3. Domänendienste / LDAP-Verzeichnisdienst

Univention Corporate Server bietet ein plattformübergreifendes Domänenkonzept mit einem gemeinsamen Vertrauenskontext zwischen Linux- und Windows-Systemen. Innerhalb dieser Domäne ist ein Benutzer mit seinem im UCS Managementsystem hinterlegten Benutzernamen und Passwort auf allen Systemen bekannt, und kann für ihn freigeschaltete Dienste nutzen. Das Konto wird über das Managementsystem sowohl für die Windows-Anmeldung als auch für Linux/POSIX-Systeme und Kerberos synchron gehalten. Die Verwaltung von Benutzerkonten ist in Benutzerverwaltung beschrieben.

Alle UCS- und Windowssysteme innerhalb einer UCS-Domäne verfügen über ein Domänenkonto, sobald sie der UCS-Domäne beigetreten sind. Der Domänenbeitritt wird in Domänenbeitritt beschrieben.

Auf dem Primary Directory Node wird die Certificate Authority (CA) der UCS-Domäne betrieben. Dort wird für jedes der Domäne beigetretene System ein SSL-Zertifikat generiert. Weitere Informationen finden sich in SSL-Zertifikatsverwaltung.

Jedes Rechnersystem, das Mitglied einer UCS-Domäne ist, besitzt eine Systemrolle. Aus dieser Systemrolle ergeben sich verschiedene Berechtigungen und Einschränkungen, die in UCS-Systemrollen beschrieben sind.

Alle domänenweiten Einstellungen werden in einem Verzeichnisdienst auf Basis von OpenLDAP vorgehalten. In LDAP-Verzeichnisdienst wird beschrieben wie der Speicherumfang durch LDAP-Schema-Erweiterungen ergänzt werden kann, wie eine revisionssichere LDAP-Protokollierung eingerichtet werden kann und wie Zugriffsberechtigungen auf das LDAP-Verzeichnis definiert werden können.

Die Replikation der Verzeichnisdaten innerhalb einer UCS-Domäne erfolgt über den Listener/Notifier-Mechanismus. Weitere Informationen finden sich in Listener/Notifier-Domänenreplikation.

Kerberos ist ein Authentifikationsverfahren um in verteilten Netzen über potentiell unsichere Verbindungen eine sichere Identifikation zu erlauben. Jede UCS-Domäne betreibt einen eigenen Kerberosvertrauenskontext (Realm). Weitere Informationen finden sich in Kerberos.

Kapitelinhalte:

• 3.1. Domänenbeitritt
  • 3.1.1. Domänenbeitritt von UCS-Systemen
    • 3.1.1.1. Nachträglicher Domänenbeitritt mit univention-join
    • 3.1.1.2. Domänenbeitritt über Univention Management Console Modul
    • 3.1.1.3. Join-Skripte / Unjoin-Skripte
      • Nachträgliches Ausführen von Join-/Unjoin-Skripten
  • 3.1.2. Windows-Domänenbeitritt
    • 3.1.2.1. Windows 11
    • 3.1.2.2. Windows 10
    • 3.1.2.3. Windows Server 2012 / 2016 / 2019
  • 3.1.3. Ubuntu-Domänenbeitritt
  • 3.1.4. macOS-Domänenbeitritt
    • 3.1.4.1. Domänenbeitritt über das Systemeinstellungen-Menü
    • 3.1.4.2. Domänenbeitritt auf den Kommandozeile
• 3.2. UCS-Systemrollen
  • 3.2.1. Primary Directory Node
  • 3.2.2. Backup Directory Node
  • 3.2.3. Replica Directory Node
  • 3.2.4. Managed Node
  • 3.2.5. Ubuntu
  • 3.2.6. Linux
  • 3.2.7. macOS
  • 3.2.8. Domain Trust Account
  • 3.2.9. IP-Client
  • 3.2.10. Windows Domänencontroller
  • 3.2.11. Windows Workstation/Server
• 3.3. LDAP-Verzeichnisdienst
  • 3.3.1. LDAP-Schemata
    • 3.3.1.1. LDAP-Schema-Erweiterungen
    • 3.3.1.2. LDAP-Schema-Replikation
  • 3.3.2. Revisionssichere LDAP-Protokollierung
  • 3.3.3. Timeout für inaktive LDAP-Verbindungen
  • 3.3.4. LDAP-Kommandozeilen-Tools
  • 3.3.5. Zugriffskontrolle auf das LDAP-Verzeichnis
    • 3.3.5.1. Delegation des Zurücksetzens von Benutzerpasswörtern
  • 3.3.6. Name Service Switch / LDAP-NSS-Modul
  • 3.3.7. Syncrepl zur Anbindung von Nicht-UCS OpenLDAP-Servern
  • 3.3.8. Konfiguration des Verzeichnis-Dienstes bei Verwendung von Samba/AD
  • 3.3.9. Tägliche Sicherung der LDAP-Daten
• 3.4. Listener/Notifier-Domänenreplikation
  • 3.4.1. Ablauf der Listener/Notifier-Replikation
  • 3.4.2. Analyse von Listener/Notifier-Problemen
    • 3.4.2.1. Logdateien/Debug-Level der Replikation
    • 3.4.2.2. Erkennung von Replikationsproblemen
    • 3.4.2.3. Neuinitialiisierung von Listener-Modulen
• 3.5. SSL-Zertifikatsverwaltung
• 3.6. Kerberos
  • 3.6.1. KDC Auswahl
  • 3.6.2. Kerberos Adminserver
• 3.7. Passwort-Hashes im Verzeichnisdienst
• 3.8. SAML Identity Provider
  • 3.8.1. Anmelden per Single Sign-On
  • 3.8.2. Hinzufügen eines neuen externen Service Providers
  • 3.8.3. Erweiterte Konfiguration
• 3.9. OpenID Connect Provider
• 3.10. Umwandlung eines Backup Directory Node zum neuen Primary Directory Node
• 3.11. Fehlertolerante Domain Einrichtung
• 3.12. Protokollierung von Aktivitäten in der Domäne