thumb

Verzeichnisdienste sind aus modernen IT-Infrastrukturen kaum mehr wegzudenken. Single Sign-On und Public Key Infrastructure sind die Schlagwörter, welche eng mit Verzeichnisdiensten verknüpft sind. Nicht nur die zentrale Verwaltung von Benutzer- und Authentifizierungsinformationen, sondern auch deren Replizierung über mehrere Netze und Standorte hinweg stellen hohe Anforderungen an die verwendendete Software.

Der «389 Directory Server» ist eine freie Implementierung des Lightweight Directory Access Protocol (LDAP). Er unterliegt von der OSI (Open Source Initiative) akzeptierten Lizenzen, ist also ein klassisches Open-Source-Projekt. Damit kann der 389 ohne Einschränkungen kostenlos eingesetzt werden, sowohl kommerziell als auch nicht kommerziell. Federführend in der Entwicklung ist die Open-Source-Spezialistin Red Hat. Sie verfolgt beim 389, der früher unter der Bezeichnung «Fedora Directory Server» lief, eine ähnliche Strategie wie bei ihrer Linux-Distribution «Red Hat Enterprise Linux». So existiert eine Variante des 389 mit Namen «Red Hat Directory Server», die sich sauber in die Enterprise-Linux-Distribution integriert. Für diese Variante bietet Red Hat zudem kostenpflichtigen Support an.

Die Neuinstallation eines 389 gestaltet sich äusserst einfach. Ein textbasierter Installationsassistent sammelt interaktiv alle erforderlichen Informationen, die der Server benötigt, damit er überhaupt lauffähig ist. Alternativ können diese Parameter in einer Datei hinterlegt werden, wodurch sich die Installation automatisieren lässt. Nach dem Start des Servers kann dieser weiter konfiguriert werden.

Wichtigstes Werkzeug zur Konfiguration ist eine Java-basierte Management- Konsole, die übers Netzwerk mit dem Verzeichnisdienst kommuniziert. Somit kann das Serversystem, das den 389 beherbergt, auch ohne grafische Oberfläche laufen. Über die Management-Konsole lassen sich alle Aspekte des Systems verwalten. Sämtliche Einstellungen werden direkt im Directory Server gespeichert. Somit können Konfigurationsänderungen auch per Kommandozeile durchgeführt werden, was hauptsächlich für automatisierte oder bereits vorbereitete Änderungen praktisch ist.

Eine zentrale Benutzerverwaltung macht umso mehr Sinn, je umfangreicher die zu verwaltende Infrastruktur ist. Oft bringt Wachstum eine Ausdehnung in verschiedene Netze und Standorte mit sich, die es mit Verzeichnisdiensten zu bedienen gilt. Eine ebenfalls häufig anzutreffende Disziplin besteht darin, solche Dienste hochverfügbar auszulegen. Die Replizierungs-Funktionalität deckt dieses Bedürfnis ab, indem Verzeichnisdienste redundant betrieben werden können. Unterstützt wird die Replizierung nach dem Master-Slave-Prinzip, bei welchem nur der Master-Server Änderungen am Verzeichnis entgegennimmt, um diese sogleich an alle angeschlossenen Slave-Server weiterzugeben. Diese sind anschliessend für lesende Zugriffe auf das Verzeichnis zuständig. Als einer der wenigen seiner Kategorie unterstützt der 389 ebenfalls das Master- Master-Prinzip der Replizierung, womit sich Probleme der Lokalität, Verfügbarkeit und Performance adressieren lassen.

In heterogenen Systemlandschaften stellt die Synchronisierung mit Microsofts Verzeichnisdienst Active Directory ein grosses Plus dar. Mit Hilfe eines Plugins für Active Directory lassen sich alle Benutzer und Gruppen einschliesslich Passwörter in beide Richtungen (Multi-Master) replizieren. Das entsprechende «Sync Agreement» lässt sich über einen Assistenten mit wenigen Klicks einrichten. In der Praxis hat sich der 389 bei verschiedenen Projekten von Puzzle als stabil und zuverlässig erwiesen.

Simon Josi ist Linux System-Ingenieur beim Open-Source-Dienstleister Puzzle ITC.

103-103simonjosi.jpg
Simon Josi