LDAP Synology LDAP Consumer Server (LDAP Mirror)

Status
Für weitere Antworten geschlossen.

petavonfrosta

Benutzer
Mitglied seit
21. Okt 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo Gemeinde,

Ich habe zwei Diskstations an zwei verschiedenen Standorten via VPN miteinander verbunden. Das VPN funktioniert auch einwandfrei.

An Standort 1 ist die Diskstation:
- als LDAP-Server konfiguriert
- client zum eigenen LDAP-Server

An Standort 2 ist die Diskstation:
- als LDAP-Client zu Standort 1 konfiguriert.

Das ganze funktioniert fehlerfrei. Nun würde ich gerne aus gründen der performance und der verbindungssicherheit an Standort 2 einen LDAP-Mirror erstellen und den LDAP-Client der Diskstation daran verbinden.

Ich habe an Standort 2 ebenfalls das Paket Directory Server installiert und als Consumer Server konfiguriert. Einen seperaten Benuter erstellt (LDAP Standort 1) der Mitglied in folgenden Gruppen ist: users, Directory Operators, Directory Client, Directory Consumers, Administrators (Ich hatte hier schon viel rum probiert, dass ist der aktuelle Stand). Aus der Gruppe users, kann ich ihn nicht entfernen (ist nicht möglich).
Diesen Benutzer habe ich an Standort 2 verwendet um den Consumer Server mit Standort 1 zu verbinden. Das ganze funktioniert. Als Status steht verbunden.

Dann habe ich den LDAP-Client von Standort 2 mit dem LDAP-Server (Consumer Server / Mirror) an Standort 2 verbunden. Ebenfalls mit dem selben Benutzer.
Das ganze funktioniert ebenfalls ich kann Standort 2 unter Domain/LDAP -> LDAP Users alle Benuter aus Standort 1 sehen.

Nun zum Problem:
An Standort 2 kann ich mich nicht einem LDAP-Benuter anmelden. Auch nicht wenn ich explizit an Standort 2 Berechtigungen für Webanwendungen setze (File Station etc.).
Mit den gleichen Einstellungen jedoch ohne den Consumer Server (d.h. Client Standort 2 ist mit Server Standort 1 verbunden) funktioniert es.

Weis jemand woran das liegt? bzw. hat jemand eine idee?
Vielen Dank schonmal im Voraus

Standort 1: DSM 6.0.2-8451 Update 2
Standort 2: DSM 6.0.2-8451 Update 2
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Ich habe ebenfalls dieses Setup und habe auch lange verzweifelt. Ich habe es letztendlich geschafft indem ich die Passwörter neu gesetzt habe auf dem LDAP Server (bei dir Standort 1). (Neue Benutzer gingen sofort)

Ich hatte zu Beginn den lustigen Fehler, dass ich über das Webinterface kein Zugriff hatte auf dem Consumer Server NAS (bei dir Standort 2) - ebenfalls habe ich die Rechte explizit nochmal gesetzt etc. hat alles nicht geholfen. Aber über den Windows Explorer ging der Zugriff. Das heißt ich konnte auf die Ordner zugreifen, aber nicht auf das Webinterface. Wenn das bei dir ähnlich ist, dann hilft das vielleicht mit dem Passwörter neusetzen auch.

Ferner nutze ich als Benutzer den root, sodass die Bind DN beim Consumer Server die Gleiche ist wie beim LDAP Server. Der Verbindungsstatus wird mir allerdings mit "Verbindungsfehler. Der Benutzer gehört nicht zu der Gruppe Directory Consumers." angezeigt. Trotzdem funktioniert es. Ich habe es aber auch nicht mehr versucht zu ändern, nachdem ich das mit dem Passwort erneut setzen herausgefunden hatte weil ich die Befürchtung hatte es wieder kaputt zu machen :).
 

petavonfrosta

Benutzer
Mitglied seit
21. Okt 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Vielen Dank für deine Antwort. Also bin ich schon mal nicht allein mit dem Problem.
Ich habe bei meiner konfiguration mal das Benutzerpasswort neugesetzt, das hilft bei mir nicht. Aber ja du hast recht, via CIFS kommt man drauf. Also scheint das ein Bug zu sein.

Nun ich werde mir so behelfen, in dem ich via Docker einen LDAP Mirror laufen lasse und die DS als Client daran anmelde. Zusätzlich wird auf der Haupt DS noch via Docker ein LDAP Server eingeichtet.
Jedoch erst wenn ich dafür Zeit finde...

Ich hatte mal vor monaten mit dem Synology Support deswegen geschrieben. Die meinten kurz und knapp... "Ein direkten Mirrow mit den gleichen Daten können Sie nicht einrichten, die Domains müssen sich unterscheiden.
Wie Sie sich anmelden? Sie sollten mit user@domain die Anmeldung durchführen. "

Wenn man jedoch an Standort 2 eine andere Domain eingibt, dann kann man sich erst recht nicht mit dem LDAP-Server verbinden. Die GUI gibt auch keine möglichkeit her eine Subdomain anzulegen.
Nun hatte mir auch damals hier die Zeit gefehlt und das ganze ist dann eingeschlafen.

Ich werde mal Synology nochmals kontaktieren und den Bug melden. :)
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Hast du mal testweise einen neuen Benutzer erstellt auf dem LDAP Server (Standort 1) und dann geschaut ob der auf Standort 2 funktioniert?
 

petavonfrosta

Benutzer
Mitglied seit
21. Okt 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hab ich jetzt gerade nochmal gemacht. Und auch nochmal die Berechtigungen gesetzt. Beides funktioniert nicht.
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Dann muss ich zugeben bin ich auch eher ratlos. Bei mir hats zufällig mit meiner oben beschriebenen Konfiguration (wie gesagt nutze den root als Benutzer im Consumer Server) und dem Passwort neusetzen der Accounts geklappt. Vielleicht hilft es ja, dass bald ein AD Server von Synology kommt.
 

petavonfrosta

Benutzer
Mitglied seit
21. Okt 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Synlogy hat geantwortet:

Ein LDAP Replication (Mirror) wird von unserem LDAP/AD Server nicht unterstützt, so dass Sie zwei unterschiedliche LDAP Verzeichnisse betreiben. Dann unterscheiden sich die Benutzer ID und die Anmeldungen mit den Benutzern wird vermutlich nicht funktionieren. Bitte betreiben Sie nur einen Server im Netzwerk und binden Sie andere (Synology NAS) Geräte als Client an.

Hier einige Informationen dazu:

https://www.linuxmuster.net/wiki/anwenderwiki:erweiterungen:ldap-replikation

Ich kann einen Funktionswunsch zur Unterstützung der LDAP Replication an unsere Entwickler weiterleiten.



Unsere LDAP Version ist LDAP 3 (RFC2251).

https://www.synology.com/en-uk/knowledgebase/DSM/help/DirectoryServer/ldap_desc



Win/Mac Clients an einen Linux LDAP:

https://www.synology.com/en-us/know...lient_computers_to_the_LDAP_directory_service



Die LDAP Client Hilfe zur Einrichtung des Clients:

https://www.synology.com/en-us/knowledgebase/DSM/help/DSM/AdminCenter/file_directory_service_ldap

Sollten Sie noch Fragen haben, können Sie sich gerne jederzeit an uns wenden.
Der erste Satz hat es in sich. Also wenn es nicht unterstüzt wird, warum wird im Paket Directory Server unter Consumer Server darauf hingewiesen, dass nur Synology Directory Server funktionieren.
Mal wieder ein klassisches Beispiel dafür, dass linke linke Hand nicht weis, was die rechte tut...

Synology Directory Server.jpg
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Spannende Antwort :). Dann bin ich einfach mal froh, dass ich es bei mir irgendwie zum laufen gebracht habe. Bis auf die blöde Meldung beim Verbindungsstatus.

Aber natürlich trotzdem ein Witz, dass diese Funktion trotzdem vorhanden ist...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat