In vielen Unternehmen koexistieren proprietäre Microsoft-Umgebungen und der Wunsch nach offenen, lizenzfreien Lösungen. CyMaIS schließt diese Lücke durch eine vollständige LDAP-AD-Kompatibilität: Bestehende Active-Directory-Infrastrukturen bleiben intakt, während Open-Source-Dienste nahtlos angebunden werden können. Mit der Integration von Keycloak als Identity-Provider (IdP) bietet CyMaIS zudem echtes Kerberos-SSO über LDAP, ohne selbst GSSAPI-Bindings implementieren zu müssen.
Warum LDAP-AD-Kompatibilität so wertvoll ist
- Schutz bestehender Investitionen
Unternehmen haben umfangreich in AD-Strukturen, Gruppenrichtlinien und Automatisierungslösungen investiert. Ein plötzlicher Wechsel zu Open-Source-Verzeichnisdiensten würde hohe Aufwände verursachen. - Stufenweiser Migrationspfad
CyMaIS ermöglicht Schritt für Schritt, Services auf Open-Source umzustellen. Windows-Clients und -Server greifen unverändert per AD zu, neue Anwendungen nutzen den gleichen LDAP-Proxy. - Kostenersparnis und Autonomie
Der hybride Betrieb reduziert Lizenzkosten und minimiert Vendor-Lock-in. IT-Teams gewinnen Flexibilität und volle Kontrolle über ihre Infrastruktur.
Technische Architektur von CyMaIS LDAP
1. Transparenter LDAP-Proxy & Schema-Mapping
CyMaIS fungiert als zentraler LDAP-Proxy:
- LDAPv3-Bind und Anfrage-Handling
- Schema-Mapping zwischen Microsoft-Attributen (
sAMAccountName,objectGUID,memberOf) und standardisierten LDAP-Feldern (uid,entryUUID,groupMembership) - Weiterleitung an AD-Domain-Controller oder OpenLDAP-Server je nach Konfiguration
textCopyEditClient ──► CyMaIS LDAP-Proxy ──► AD DC
│
└──► OpenLDAP
2. Keycloak für zentrales SSO & Kerberos-Federation
Statt selbst GSSAPI-Bindings vorzuhalten, nutzt CyMaIS Keycloak für Kerberos-SSO:
- LDAP-/AD-User Federation
Keycloak bindet sich über sein LDAP-Federation-SPI direkt an CyMaIS oder an Ihren AD-Controller. - Kerberos über SASL/GSSAPI
Keycloak bezieht Service-Tickets vom AD-KDC und validiert Benutzer-Tickets. - SSO per OAuth2/OpenID Connect oder SAML2
Web-Apps, APIs und mobile Clients erhalten Kerberos-basiertes Single-Sign-On, ohne dass CyMaIS selbst GSSAPI implementieren muss. - Rollen- und Gruppen-Mapping
LDAP-Gruppen aus CyMaIS/AD lassen sich nahtlos auf Keycloak-Rollen abbilden.
3. Replikation & Hochverfügbarkeit
- Multi-Master-Replikation
Mehrere CyMaIS-Instanzen synchronisieren Änderungen untereinander. - Bi-direktionaler LDAP-Sync
Anpassbare Konflikt-Regeln sorgen dafür, dass Änderungen aus AD und OpenLDAP konsistent abgeglichen werden.
Vorteile für Ihr Unternehmen
| Nutzen | Beschreibung |
|---|---|
| Echtzeit-Kerberos-SSO | Keycloak übernimmt Kerberos-Federation, geliefert über den CyMaIS-LDAP-Proxy. |
| Zentrale Identity-Plattform | Single-Sign-On für alle Anwendungen via OAuth2, OpenID Connect & SAML2. |
| Schrittweise Migration | Bestehende AD-Infrastruktur bleibt aktiv, neue Services greifen per LDAP zu. |
| Kosteneinsparung | Weniger Lizenzkosten durch Open-Source-Komponenten und Self-Service über Keycloak. |
| Hohe Verfügbarkeit | Multi-Master-Replikation und bi-direktionaler Sync garantieren Ausfallsicherheit. |
| Maximale Autonomie | Unabhängigkeit von proprietären Systemen, unterstützt durch eine lebendige Open-Source-Community. |
CyMaIS bietet mit seiner LDAP-AD-Kompatibilität und Keycloak-Integration einen sicheren, flexiblen und kosteneffizienten Weg in eine hybride oder vollständig offene IT-Zukunft—mit echtem Kerberos-SSO über LDAP, ohne dass der Kern selbst GSSAPI implementieren muss.
Leave a Reply