LDAP Migration (Stand und Ausblick) Torsten Gosch CIS
Migration Phase I: Installation 1. Basisinstallation/-konfiguration Sun Java System Directory Server 2. Portierung NIS Maps in LDAP Teilbaum 3. Installation/Test und Implementation Sun NIS/LDAP Gateway 4. Umstellung des vorhandenen Workflows von NIS auf LDAP Backend
Stand Migrationshase I: Testserver Sun Java System Directory Server Q2 auf Solaris9 09/04 LDAP Server SJS DS Q4 OS Solaris 10 U1 (Dezember 2005 ?) NIS Map Import (Root Suffix: o=root) Branch Points: ou=people,o=root... Probleme: ldapaddent kann keine Netgroups mit mehr als 512 Members (nisNetgroupTriple) importieren (segmentation fault) PADL Perlskript (migrate_netgroup.pl) fehlerhafte NIS Maps (z.B. doppelte Group Members) weitere Skripts erforderlich
N2L Service + NIS kompatible Authentifizierung/Authorisierung + (Client) LDAP Referral möglich Verschiedene DN's pro User möglich (Smart Referral) Hohe Verfügbarkeit und flexible Replikationsstrategie (Referral on update) - neue DIT Einträge (z.B. neuer Benutzer) erfordern Serverneustart (??) - Smart Referrals nicht implementiert ? N2L Konfigurationsdatei (/var/yp/NISLDAPmapping) oder Sourcecode ändern (OpenSolaris) PADL Gateway testen (ypldapd.conf: deref, chasereferral) ++ kein OS Upgrade NIS Masterserver (Solaris 8) notwendig Umstellung des vorhandenen Workflows von NIS auf LDAP Backend (Realisierung Q ?) +++ Ende LDAP Projekt abhängiger Realisierungsstau
Migration Phase II: Design und Implementation 1. Konzeption eines neuen DIT (Directory Information Tree) unter Beruecksichtigung aller bisher vorhandenen Userdatenbanken 2. LDAP Funktionstests mit Clients und Applikationen (Mail-, Webserver, Radius, u.a.) 3. Produktivstellung LDAP Basissystem
Stand Migration Phase II: DIT Konzept: Abbildung der Organisationsstrukturen trotz Notwendigkeit einer flachen Struktur (organisations- übergreifende Resourcennutzung), Nutzerzwangskonsolidierung (Neuanmeldung) Test LDAP OS Clients: UNIX, Windows über Samba Test LDAP Client Applikationen: FTP, Mail, HTTP(S), Radius (Q1/Q2 2006) Umstellung LDAP basierende Benutzerverwaltung/Clientauthentifizierung (Realisierung Q ?)
Migration Phase III: Erweiterung der LDAP Infrastruktur Erhoehung der Verfuegbarkeit und Sicherheit durch Installation weiterer LDAP Server sowie Teil- und Multi-Master Replikation Windows Identity Synchronisation Umsetzung einer verteilten Benutzerverwaltung Anbindung weiterer Applikationen wie z.B. Kalenderservice, Webportale, PKI Integration
Stand Migration Phase III: Two-Way Multi-Master Replikation, Fractional Replikation für DMZ LDAPS Server, SJS DS in beiden Organisationen (ZMAW: OS Solaris, DKRZ: OS RHEL), Teilreplikation durch Sub-Suffixe Abwägung Samba PDC Integration (Passwortabgleich, Windows Clientkompatibilität) gegen Windows Directory (ADS) mit Sun Identity Synchronisation (erhöhte Komplexität, Lizenzkosten) gegen herstellerspezifische Lösung (Comtarsia Logon Client) Umsetzung einer verteilten Benutzerverwaltung Anbindung weiterer Applikationen wie z.B. Kalenderservice, Webportale, PKI Integration
Stand GRID - LDAP Integration Shiboleth Grid Portal Lösung LDAP Import der GRID Resourcen (HWDB/NIS/DNS) Authorisierung für GRID Resourcen