UCS, UTM und ESXi

Abkürzungen sind schon was Feines ;)…

Auf meinem neuen Spielzeug tummeln sich jetzt schon ein paar virtuelle Maschinen. Unter anderem auch ein UCS (Univention Corporate Server), der mit Samba 4 eine gute Alternative zu Microsofts Active Directory bietet. Der größte Vorteil dieser Systeme ist die zentrale Verwaltung von Benutzerdaten. Das heißt man kann sich mit seinen Zugangsdaten an allen AD-gebundenen Systemen anmelden. Wenn man sein Passwort ändert, muss man das nur noch an einer Stelle tun. Also habe ich versucht, meine wichtigsten Systeme an den UCS zu binden und bin natürlich direkt in Probleme gerannt.

 

Erster Versuch: Sophos UTM 9.1

Die Firewall (Sophos UTM 9.1) dürfte das wichtigste System sein, das ich hier in meinem kleinen Heimnetz betreibe. Die Bindung an den Verzeichnisdienst des UCS verlief auch ohne Probleme. Zumindest behauptete das die UTM. Also habe ich einen administrativen Benutzer im UCS angelegt und den der Gruppe „Domain Admins“ hinzugefügt. In der Firewall habe ich dieser Gruppe die Rechte zum Anmelden an das administrative Webinterface gegeben. Leider ohne Erfolg. Kein Benutzer aus Gruppe durfte sich anmelden. Egal was ich versucht habe, die Firewall bestand darauf ich hätte falsche Zugangsdaten eingegeben.
Also habe ich die Bindung an den UCS wieder gelöst und die Firewall nochmal neu gebunden. Dabei kann man testweise Daten eines Benutzers eingeben und bekommt eine Rückmeldung, ob die Daten richtig waren und wenn ja, in welchen Gruppen dieser Beutzer im Verzeichnis zugewiesen ist. Habe ich mit meinem administrativen Benutzer getestet, alles super. Leider habe ich dabei genau den Hinweis übersehen, der mich letztendlich zur Lösung geführt hat. Aber dazu später mehr.

 

Zweiter Versuch: vmWare ESXi 5.5

Nachdem die Firewall einfach nicht so wollte wie ich mir das vorgestellt hatte, versuchte ich es mit dem zweitwichtigsten System: meinem ESXi, auf dem meine ganzen Systeme in virtualisierter Form laufen.
Auch hier schien die Bindung an den Verzeichnisdienst problemlos verlaufen zu sein. Zumindest bekam ich keine Fehlermeldung. Irritierend war aber, das ich die Benutzer und Gruppen des Verzeichnisses nicht durchsuchen konnte, um die administrativen Berechtigungen zu vergeben. Bindung lösen und neu binden brachte auch nichts. Langsam machte sich bei mir Verzweiflung breit. Vielleicht ist der UCS doch kein so guter Ersatz für ein „echtes“ Active Directory?

 

Dritter Versuch: Bindung gegen eine Windows Domäne

Um ganz sicher zu gehen blieb nur eins: einen Windows Domänencontroller aufsetzen und es damit versuchen. Also habe ich mal eben die 180-Tage Testversion vom Windows Server 2008 R2 heruntergeladen, installiert, alle Updates drübergebügelt, den Server zum Domänencontroller gemacht, einen Benutzer angelegt und diesen in die Gruppe „Domain Admins“ geschubst. War alles in allem nur irgendwas um die vier oder fünf Stunden. „Mal eben“ halt.
Das Ergebnis war ernüchternd: der ESXi zeigte die gleiche mangelnde Bereitschaft Benutzer und Gruppen aus dem Verzeichnis zu lesen, wie beim UCS auch. Verwirrt machte ich mich auf die Suche im großen Orakel von Mountain View. Nach langer Suche und verschiedenen Tests, wie zum Beispiel deaktivieren der Firewall auf dem ESXi oder Neustart des kompletten Servers wollte ich schon aufgeben, als ich zufällig über die Lösung stolperte.

 

Lösung 1: vmWare ESXi 5.5

Trotz das alle Bugs in Verbindung mit Active Directory in der Version 5.5 vom ESXi eigentlich behoben sein sollten, scheint sich einer recht hartnäckig zu halten. Die Lösung ist relativ einfach:
Bei der ersten Bindung mit einem Verzeichnisdienst werden auf dem ESXi zusätzliche Dienste gestartet: netlogond, lwiod und lsassd. Diese Dienste legen eine Reihe von Verzeichnissen auf dem ESXi an und erstellen PID-Dateien in /var/lock/subsys.
Und genau da ist der Fehler: dieses Verzeichnis wurde nicht angelegt. Also per ssh auf den ESXi und folgende Befehle ausführen:

Siehe da, der ESXi kann Benutzer und Gruppen aus dem Verzeichnis auslesen. Also gegen den UCS gebunden, der Gruppe „Domain Admins“ administrative Rechte gegeben und alles funktionierte wie erwartet.

 

Lösung 2: Sophos UTM 9.1

Jetzt blieb nur noch die Firewall. Das die nicht so wollte wie ich nervte mich jezt noch mehr. Also den ganzen Spaß nochmal. Firewall gegen den UCS binden und Benutzerdaten testen. Die Rückmeldung war wieder positiv. Hier fiel mir dann allerdings auf, das zwar Benutzername und Passwort richtig waren, die Firewall aber keine Gruppen für den Benutzer finden konnte. Das irritierte mich. Das Log für die Authentifizierungsserver sah aber gut aus.
Die Sophos UTM hat eine Funktion, mit der sie zu festgelegten Zeiten alle Benutzer aus vorher festgelegten Verzeichnis-Gruppen auslesen kann. So muss die Firewall nicht bei jedem Login eines neues Benutzers beim Domänencontroller nachfragen, was bei vielen neuen Benutzern die Last erheblich senkt. Also habe ich hier mal zwei Gruppen festgelegt und mir das Live-Log angesehen. Das Ergebnis war dann die Lösung: eine von mir im Verzeichnis angelegte Gruppe wurde mit vier Benutzern richtig ausgelesen. Die Gruppe „Domain Admins“, die ich zum Anmelden am administrativen Webinterface der Firewall definiert hatte, war laut Rückmeldung im Log aber leer.
Schnell eine neue Gruppe im Verzeichnis angelegt, diese Gruppe als untergruppe zu „Domain Admins“ definiert, meinen administrativen Benutzer reingeschubst und in der Firewall die neue Gruppe zum anmelden ans Admin-Interface definiert. Hurra! Manchmal können Lösungen so einfach sein.

Vielleicht habe ich ja irgendwann mal Spass daran herauszufinden, warum die Sophos UTM diese Gruppe nicht auslesen wollte. Aktuell reicht mir aber einfach, das es jetzt funktioniert und ich weiter den kostenlosen UCS nutzen kann.

3 Gedanken zu „UCS, UTM und ESXi“

  1. Hallo Sascha

    Toller Bericht. Genau sowas möchte ich mir auch einrichten.
    Was mich interessiert, wie hast du die Sophos UTM mit nur einem LAN Anschluss konfiguriert?

    Gruss
    Martin

    1. Hallo Martin,

      auf meinem NUC läuft ein ESXi und darauf als virtuelle Maschine die UTM mit zwei virtuellen LAN-Anschlüssen. Der Nuc ist mit einem VLAN-fähigen Switch (HP ProCurve 1810-8G) verbunden, mit dem ich dann zwei getrennte Netze „simulieren“ kann.

      Gruß,
      Sascha

Kommentare sind geschlossen.