LDAP Infrastruktur

Einführung

Im RRZK wird eine LDAP-Umgebung mit einem Master- und mehreren Slave-Servern betrieben. Die LDAP-Umgebung kann zur Authentifizierung von Benutzenden und zur Abfrage von Attributen für LDAP-basierte Webanwendungen innerhalb der Universität zu Köln verwendet werden.
Beantragung des Zugangs

Konfiguration des LDAP-Servers

In der Konfiguration der Software sollten grundsätzlich die Proxy-Server für einen redundanten Zugriff eingetragen werden. Diese verteilen Anfragen per Loadbalancer auf die folgenden Server:

ldap-hvtzent-1.rrz.uni-koeln.de
ldap-hvtzent-2.rrz.uni-koeln.de
ldaps-rzkj-3.rrz.uni-koeln.de
ldaps-rzkj-4.rrz.uni-koeln.de

RRZK Proxy-Lösungen:

ldapproxy-hvtzent-1.rrz.uni-koeln.de LDAPS (636)+LDAP+StartTLS (389) - Loadbalancer (redundante Anbindung für ldap-hvtzent-1.rrz.uni-koeln.de, ldap-hvtzent-2.rrz.uni-koeln.de, ldaps-rzkj-3 und ldaps-rzkj-4)

ldapproxy-rzkj-2.rrz.uni-koeln.de LDAPS (636)+LDAP+StartTLS (389) - Loadbalancer (redundante Anbindung für ldap-hvtzent-1.rrz.uni-koeln.de, ldap-hvtzent-2.rrz.uni-koeln.de, ldaps-rzkj-3 und ldaps-rzkj-4)

Konfiguration des verschlüsselten Zugangs

Für den Zugriff auf den LDAP-Server muss auf dem Client-Server die Zertifikatkette der UzK importiert sein. Den Link zu dieser Datei finden Sie unter  Zertifizierungsstelle (DFN-PCA-Zertifikat oder Zertifikatkette anzeigen). Die Zertifikatketten müssen jeweils in einer Datei im Anwendungsserver abgelegt und entsprechend in der Anwendung konfiguriert werden.

Tragen Sie in der Datei ldap.conf außerdem die folgende Option ein: TLS_REQCERT. Diese ist auf "demand" zu stellen. Auf Linux finden Sie die Datei unter /etc/openldap.