Externer LDAP Mirror

Server
,
#1

Hi zusammen,

Ich würde gerne einen externen Mirror unseres ADs erstellen. Der Grund ist ganz einfach: Wir haben in letzter Zeit öfter Internetausfälle, was unsere gesamte Kommunikation lahmlegt. Deshalb ziehe ich unser rocket.chat vermutlich demnächst auf einen gemieteten Server um. Da muss dann aber eben auch ein LDAP Mirror her, sonst funktioniert die Anmeldung natürlich nicht, wenn unser Hauptserver mal nicht erreichbar ist.

Ich meine mich zu erinnern, dass das hier schonmal jemand gemacht hat, finde aber den Thread nicht mehr. Kann mir da jemand einen Tipp geben?

VG, Dorian

LDAP-Replikation - Verbindung nicht möglich
#2

Hallo Dorian,

Das ist genau bei uns am Wochenende passiert, und damit waren unsere externe Dienste alle down. Eine LDAP-Replikation würde das beheben und auch ermöglichen, den Verkehr am HauptServer entlasten.

Es gibt hier eine Anleitung für die 6.2 : anwenderwiki:erweiterungen:ldap-replikation [CommunityWiki] wahrscheinlich nicht mehr kompatibel mit v7.

Ich muss es auch anschauen, finde aber momentan absolut keine Zeit dafür, und vielleicht kannst du damit anfangen.

Gruß

Arnaud

#3

Hallo Dorian,

voila:

LG

Holger

#4

Hallo Holger,

Was du meinst ist ein LDAP-Proxy, um extern eine saubere Lösung um Zertifikat zu steuern, und Dorian spricht von Replikation.

Gruß

Arnaud

#5

Hi,

Danke, @Arnaud Replikation war das Stichwort. Hier ist der Thread:

Da steht nur leider nichts Genaueres, ich werd mal nachfragen.

VG, Dorian

#6

Hab grad das hier gefunden und werde es mal testen:

#7

Hallo Arnaud,

… mein Fehler :frowning:
LG

Holger

#8

… und das ist nicht so tragish :slight_smile:

Gruß

Arnaud

#9

So falsch war die Idee von Holger nicht…man braucht schon einen externen Proxy der per DNS auflösbar ist und die LDAP-Anfragen an den internen und externen LDAP-Server verteilt. Sonst bringen redundante LDAP-Server nichts.

Gruß
Thomas

P.S. Und ja…der Proxy kann dann auch gleich das SSL-Offloading für LDAPS mit übernehmen
PP.S. Einschränkung: Ja, man braucht den Proxy nicht, wenn alle externen Dienste, die das AD abfragen, den externen LDAP-Server abrufen. Ist aber nicht so elegant wie ein Offsite HA-Proxy der das Onsite und Offsite AD abruft, SSL-Offloading und Lastverteilung macht.

#10

Mit loadbalancing-light wäre natürlich sehr elegant, aber mir würde im ersten Schritt schon reichen, eine Replikation außerhalb des Schulnetzes zu haben.
Alle Ausfälle, die wir bisher beim Anmelden in Kauf nehmen mussten, hatten ihre Ursache in der Schule und als ich (noch mit lmn6) außerhalb zwei LDAP-Replikas hatte, die beide bei moodle, nextcloud usw eingetragen waren, konnten mir die Elektriker abschalten, was sie wollten und es hat dennoch alles (außerhalb) funktioniert.

die Frage ist aber, ob sich unser AD so leicht irgendwohin replizieren lässt wie der openldap der lmn6. Man bräuchte ja nur die Nutzer/Password… aber dafür hab ich (viel) zu wenig Ahnung davon.

:slight_smile: Ich wäre auf jeden Fall Kunde :slight_smile:
LG Jesko

#11

Hallo Jesko,

im Prinzip bräuchte man nur einen zweiten (Offsite) DC. Die Replizierung erfolgt untereinander automatisch. Der Rest sind Firewall-Regeln.

#12

Hi @tjordan

Das scheint zu klappen, einfach

  1. apt install samba
  2. samba-tool domain join linuxmuster.lan DC -U"LINUXMUSTER\global-admin"

Und das wars :smiley:
Die Frage ist nur: mach ich damit irgendwas kaputt?

VG, Dorian

#13

Hallo Dorian,

wir betreiben ein Setup mit einem zusätzlichen DC für LDAPS-Loadbalancing und nutzen dafür den HA-Proxy auf der opnSense. Das hat bislang gut funktioniert.

Viele Grüße
Thomas

#14

Hi,

Hat hier noch jemand dran Intresse? Ich habe es jetzt soweit, dass ich einen Docker container dafür bauen könnte, wenn es Bedarf gibt.

VG, Dorian

#15

Absolut!
Ich hätte das gerne wieder!
Von mir ein dickes Daumen hoch!
Liebe Grüße Jesko

#16

Bin leider doch noch nicht so weit wie ich dachte. Ich scheiter nach erfolgreichem Join hieran:

$ samba-tool drs showrepl
ERROR(runtime): DsReplicaGetInfo of type 0 failed - (8453, 'WERR_DS_DRA_ACCESS_DENIED')

Hat jemand eine Idee?

VG, Dorian

#17

Hallo Dorian,

wenn das ein RODC ist, muss man einen Benutzer aus der Domain Admins Gruppe mit dem Parameter -U (z.B. samba-tool drs showrpl -U global-admin) mitgeben.

Viele Grüße
Thomas

Docker für Freeradius
#18

Hi Thomas,

Ahaa, danke, das war es! Jetzt sieht es so aus:

/ # samba-tool drs showrepl -Uglobal-admin
Password for [LINUXMUSTER\global-admin]:
Default-First-Site-Name\SERVER-EXTERN
DSA Options: 0x00000025
DSA object GUID: 2483446f-534f-4038-a959-7b562f0f63e7
DSA invocationId: cbf51d8d-a191-4cda-8ba1-1b13de3c019c

==== INBOUND NEIGHBORS ====

==== OUTBOUND NEIGHBORS ====

==== KCC CONNECTION OBJECTS ====

Connection --
        Connection name: RODC Connection (FRS)
        Enabled        : TRUE
        Server DNS name : server.linuxmuster.lan
        Server DN name  : CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=linuxmuster,DC=lan
                TransportType: RPC
                options: 0x00000041
Warning: No NC replicated for Connection!

Passt das?

VG, Dorian

#19

Ich habe aber immernoch ein Problem:
Ich kann mich mit ldapserch nicht am ldap des RODC anmelden:

ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 47, v1db1

Derselbe ldapsearch Befehl funktioniert aber am Schulserver. Woran könnte das liegen?

BG, Dorian

#20

Hallo Dorian,

der Fehler lautet Invalid credentials…gib auch dem ldapsearch mal einen binduser mit.

Gruß
Thomas