (noch mit lmn6) außerhalb zwei LDAP-Replikas hatte, die beide bei moodle, nextcloud usw eingetragen waren, konnten mir die Elektriker abschalten, was sie wollten und es hat dennoch alles (außerhalb) funktioniert.

die Frage ist aber, ob sich unser AD so leicht irgendwohin replizieren lässt wie der openldap der lmn6. Man bräuchte ja nur die Nutzer/Password… aber dafür hab ich (viel) zu wenig Ahnung davon.

:slight_smile: Ich wäre auf jeden Fall Kunde :slight_smile:
LG Jesko

Hallo Jesko,

im Prinzip bräuchte man nur einen zweiten (Offsite) DC. Die Replizierung erfolgt untereinander automatisch. Der Rest sind Firewall-Regeln.

Hi @tjordan

Das scheint zu klappen, einfach

  1. apt install samba
  2. samba-tool domain join linuxmuster.lan DC -U"LINUXMUSTER\global-admin"

Und das wars :smiley:
Die Frage ist nur: mach ich damit irgendwas kaputt?

VG, Dorian

Hallo Dorian,

wir betreiben ein Setup mit einem zusätzlichen DC für LDAPS-Loadbalancing und nutzen dafür den HA-Proxy auf der opnSense. Das hat bislang gut funktioniert.

Viele Grüße
Thomas