Hallo und schönen guten Abend,

ich wurde gefragt, ob es möglich ist an zwei Orten je einen Domain Server (Linux Cent) aufzustellen und diese per VPN zu verbinden. >JA klar geht das...<

Und dann ist es auch möglich die als Einen laufen zulassen? >hmm????<

Also er will, dass er sich an Ort A anmelden kann. Benutzer anlegen kann usw. und wenn er sich dann an Ort B anmeldet die gleichen Dateien und die neu Angelegten Benutzer wieder findet... Die beiden Server sollen also Benutzer, (Drucker), User-Dateien, usw. gegenseitig Synchronisieren???

Ich habe jetzt mal vorsichtig ja gesagt, aber finde nichts im Netz. Jemand eine Idee was ich bei Google oder so eingeben muss? :confused:

Danke im Voraus

Ja natürlich geht das. Pauschal wie man so etwas angeht ist nicht schnell mal gesagt. Also z.B. kann man für die Userdaten einen LDAP Server verwenden und diesen dann über einen Master-Server-Betrieb via VPN synchronisieren oder man greift über das VPN auf den zentralen LDAP zu (natürlich hier der Hinweis, wenn das VPN ausfällt, dann fällt in einem Netz auch die Anmeldungsmöglichkeit zu dem Server weg).

In ähnlicher Weise kann man auch die Userdaten synchronisieren

Also rein technisch kann man dieses umsetzen, aber es gibt dazu mehrere Möglichkeiten, die man in dem entsprechenden Zusammenhang bewerten muss

Moin,

wie flashpixx schon sagt, gibt es viele Möglichkeiten für eine Umsetzung. Ein paar Hintergrundinfos wären nicht schlecht, wenn "Ort A" und "Ort B" z.B. über eine schnelle Standleitung verbunden sind, oder im selben RZ stehen, könnte man mit der Replikation von Blockdevices arbeiten (Google-Stichwort: DRBD).

Und dann ist es auch möglich die als Einen laufen zulassen? >hmm????<

Ich weiß nicht, ob ich dich jetzt richtig verstehe, aber das könnte man durch einen Active-Passive Cluster umsetzen und die Cluster-Kommunikation übers VPN fahren (Google-Stichworte: Pacemaker, corosync, heartbeat).

Solltest du (siehe Post oben) einen Verzeichnisdienst aufsetzen wollen bringt LDAP imho von Haus aus Replikationsmechanismen mit.

Aber wie gesagt: nähere Infos wären nicht ganz verkehrt

Gruß

axxis

Also

Haus A ist mit ca. 20 Clientrechner, 1 Server, 1 Firewall (Linux)

Haus B ist ca. 3 km entfernt und mit einen eigenen Internetzugang verbunden.

hier sind auch ca. 20 Clientrechner, im Moment ein Server und ein Router (Glaube D-link)

Ich möchte zwei neue Server Kaufen und je eine Linux IP-Cop Firewall aufsetzten.

Mit dem Cluster habe ich mir auch so gedacht... aber da ist doch immer einer Slave oder? Geht da überhabt die Anmeldung wenn Master läuft??? Ich möchte verhindern dass, die Benutzerkonten bei jeder Anmeldung übers Internet laufen... Reicht schon wenn das Sync die DSL Leitung verstopft

Ich möchte zwei neue Server Kaufen und je eine Linux IP-Cop Firewall aufsetzten.

Was jetzt? Möchtest du zwei Server kaufen und auf diese IPCop spielen? Dann hat dort definitiv nichts anderes mehr drauf zu suchen!

Mit dem Cluster habe ich mir auch so gedacht... aber da ist doch immer einer Slave oder? Geht da überhabt die Anmeldung wenn Master läuft??? Ich möchte verhindern dass, die Benutzerkonten bei jeder Anmeldung übers Internet laufen

So ganz verstanden, was genau du machen möchtest, habe ich aber immer noch nicht. Sorry wenn ich da nochmal nachfragen muss, aber was genau hast du vor bzw. sollen die neuen Server für Funktionen bereitstellen?

Am Rande zu deiner ersten Frage: Jein, ich hatte einen Active-Passive Cluster angesprochen, hierbei ist es in der Tat so, dass ein Knoten Master ist (ein Knoten ist aktiv, einer passiv). Das Gegenstück dazu ist ein Active-Active Cluster, bei dem alle Knoten aktiv sind und sich die Last teilen (und z.B. in einen gemeinsamen Speicher schreiben).

Gruß

axxis

Mist, ich kann mich auch echt nicht ausdrücken

Also Haus A:

Client Rechner (Windows und Linux) <- fast alle in der Domäne, einen Server (Linux Cent), eine Firewall (Linux IP-Cop)

und Haus B :

Client Rechner (Windows und Linux) <- fast alle in der Domäne, einen Server (Linux Cent), eine Firewall (D-Link Router)

Die Firewalls sind ja nicht wichtig, da muss ich nur ein Loch durch bohren

Es muss so sein dass ich als Root in Haus A einen Nutzer, sagen wir mal "Peter" anlege.

Nun Meldet sich Peter an und schreib eine DOC. Nach ca. 1std. oder so geht Peter in Haus B und meldet sich hier mit Peter an und will an der DOC arbeiten...

Wichtig ist halt dass die Anmeldung am Server in Haus B läuft und nicht in Haus A, da ja sonst die Anmeldung Stunden dauert!!!

Die beiden Server müssen nur die relevanten Daten tauschen (um das Netz zu einen zu machen).

Nur was ich über Cluster weiß ich das man eine Master, Slave machen kann. Oder halt Traffic-Belangs wie ich jetzt von dir weiß

Ich hoffe ich habe jetzt das wesentliche gesagt?

Danke für die Mühe

Bearbeitet 29. Juni 201114 j von darkjoda

Hi,

wie sieht dein jetziges Setting aus?

Samba? Mit/ohne LDAP?

Lösbar wäre diese Aufgabe sicher durch einen Samba PDC/BDC in Verbindung mit je einem eigenen LDAP Backend oder LDAP Master- und Slave-Server, abhängig davon wo sich die User eher anmelden und wie die Anbindung beider Gebäude dimensioniert ist.

Die Samba Replikation könnte über rsync oder DRBD passieren, sofern nicht von mehreren Stellen auf die selben Daten zugegriffen werden kann/soll. Andernfalls müsstest du über den Einsatz über ein Cluster Filesystem (ocfs2, gfs, GlusterFS) nachdenken (was jedoch wieder Overhead auf dem Draht erzeugt etc.).

LDAP bringt imho eigene Replikationsfunktionen mit.

Anzumerken ist auch, dass ich mich hierbei auf eher theoretische Erkenntnisse stütze, weil ich praktisch mit diesem Thema (Samba, LDAP) noch nicht zu tun hatte.

Vielleicht findet sich hier der ein oder andere, der dir best practice Tipps geben kann

Gruß

axxis

Ich habe noch kein Konfig... Das System was jetzt da ist, wird ersetzt.

Mir würde es eigentlich schon reichen wenn, ich eine Tutorial oder ein paar gute Seiten zu diesem Thema habe.

Mir würde es eigentlich schon reichen wenn, ich eine Tutorial oder ein paar gute Seiten zu diesem Thema habe.

Es gibt kein einzelnes Tutorial, dass Dir das alles Schritt für Schritt erklärt. Man braucht eben das Wissen über die Netzstruktur, die Dienste und die entsprechenden Mechanismen die man benötigt. Anhand der Vorgaben kann man sich dann über entsprechende Verteilung dann für einen Dienst informieren

Moin,

du müsstest dir am besten vorher ein Konzept machen, wie du vorgehen möchtest und welche Funktionen gegeben sein müssen (oder zumindest einen groben Plan).

Samba Docs findest du hier und hier.

Die Doku zu openLDAP findest du hier.

Ansonsten bringt dich eine Google Suche nach z.B. "Samba + LDAP" zu einigen How-Tos.

Je nachdem wie dein Konzept dann aussieht, müsstest du dich noch in die ganzen Cluster Geschichten einlesen, z.B. hier:

DRBD

Pacemaker

Clusterlabs Wiki

Das müsste ausgenommen der Cluster FS das Gröbste sein (hier musst du selbst entscheiden, was du einsetzen wollen würdest; ich persönlich setze ocfs2 ein, da es sich zum einen gut einrichten lässt und zum Anderen unter Ubuntu und Debian (als VMs in einer vSphere-Umgebung) nicht so zickig ist wie GFS).

Für die Cluster Kommunikation würde ich Corosync benutzen (es sei denn, deine Nodes müssen per Unicast kommunizieren, dann ist Heartbeat die richtige Wahl).

Aber wie gesagt, ich bin da nicht Praxis konform was Samba und LDAP angeht, daher das Ganze ohne Gewähr Vielleicht muss man keine Cluster-Funktionalitäten einsetzen (und kann damit Komplexität aus dem Konstrukt nehmen), das kann dir aber nur jemand sagen, der im Thema steckt.

Gruß

axxis

Hm Danke.

Einen Domain-Controller habe ich schon mal aufgesetzt, aber ohne LDAP... Da muss ich wohl noch ein wenig lesen!

Also zur Zeit kann ich mir noch alles so planen wie ich will, da noch nichts gekauft und so ist.

Danke erst mal. Wenn jemand noch ein gut Idee hat immer her damit. Habe mein Auge drauf

Danke an alle.

P.S.: an ja eines ist aber schon fest. Die VPN wird mit Open VPN gemacht und vielleicht sogar eine zweite Netzwerkkarte, auch wenn das nicht nötig wäre...

Zweite Netzwerkkarte wozu?

Hast du eigentlich Standleitungen an den zwei Orten oder einfaches ADSL? Fällt mir gerade noch ein, ein 24h reconnect muss bei der Config der Replikation/des Clusters mit beachtet werden, da sonst Datenverlust/Split Brain droht.

Gruß

axxis

ggf könnte dies für dich interessant sein: Features

---

Workgroup

Centralized users and groups management

Master/slave support

Windows Active Directory Synchronization

---

Warum denn VPN ?

Um Benutzer und Gruppen wie in einer AD zu halten benutzt man unter OpenLDAP den syncrepl und Partitioniert dazu noch den DIT.

Die Verbindung wird dann mit tls aufgebaut wenn sich etwas ändert sonst nicht.

Dein Kunde benötigt da wohl eine MASTER MASTER variante in der Jeder sie eigenen DIT Schreibrechte hat.

Administration wäre mit Gosa2 oder auch WEBMIN möglich und noch viel andre Editoren hilfen dabei z.B ApacheStudio.

Datei Synchronisation wird dann mit Rsyncd erledigt z.B immer wenn er Sich ein- oder Aus loggt über seine shell- Umgebung.

Nun so weit ich das gelesen habe, kann man dann aber nur änderungen am Master-Server (Provider) machen. Das geht dann also nciht in beiden Richtungen. Da aber an beiden Orten gearbeitet wird und auch verändert wird müssen änderungen in beiden Richtungen laufen..

VPN Wegen der Verschlüsselung... soll ja nicht jeder gleich mitlesen!

Webmin nutze ich schon bei meinen Privat Server. Gosa2 kenne ich nicht. Welches ist "besser"

Es kann auch vor kommen das an Ort A (Master1-Server) und an Ort B (Master/slave2-Server) sich jemand mit den gleichen login anmeldet....

1.Zu VPN, LDAP stellt von sich aus eine Gesicherte Verbindung bereit mit SSL/TSL da nun VPN ein virtuelles Privates netz bereitstellen möchte darf man nun keinerlei Sicherheitssoftware installieren denn dann bekommt man natürlich Probleme da die Software normalerweise weiß das man wenn doch schon eine sichere Verbindung genutzt wird warum macht den da ein Dienst permanent noch welche auf ???

Wenn die Software also richtig arbeitet, wird dass dann unterbunden und bei einer guten Implementierung von VPN ist es auch verboten so etwas zu machen!

Damit es dann überhaupt geht muss dann in der Konfiguration erlaubt werden.

Kurz nicht wundern wenn es nicht klappt mit VPN das ist normal denn das sollte nicht gehen sonst könnte ein Trojaner etc... da machen das er will trotz sicherer Verbindung.

Gehen tut das nur mit MS warum auch immer?

Am Ende bedeutet es, dass der OpenLDAP dienst alle Anfragen unverschlüsselt entgegen nimmt da es nicht mit der SSL/TSL arbeitet (TSL kann nicht gehen! Arbeitet ohne Port!).

Also weil von Außen kein VPN für andere kann nun jeder einzeln weil der OpenLDAP dienst nun unverschlüsselt arbeitet alles abfragen was nicht verboten wurde und dass ist nun nicht sinnvoll denke ich. Deshalb steht im Adminguide von OpenLDAP auch nix von sichern Verbindungen mit VPN!

VPN = 2 Netze zusammen schrauben sonst nix, sonst ist der Konfiguration Aufwand zu hoch!!!

2. Für eine Multi Master Replikation muss man min. OpenLDAP 2.4.X benutzen LINK: 18.2.2. N-Way Multi-Master replication

3. WEBMIN vs. Gosa2

webin = einfache Server Verwaltung

Gosa2 = Umfangreiche Verwaltung wird z.B die Stadt München mit verwaltet.

Kann also alles was man zum verwalten, Managen und Beobachten einer ganzen Stadt braucht.

Alternativ noch :

MDS = Browser basierende Verzeichnis verwaltung.

DS_389 = wie MDS spezial für Fedora oder CentOS

Apache DS = JAVA Verzeichnisdienst leicht verwaltung. Bei 2 Servern ausreichend aber langsamer als OpenLDAP!

OpenDS = Wie Apache DS. MASTER MASTER rep. ?

Link LISTE zu LDAP:

LDAP Einführung

LDAP mit Ubuntu

LDIF

Linux LDAP HOWTO

ansonsten WIKI zu deiner Linux Distribution!