zum Inhalt springen

LDAP Infrastruktur

Einführung

Im RRZK wird eine LDAP-Umgebung mit einem Master- und mehreren Slave-Servern betrieben. Die LDAP-Umgebung kann zur Authentifizierung von Benutzenden und zur Abfrage von Attributen für LDAP-basierte Webanwendungen innerhalb der Universität zu Köln verwendet werden.
Beantragung des Zugangs

Konfiguration des LDAP-Servers

Es stehen folgende LDAP-Server zur Verfügung:
ldap-hvtzent-1.rrz.uni-koeln.de
ldap-hvtzent-2.rrz.uni-koeln.de
ldaps-rzkj-3.rrz.uni-koeln.de
ldaps-rzkj-4.rrz.uni-koeln.de

In der Konfiguration der Software können diese Server einzeln oder für einen redundanten Zugriff zu mehreren eingetragen werden. Sollte die benutzte Software keine redundante Konfiguration erlauben, bietet das RRZK eine Proxy-Lösung mithilfe der Software Netscaler.

Die beiden Server: ldaps-rzkj-3.rrz.uni-koeln.de und ldaps-rzkj-4.rrz.uni-koeln.de können über die Adresse ldapproxy-rzkj-1.rrz.uni-koeln.de gemeinsam angesprochen werden. Fällt einer der beiden Server aus, wird automatisch der andere Server angesprochen.
In der nahen Zukunft sollen ebenfalls die anderen zwei Server auf diesem Weg angebunden werden.

Konfiguration des verschlüsselten Zugangs

Die Server können über lDAP (Port 636) oder TLS (Port 389) angesprochen werden. Beim Proxyserver ldapproxy-rzkj-1.rrz.uni-koeln.de funktioniert dies nur über TLS.
Für den Zugriff auf den LDAP-Server muss auf dem Client-Server die Zertifikatkette der UzK importiert sein. Der Vollständigkeit halber sollten sowohl die alte als auch die neue Zertifikatkette importiert werden. Die Links zu diesen Dateien finden Sie unter https://rrzk.uni-koeln.de/zertifizierungsstelle.html (Schnittstelle der Uni Köln CA und Schnittstelle der Uni Köln CA Generation 1 (bis Mitte 2016) -> CA Zertifikate -> Zertifikate anzeigen). Die Zertifikatketten müssen jeweils in einer Datei im Anwendungsserver abgelegt und entsprechend in der Anwendung konfiguriert werden.

Tragen Sie in der Datei ldap.conf außerdem die folgende Option ein: TLS_REQCERT. Diese ist auf "demand" zu stellen. Auf Linux finden Sie die Datei unter /etc/openldap.

Kontakt
Bei Fragen und für eine individuelle Beratung wenden Sie sich bitte an den RRZK-Helpdesk