Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
3 Domänendienste / LDAP-Verzeichnisdienst<br />
Alle UCS- und Windowssysteme innerhalb einer UCS-Domäne verfügen über ein Domänenkonto, sobald<br />
sie der UCS-Domäne beigetreten sind. Der Domänenbeitritt wird in Kapitel 3.2 beschrieben.<br />
Jedes Rechnersystem, das Mitglied einer UCS-Domäne ist, besitzt eine Systemrolle. Aus dieser System-<br />
rolle ergeben sich verschiedene Berechtigungen und Einschränkungen, die in Kapitel 3.3 beschrieben<br />
sind.<br />
Auf dem Domänencontroller Master wird die Certificate Authority (CA) der UCS-Domäne betrieben. Dort<br />
wird für jedes der Domäne beigetretene System ein SSL-Zertifikat generiert. Weitere Informationen finden<br />
sich in Kapitel 3.6.<br />
Alle domänenweiten Einstellungen werden in einem Verzeichnisdienst auf Basis von OpenLDAP vorgehal-<br />
ten. In Kapitel 3.4 wird beschrieben wie der Speicherumfang durch LDAP-Schema-Erweiterungen ergänzt<br />
werden kann, wie eine revisionssichere LDAP-Protokollierung eingerichtet werden kann und wie Zugriffs-<br />
berechtigungen auf das LDAP-Verzeichnis definiert werden können.<br />
Die Replikation der Verzeichnisdaten innerhalb einer UCS-Domäne erfolgt über den Listener-/Notifier-<br />
Mechanismus. Weitere Informationen finden sich in Kapitel 3.5.<br />
Kerberos ist ein Authentikationsverfahren um in verteilten Netzen über potentiell unsichere Verbindungen<br />
eine sichere Identifikation zu erlauben. Jede UCS-Domäne betreibt einen eigenen Kerberosvertrauens-<br />
kontext (Realm). Weitere Informationen finden sich in Kapitel 3.7<br />
3.2 Domänenbeitritt<br />
Ein UCS- oder Windows-System muss nach der Installation der Domäne beitreten. Im Folgenden werden<br />
die verschiedenen Möglichkeiten hierzu vorgestellt:<br />
3.2.1 Domänenbeitritt von UCS-Systemen<br />
Es gibt drei Möglichkeiten ein UCS-System einer bestehenden Domäne beitreten zu lassen; direkt am<br />
Ende der Installation im <strong>Univention</strong> Installer (siehe Kapitel 2.11) oder nachträglich durch den Befehl<br />
univention-join bzw. mit der <strong>Univention</strong> Management Console.<br />
Der Domänencontroller Master sollte immer auf dem aktuellsten Release-Stand der Domäne installiert<br />
sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren DC Master Probleme auftreten<br />
können.<br />
Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchronisiert<br />
und ggf. eine LDAP-Replikation angestoßen. Außerdem werden am Ende des Join-Vorgangs Join-Skripte<br />
ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete z.B. weitere Ob-<br />
jekte im Verzeichnisdienst.<br />
Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufge-<br />
zeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Domänencontroller Master ausge-<br />
führte Aktionen werden in der Logdatei /home//.univention-server-join.log<br />
abgelegt.<br />
Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa<br />
nach Änderungen wichtiger Systemeigenschaften auf dem Domänencontroller Master kann ein erneuter<br />
Beitritt der Systeme sogar zwingend erforderlich sein.<br />
36