• LDAP-Zugang zum KIT-AD

  • Zugriff auf das KIT-AD per LDAP

Allgemeines

Der Dienst "LDAP-Zugang zum KIT-AD" bietet eine Lastverteilung beim LDAP-Zugriff auf die Domänencontroller des KIT-AD. Er kann anstelle eines direkten LDAP-Zugriffs auf einen dedizierten KIT-DC verwendet werden.

Nutzung

Der LDAP-Zugang erfolgt über den Servernamen "kit-ad.scc.kit.edu".
Der Zugang ist aus dem KIT-Netz möglich und erfordert die Authentifizierung des Benutzers. Um die Authentifizierung abzusichern, muss zwingend TLS oder STARTTLS genutzt werden.

Details

Die Lastverteilung erfolgt auf Basis des SCC Loadbalancers BigIP F5. Die F5 fungiert hierbei als Proxy. Sie nimmt folgende TLS-Port-Konstellationen entgegen und leitet sie 1:1 an die KIT-AD-Domänencontroller weiter:

  • LDAP TLS auf Port 636
  • LDAP TLS auf Port 3269
  • LDAP STARTTLS auf Port 389
  • LDAP STARTTLS auf Port 3268

Der LDAP-Zugriff über die Ports 389 und 636 führt zur Domain Partition, während die Ports 3268 und 3269 zum Global Catalog führen. Die Unterschiede werden unter http://technet.microsoft.com/en-us/library/cc978012.aspx erklärt.

Wichtig: die Inhalte in einem Active Directory sind grundsätzlich dynamisch. Ein Objekt sollte daher immer über seinen CN gesucht und nicht statisch über seinen DN referenziert werden!