9. Services für Windows
9.3. Active Directory-Verbindung
9.3.3. Einrichtung des UCS AD-Connectors
Als Alternative zur Mitgliedschaft in einer AD-Domäne, die im vorherigen Abschnitt beschrieben ist, kann der UCS Active Directory-Connector dazu verwendet werden, Benutzer- und Gruppenobjekte zwischen einer UCS-Domäne und einer AD-Domäne zu synchronisieren. Diese Betriebsart erlaubt über die unidirektionale Synchronisation hinaus auch die bidirektionale Synchronisation. In dieser Betriebsart bestehen beide Domä-nen parallel und ihre Authentifikationssysteme funktionieren unabhängig. In diesem Betriebsmodus werden per Voreinstellung auch verschlüsselten Passwortdaten synchronisiert.
In der Standardeinstellung werden Container, Organisationseinheiten, Benutzer, Gruppen und Rechner syn-chronisiert.
Hinweise zu den in der Grundeinstellung konfigurierten Attributen und zu beachtende Besonderheiten finden sich in Abschnitt 9.3.5.
Durch die in beiden Domänen gleichen Benutzereinstellungen können Benutzer transparent auf Dienste beider Umgebungen zugreifen. Nachdem eine Domänenanmeldung an einer UCS-Domäne durchgeführt wurde, ist anschließend eine Verbindung zu einer Dateifreigabe oder einem Exchange-Server mit Active Directory ohne erneute Passwortabfrage möglich. Auf den Ressourcen der anderen Domäne finden Benutzer und Administra-toren gleichnamige Benutzer und Gruppen vor und können so mit den gewohnten Rechtestrukturen arbeiten.
Nach dem erstmaligen Start des Connectors wird die Initialisierung vorgenommen. Dabei werden alle Einträge aus dem UCS gelesen und entsprechend dem eingestellten Mapping in Objekte umgewandelt und auf AD-Seite hinzugefügt, bzw., falls bereits vorhanden, modifiziert. Anschließend werden alle Objekte aus dem AD gelesen und in UCS-Objekte umgewandelt und entsprechend auf UCS-Seite hinzugefügt bzw. modifiziert.
Solange noch Änderungen vorliegen, werden die Verzeichnisdienst-Server weiter abgefragt. Der UCS AD-Connector kann auch in einem unidirektionalen Modus betrieben werden.
Nach dem initialen Sync werden weitere Änderungen in einem festen Intervall abfragt. Dieser Wert ist auf fünf Sekunden eingestellt und kann manuell per Univention Configuration Registry-Variable connector/ad/
poll/sleep angepasst werden.
Sollte ein Objekt nicht synchronisiert werden können, so wird dieses Objekt zunächst zurückgestellt ("rejec-ted"). Nach einer konfigurierbaren Anzahl von Durchläufen - das Intervall kann im per Univention Confi-guration Registry-Variable connector/ad/retryrejected angepasst werden - wird erneut versucht diese Änderungen wieder einzuspielen. Der Standardwert beträgt zehn Durchläufe. Außerdem wird bei einem Neustart des UCS AD-Connectors ebenfalls versucht, die zuvor zurückgewiesenen Änderungen erneut zu synchronisieren.
9.3.3.1. Grundkonfiguration des UCS AD-Connectors
Der UCS AD-Connector wird über einen Assistenten im UMC-Modul Active Directory-Verbindung kon-figuriert.
Einrichtung des UCS AD-Connectors
Das Modul kann mit der Applikation Active Directory-Verbindung aus dem Univention App Center installiert werden. Alternativ kann das Softwarepaket univention-ad-connector installiert werden. Weitere Informatio-nen finden sich in Abschnitt 5.6.
Anmerkung
Alle AD- und UCS-Server in einer Connector-Umgebung müssen dieselbe Zeitzone verwenden.
Warnung
Trotz intensiver Tests kann aufgrund der Vielfalt der Konfigurations- und Betriebsvarianten einer AD-Domäne nicht ausgeschlossen werden, dass die Ergebnisse des Synchronisationsvorgangs den Betrieb einer produktiven Domäne beeinträchtigen. Der UCS AD-Connector sollte daher vorab in einer getrennten Umgebung auf die jeweiligen Anforderungen geprüft werden.
Es ist zu empfehlen, die folgenden Schritte mit einem Webbrowser vom AD-Domänencontroller aus durch-zuführen, da Dateien auf den AD-Domänencontroller herunter geladen und im Assistenten hochgeladen wer-den müssen.
Im ersten Dialog der Einrichtungsassistenten muss der Punkt Synchronisation von Kontendaten zwischen einer AD und dieser UCS-Domäne ausgewählt und mit [Weiter] bestätigt werden.
Abbildung 9.7. Konfiguration des UCS AD-Connectors über UMC-Modul
Im nächsten Dialog wird die Adresse eines AD-Domänencontrollers abgefragt. Hier kann die IP-Adresse oder ein voll qualifizierter DNS-Name eingegeben werden. Wenn der Rechnername des AD-Systems für das UCS-System nicht auflösbar sein sollte, kann entweder unter UCS der AD DNS-Server als DNS-Forwarder konfiguriert werden oder es kann im UMC-Modul DNS ein DNS-Host-Record für das AD-System angelegt werden (siehe Abschnitt 11.2.2.3).
Alternativ kann auch über Univention Configuration Registry ein statischer Eintrag in /etc/hosts aufge-nommen werden, z.B. mit
ucr set hosts/static/192.0.2.100=w2k8-32.ad.example.com
Im Feld Active Directory-Konto wird der Benutzer konfiguriert, der für den Zugriff auf das AD verwendet wird. Die Einstellung wird in der Univention Configuration Registry-Variable connector/ad/ldap/
binddn gespeichert. Der Replikationsbenutzer muss im AD Mitglied der Gruppe Domänen-Admins sein.
Das verwendete Kennwort für den Zugriff muss im Feld Active Directory-Passwort eingetragen werden. Es wird auf dem UCS-System lokal in einer Datei gespeichert, die nur für den Benutzer root lesbar ist.
Einrichtung des UCS AD-Connectors
Abschnitt 9.3.3.5 beschreibt die Schritte, die notwendig sind, falls diese Zugangsdaten zu einem späteren Zeitpunkt angepasst werden müssen.
Nach Klick auf [Weiter] prüft der Einrichtungsassistent die Verbindung zum AD-Domänencontroller. Falls keine SSL/TLS-verschlüsselte Verbindung aufgebaut werden kann wird eine Warnung ausgegeben in der zur Installation einer Zertifizierungsstelle auf dem AD-Domänencontroller geraten wird. Es wird empfohlen die-sem Rat zu folgen. UCS 5.0 erfordert TLS 1.2, welches für Windows Server Releases vor 2012R2 manuell auf dem Windows Server aktiviert werden muss. UCS 5.0 unterstützt die Hash-Funktion SHA-1 nicht mehr.
Falls für die Erstellung des das AD Root-Zertifikat oder das Zertifikat des Windows Servers dieses Verfahren verwendet wurde, dann sollten diese ersetzt werden. Nach diesem Schritt kann die Einrichtung durch erneuten Klick auf [Weiter] fortgesetzt werden. Falls weiterhin keine SSL/TLS-verschlüsselte Verbindung aufgebaut werden kann, wird in einem Sicherheitshinweis nachgefragt, ob die Synchronisation ohne SSL-Verschlüsse-lung eingerichtet werden soll. Falls dies gewünscht ist, kann die Einrichtung durch Klick auf [Fortfahren ohne Verschlüsselung] fortgesetzt werden. In diesem Fall findet die Synchronisation der Verzeichnisdaten unverschlüsselt statt.
Falls der AD-Domänencontroller SSL/TLS-verschlüsselte Verbindungen unterstützt, bietet der Einrichtungs-assistent im nächsten Schritt das Hochladen des AD-Root-Zertifikats an. Dieses Zertifikat muss vorher aus der AD-Zertifizierungsstelle exportiert werden (siehe Abschnitt 9.3.3.2). Falls dieser Schritt hingegen übersprungen wird, kann das Zertifikat auch zu einem späteren Zeitpunkt über das UMC-Modul hochgela-den und die SSL/TLS-Verschlüsselung aktiviert werhochgela-den (bis dahin werhochgela-den dann aber alle Verzeichnisdaten unverschlüsselt synchronisiert).
Der Connector kann in verschiedenen Modi betrieben werden, die im nächsten Dialog Konfiguration der Active Directory-Domänensynchronisation ausgewählt werden können. Neben einer bidirektionalen Syn-chronisation kann auch unidirektional von AD nach UCS oder unidirektional von UCS in das AD repliziert werden. Nach Auswahl des Modus muss auf [Weiter] geklickt werden.
Nach einem Klick auf [Weiter] wird die Konfiguration übernommen und der UCS AD-Connector wird gestar-tet. Der abschließende Dialog muss dann durch Klick auf [Fertigstellen] geschlossen werden.
Nach dieser Einrichtung kann das UMC-Modul Active Directory-Verbindung zur weiteren Administration des UCS Active Directory Connectors verwendet werden, z.B. um zu prüfen, ob der Dienst läuft und ihn ggf.
neu zu starten (siehe Abschnitt 9.3.3.3).
Anmerkung
Der Connector kann auch mehrere AD-Domänen mit einer UCS-Domäne synchronisieren; dies ist in [ext-doc-win] dokumentiert.
Einrichtung des UCS AD-Connectors
Abbildung 9.8. Administrationsdialog für die Active Directory-Verbindung
9.3.3.2. Import des SSL-Zertifikats des Active Directory
Auf dem Active Directory-System muss nun ein SSL-Zertifikat erzeugt und das Root-Zertifikat exportiert werden, damit eine verschlüsselte Kommunikation stattfinden kann. Erzeugt wird das Zertifikat mit dem Zer-tifikatsdienst des Active Directory. Die nötigen Schritte sind abhängig von der eingesetzten Windows-Versi-on und werden hier beispielhaft für drei Varianten dargestellt.
Die verschlüsselte Verbindung zwischen UCS-System und Active Directory kann auch deaktiviert werden, indem die Univention Configuration Registry-Variable connector/ad/ldap/ssl auf no gesetzt wird.
Diese Einstellung betrifft nicht die Synchronisation der verschlüsselten Passwortdaten.
9.3.3.2.1. Export unter Windows Server 2012 / 2016 / 2019
Falls der Zertifikatsdienst nicht installiert ist, so muss dieser nachinstalliert werden:
Der Server-Manager muss geöffnet werden. Dort im Menü Verwalten -> Rollen und Features hinzufügen die Rolle Active Directory-Zertifikatsdienste auswählen. Bei der Auswahl der Rollendienste reicht es aus, nur die Zertifizierungsstelle auszuwählen. Anschließend wird im Server-Manager in der oberen Leiste ein gelbes Warndreieck angezeigt. Hier muss die Option Active Directory-Zertifikatsdienste auf dem Zielser-ver konfigurieren ausgewählt werden. Als zu konfigurierender Rollendienst wird Zertifizierungsstelle aus-gewählt. Der Installationstyp ist Unternehmenszertifizierungsstelle -> Stammzertifizierungsstelle. Nun muss auf Neuen privaten Schlüssel erstellen geklickt und die vorgeschlagenen Kryptoeinstellungen und der vorgeschlagene Name der Zertifizierungsstelle bestätigt werden. Die Gültigkeitsdauer kann beliebig gewählt werden. Als Datenbankort können die Standardpfade verwendet werden.
Anschließend muss der AD-Server neu gestartet werden.
Einrichtung des UCS AD-Connectors
Dieses Zertifikat muss nun exportiert und auf das UCS-System kopiert werden: Server-Manager -> AD-Zertifikatsdienste. Dann ein Rechts-Klick auf den Server und Auswahl von Zertifizierungsstelle. Dort wird eine Rechnerliste angezeigt und unter jedem System die Elemente Gesperrte Zertifikate, Ausgestellte Zer-tifikate, Ausstehende Anforderungen, Fehlgeschlagene Anforderungen und Zertifikatsvorlagen ange-zeigt. Hier muss ein Rechtsklick auf den Rechnernamen erfolgen - nicht auf eines der Elemente darunter - und Eigenschaften ausgewählt werden. Das Root-Zertifikat heisst in der Regel Zertifikat Nr. 0. Dann Zertifikat anzeigen -> Details -> In Datei kopieren -> DER-codiert-binär X.509 (.CER) -> Auswahl eines beliebi-gen Dateinamens und Speicherpfad -> Fertig stellen.
9.3.3.2.2. Kopieren des AD-Zertifikats auf das UCS-System
Nun muss das SSL-AD-Zertifikat über das UMC-Modul in das UCS-System importiert werden.
Dies erfolgt durch einen Klick auf [Hochladen] im Untermenü Active Directory-Verbindung SSL-Konfi-guration.
Hierbei öffnet sich ein Fenster, in dem eine Datei ausgewählt wird. Das hochgeladene Zertifikat wird dadurch für den UCS AD-Connector verfügbar gemacht.
9.3.3.3. Start/Stopp des Active Directory Connectors
Abschließend kann der Connector über [Active Directory-Verbindungsdienst starten] gestartet werden und bei Bedarf über [Active Directory-Verbindungsdienst stoppen] angehalten werden. Alternativ kann ein Starten/Stoppen auch über Kommandozeile durch die Befehle /etc/init.d/univention-ad-con-nector start und /etc/init.d/univention-ad-con/etc/init.d/univention-ad-con-nector stop erfolgen.
9.3.3.4. Funktionstest der Grundeinstellungen
Die korrekte Grundkonfiguration des Connectors lässt sich prüfen, indem vom UCS-System aus im Active Directory gesucht wird. Hier kann z.B. mit univention-adsearch cn=Administrator nach dem Administrator-Konto im Active Directory gesucht werden.
Da univention-adsearch auf die in Univention Configuration Registry-Variable gespeicherte Konfigu-ration zugreift, kann auf diesem Weg die Erreichbarkeit/KonfiguKonfigu-ration des Active Directory-Zugriffs geprüft werden.
9.3.3.5. Änderung des AD-Zugriffspassworts
Die vom UCS AD-Connector benötigten Zugangsdaten zum Active Directory werden über die Univention Configuration Registry-Variable connector/ad/ldap/binddn und connector/ad/ldap/bind-pw konfiguriert. Falls das Passwort sich geändert hat oder ein anderes Benutzerkonto verwendet werden soll, können diese Variablen manuell angepasst werden. Über die Univention Configuration Registry-Variable connector/ad/ldap/binddn wird die LDAP-DN eines privilegierten Replikationsbenutzers konfigu-riert. Dieser muss im AD Mitglied der Gruppe Domänen-Admins sein. Das entsprechende Kennwort muss lokal auf dem UCS-System in eine Datei gespeichert werden, deren Dateiname in der Univention Configura-tion Registry-Variable connector/ad/ldap/bindpw eingetragen sein muss. Die Zugriffsrechte für die Datei sollten so eingeschränkt werden, dass nur der Besitzer root Zugriff hat. Die folgenden Kommandos zeigen dies beispielhaft:
eval "$(ucr shell)"
echo "Updating ${connector_ad_ldap_bindpw?}"
echo "for AD sync user ${connector_ad_ldap_binddn?}"
touch "${connector_ad_ldap_bindpw?}"
chmod 600 "${connector_ad_ldap_bindpw?}"
echo -n "Current AD Syncuser password" > "${connector_ad_ldap_bindpw?}"
Werkzeuge / Fehlersuche