Domäneneinstellungen

Die abschließende Konfiguration des UCS-Systems beginnt mit der Auswahl eines Domänenmodus. Es stehen drei Modi zur Verfügung, die Einfluss auf die nächsten Konfigurationsschritte haben:

◦ Im ersten Modus, Erstellen einer neuen UCS-Domäne, wird das erste System einer neuen UCS-Domä-ne konfiguriert: ein UCS-System mit der Systemrolle Primary Directory Node. In den folgenden Konfi-gurationsschritten werden die notwendigen Informationen zur Einrichtung eines neuen Verzeichnisdiens-tes, Authentifikationsdienstes sowie DNS-Servers abgefragt. Eine UCS-Domäne kann aus einem einzel-nen oder mehreren UCS-Systemen bestehen. Zusätzliche UCS-Systeme köneinzel-nen über den Modus Einer bestehenden UCS-Domäne beitreten nachträglich aufgenommen werden.

◦ Einer bestehenden Active-Directory-Domäne beitreten: Dieser Modus, in dem UCS als Mitglied einer Active Directory-Domäne betrieben wird, eignet sich, um eine Active Directory-Domäne um Applikationen zu erweitern, die auf der UCS-Plattform zur Verfügung stehen. Auf der UCS-Plattform installierte Apps sind dann für Benutzer der Active Directory-Domäne nutzbar. Nach der Auswahl dieses Modus werden alle relevanten Informationen für den Beitritt zur Active Directory-Domäne abgefragt und das UCS-System entsprechend konfiguriert.

◦ Mit der Auswahl des Modus Einer bestehenden UCS-Domäne beitreten kann das zu konfigurierende UCS-System einer bereits existierenden UCS-Domäne beitreten. Die UCS-Systemrolle, die es in der Domä-ne einDomä-nehmen soll, wird in eiDomä-nem nachgelagerten Schritt abgefragt.

Abbildung 2.12. Domäneneinstellungen

2.9.1. Modus "Erstellen einer neuen UCS-Domäne"

Nach der Auswahl des Modus Erstellen einer neuen UCS-Domäne wird in den folgenden zwei Schritten ein Organisationsname, eine E-Mail-Adresse, ein vollständiger Rechnername sowie eine LDAP-Basis abgefragt.

Die Angabe eines Organisationsnamens ist optional und wird im zweiten Schritt für die automatische Gene-rierung eines Domänennamens sowie der LDAP-Basis verwendet.

Modus "Einer bestehenden Active-Directory-Domäne beitreten"

Wird eine gültige E-Mail-Adresse angegeben, wird diese verwendet, um eine personalisierte Lizenz zu akti-vieren, die für die Verwendung des Univention App Centers notwendig ist. Die Lizenz wird automatisch generiert und umgehend an die angegeben E-Mail-Adresse zugeschickt. Die Lizenz kann dann über das UMC-Modul Wilkommen! eingespielt werden.

Aus dem hier eingetragenen vollständigen Rechnernamen (ein Rechnername inkl. Domänenname) wird auto-matisch der Name des zu konfigurierenden UCS-Systems sowie der Name der DNS-Domäne ermittelt. Aus dem im vorigen Schritt angegebenen Organisationsnamen wird automatisch ein Vorschlag generiert. Es wird empfohlen, keine öffentlich verfügbare DNS-Domäne zu verwenden, da dies zu Problemen in der Namens-auflösung führen kann.

Für die Initialisierung des Verzeichnisdienstes wird die Angabe einer LDAP-Basis benötigt. Auch hier wird ein Vorschlag automatisch aus dem vollständigen Rechnernamen abgeleitet. In der Regel kann dieser Wert unverändert übernommen werden.

Abbildung 2.13. Angabe des Rechnernamens und der LDAP-Basis

2.9.2. Modus "Einer bestehenden Active-Directory-Domäne beitre-ten"

Wurde während der Netzwerkkonfiguration der DNS-Server einer Active-Directory-Domäne angegeben, wird im Schritt Active Directory-Kontoinformationen automatisch der Name des Active Directory-Domä-nencontrollers vorgeschlagen. Falls dieser Vorschlag nicht stimmen sollte, kann hier der Name eines anderen Active Directory-Domänencontrollers bzw. einer anderen Active Directory-Domäne angegeben werden.

Für den Beitritt in die Active Directory-Domäne ist die Angabe eines Active Directory-Kontos sowie des zugehörigen Passworts notwendig. Das Benutzerkonto muss die Berechtigung besitzen, neue Systeme in die Active Directory-Domäne aufzunehmen.

Zusätzlich muss ein Rechnername für das zu konfigurierende UCS-System angegeben werden. Dabei kann der vorgeschlagene Rechnername übernommen oder ein eigener Rechnername eingetragen werden. Der

Domä-Modus "Einer bestehenden UCS-Domäne beitreten"

nenname des Rechners wird automatisch aus dem Domänen-DNS-Server abgeleitet. In einigen Szenarien (z.B. ein öffentlicher Mailserver) kann es notwendig sein, einen bestimmten vollständigen Rechnernamen zu verwenden. Das UCS-System wird mit dem hier angegebenen Rechnernamen der Active Directory-Domä-ne beitreten. Der eingerichtete DomäDirectory-Domä-nenname kann nach Abschluss der Konfiguration nicht mehr verändert werden.

In einer Domäne können Systeme in unterschiedlichen Systemrollen installiert werden. Das erste UCS-System, das einer Active Directory-Domäne beitritt, wird automatisch mit der Systemrolle Primary Directory Node konfiguriert. Wird dieser Modus während der Installation eines weiteren UCS-Systems ausgewählt, wird der Dialog zur Auswahl einer Systemrolle angezeigt. Die einzelnen Systemrollen werden im folgenden Abschnitt genauer beschrieben.

Abbildung 2.14. Informationen zum Active Directory-Domänenbeitritt

2.9.3. Modus "Einer bestehenden UCS-Domäne beitreten"

In einer UCS-Domäne können Systeme in unterschiedlichen Systemrollen installiert werden. Das erste System einer Domäne wird immer mit der Systemrolle Primary Directory Node installiert. Zusätzliche UCS-Systeme können der Domäne später beitreten und mit einer der folgenden Systemrollen konfiguriert werden:

◦ Backup Directory Node

Der Backup Directory Node dient als Fallback-System des Primary Directory Node. Sollte dieser ausfallen, kann ein Backup Directory Node die Rolle des Primary Directory Node dauerhaft übernehmen. Auf Servern mit der Rolle Backup Directory Node werden alle Domänendaten und SSL-Sicherheitszertifikate als Nur-Lese-Kopie gespeichert.

◦ Replica Directory Node

Auf Servern mit der Rolle Replica Directory Node werden die Domänendaten als Nur-Lese-Kopie gespei-chert. Im Gegensatz zum Backup Directory Node werden jedoch nicht alle SSL-Sicherheitszertifikate gespeichert. Da die Zugriffe der auf einem Replica Directory Node laufenden Dienste gegen den lokalen

Bestätigen der Einstellungen

LDAP-Verzeichnisdienst erfolgen, bieten sich Replica Directory Nodes für Standortserver und für die Ver-teilung lastintensiver Dienste an.

◦ Managed Node

Managed Node sind Server-Systeme ohne lokalen LDAP-Verzeichnisdienst. Der Zugriff auf Domänenda-ten erfolgt hierbei über andere Server der Domäne. Sie eignen sich daher für Dienste, die keine lokale Datenbank für z.B. die Authentifizierung benötigen, beispielsweise Druck- und Dateiserver.

Nach der Auswahl der UCS-Systemrolle werden einige Informationen zum Domänenbeitritt abgefragt. Soll der Domänenbeitritt nicht automatisch während der Installation stattfinden, kann die Option Domänenbeitritt am Ende der Installation starten deaktiviert werden. Wurde während der Netzwerkkonfiguration der rich-tige DNS-Server ausgewählt, kann Univention Installer den Namen des Primary Directory Node automatisch bestimmen. Falls doch in eine andere UCS-Domäne gejoined werden soll, kann die Option Primary tory Node im DNS suchen deaktiviert und der vollständige Rechnername des gewünschten Primary Direc-tory Node im Eingabefeld darunter eingetragen werden. Die für den Domänenbeitritt notwendigen Zugangs-informationen müssen in die beiden Eingabefelder Administrator-KontoZugangs-informationen und Administra-tor-Passwort

Abbildung 2.15. Informationen zum Domänenbeitritt

Im nächsten Schritt muss zusätzlich ein Rechnername für das zu konfigurierende UCS-System angegeben werden. Dabei kann der vorgeschlagene Rechnername übernommen oder ein eigener Rechnername eingetra-gen werden. Der Domänenname des Rechners wird automatisch aus dem Domänen-DNS-Server abgeleitet.

In einigen Szenarien (z.B. ein öffentlicher Mailserver) kann es notwendig sein, einen bestimmten vollständi-gen Rechnernamen zu verwenden. Der eingerichtete Domänenname kann nach Abschluss der Konfiguration nicht mehr verändert werden.