LDAP Windowsanmeldung mit LDAP Direcory Service nutzen

[Star TUX]

Ich hatte da nur eine kleine Idee zur Realisierung: Man könnte sich doch einfach 2 robocopy Scripts schreiben, die bei Anmeldung die Daten vom NAS auf den PC spiegeln und beim Abmelden wieder auf die DS spiegeln. Vorraussetzung dafür ist natürlich, dass die Datenmenge im Homeverzeichnis nicht zu groß ist, weil das Ganze dann etwas dauern würde. Nachteil ist wohl, dass das Benutzerverzeichnis trotzdem noch lokal am PC vorhanden ist, aber ich denke das ist für Zuhause nicht so dramatisch. Man könnte es ja auch beim Abmelden mit einem Script wieder löschen

Gibt aber sicherlich auch eine elegantere Lösung

LG
Star TUX

 

[Star TUX]

Klasse, Danke Testen! Nicht so klasse ist, dass es offline nicht geht :-( - echt schade!

Ich muss meine Aussage von vorhin revidieren! Du kannst dich freuen!!! Anmeldung geht doch auch offline! Habe mich beim letzten Versuch nur beim Benutzernamen vertippt, glaube ich. Jetzt hat es gerade auch ohne Verbindung zur DS funktioniert!

 

[soerenwagneremden]

Jippiiiiiii - danke für die Info

 

[KriKrack]

Hallo,

ich möchte ebenfalls auf meiner DS212+ den Directory-Server einrichten und auf mehreren Win 7-Rechnern den LDAP-Client. Die Artikel hier haben mir schon sehr viel geholfen, es bleiben aber zwei Fragen bei mir zu klären, bevor ich starte:

1. Nach welcher Vorgehensweise bestimmt man den FQDN bei der Konfiguration des Servers? Einfach frei ausgedacht, oder muss ich zuvor irgendwo die Domain belegen? Falls frei ausgedacht: was empfehlt ihr mir?

2. Wenn ich einen Laptop mit Win 7 und LDAP-Client aus dem heimischen (W)LAN in die weite Welt mitnehme, kann ich mich dann immer noch mit einer auf dem Server eingerichteten Kennung einloggen?

Vielen Dank, bin gespannt auf Eure Antworten
KriKrack

 

[KriKrack]

2. Wenn ich einen Laptop mit Win 7 und LDAP-Client aus dem heimischen (W)LAN in die weite Welt mitnehme, kann ich mich dann immer noch mit einer auf dem Server eingerichteten Kennung einloggen?
KriKrack

Frage 2 ziehe ich zurück, weil die Antwort schon aus den vorherigen Beiträgen und Star TUXs Tests hervorgeht.
Eine andere Frage packe ich aber drauf:

3. Kann man Zeitkonten mit Hilfe von LDAP einrichten? Unsere Kinder floaten zwischen verschiedenen Rechnern bei uns, wo sie auch jeweils eigene Kennungen haben. Wie schaffe ich es beispielsweise, zentral zu überwachen, dass Kind X nicht mehr als insgesamt zwei Stunden täglich an egal welchem Rechner, ggf. auch an verschiedenen, zubringt? Ist LDAP dafür geeignet, oder gibt es dafür etwas besseres? Proxy ist ungeeignet, weil ich nicht nur den Internetzugang limitieren möchte, sondern den Rechnergebrauch schlechthin.

Gruß, KriKrack

 

[WilliW]

Frage 2 ziehe ich zurück, weil die Antwort schon aus den vorherigen Beiträgen und Star TUXs Tests hervorgeht.
Eine andere Frage packe ich aber drauf:

3. Kann man Zeitkonten mit Hilfe von LDAP einrichten? Unsere Kinder floaten zwischen verschiedenen Rechnern bei uns, wo sie auch jeweils eigene Kennungen haben. Wie schaffe ich es beispielsweise, zentral zu überwachen, dass Kind X nicht mehr als insgesamt zwei Stunden täglich an egal welchem Rechner, ggf. auch an verschiedenen, zubringt? Ist LDAP dafür geeignet, oder gibt es dafür etwas besseres? Proxy ist ungeeignet, weil ich nicht nur den Internetzugang limitieren möchte, sondern den Rechnergebrauch schlechthin.

Gruß, KriKrack

Hat jetzt nichts mit DS oder LDAP zu tun, aber unter Windows kann die Kindersicherung von Salfeld wohl die Zeiten mehrere Rechner addieren und limitieren (http://salfeld.de/software/kindersicherung/funktionen.html, dort "Zeiten mehrerer PCs gemeinsam zählen"). Unter Linux gibt es kein vernünftiges Paket, da muss man sich selber etwas programmieren.

 

[catweazle71]

Hallo zusammen,

habe gerade den Thread durchgelesen
Bei mir läuft die LDAP-Anmeldung an Win7 Prof ebenfalls im Prinzip über die pGina. Hat uach beim ersten Anlauf funktioniert. Die pGina hatte beim ersten Aufruf netterweise schon alles mögliche richtig ausgefüllt

Aber ich habe noch eine Frage. Ich melde mich ja mit dem LDAP User an, dessen Accountname genau gleich auch in Win7 existiert. Dieser Win-Account hat bei mir Adminrechte. Wenn ich mich aber über die pGina am LDAP authentisiere, habe ich unter Win plötzlich keine Adminrechte.

Warum ist das so? Habe ich noch nicht alles richtig konfiguriert?

 

[TheEngineer]

Hallo ,
danke für die Anleitung.
Bei mir passiert folgendes:Sobald sich ein User uber pGina mit einem User der im Directory Server des NAS an der Workstation anmeldet wird dieser User lokal auf der Workstation angelegt. Das passiert auch schon sobald ich die Simulation in der pGina Software auf dem Client laufen lasse.
Nun habe ich keine Möglichkeit mehr den User über den Directory Server im NAS zu sprerren. Das kann doch so nicht richtig sein. Muss die Workstation noch einer Domaine beitreten? Mein Client ist ein Win7

Gruß
Engineer

 

[norbertbaum]

Ich weiß, dass der Beitrag schon ein paar Tage alt ist.
Dank der Anleitung habe ich unter Windows 8.1 Preview eine Anmeldung am LDAP-Server geschafft.

Problem...
Wenn ich unter Windows das Kennwort ändere, bleibt das nur im Windows-Context und wir nicht auf den LDAP zurück geschrieben
Eine Rechteverwaltung mit Gruppen funktioniert ja auch nur sehr sehr bedingt. Da ich keine Rechte auf Ordner-basis machen kann (oder nicht gefunden)

Also eine richtige Alternative ist das zum Active Directory also nicht - auch für nur 4Benutzer - oder sehe ich das falsch?


Vielen Dank
Norbert

 

[Matthieu]

Ich persönlich hoffe ja, dass Synology sich in Verbindung mit dem aktuellen Samba was einfallen lässt. Der kann nämlich eine ActiveDirectory-Umgebung "nachstellen" die auch durchaus funktionsfähig ist.

MfG Matthieu

 

[norbertbaum]

Gibt es schon Zeitpläne wann so was kommen könnte?
Ich muss ende August bei jemanden das Umgestellt haben

 

[Matthieu]

Gibt es schon Zeitpläne wann so was kommen könnte?
Ich muss ende August bei jemanden das Umgestellt haben

Bis dahin wird es nicht kommen. Frühestens mit dem nächsten großen Release und das wäre (wenn sich Synology an den gewohnten Zeitplan hält wie die letzten Jahre) erst Anfang 2014. Die hier besprochene Struktur aus LDAP + Windows-Anmeldung halte ich für nicht unternehmenstauglich. Da muss man dann wohl in den sauren Apfel beißen und einen Windows Server holen oder selbst eine Lösung auf Linux-Basis mit dem aktuellen Samba hinstellen (z.b. Univention Corporate Server).

MfG Matthieu

 

[norbertbaum]

Die hier besprochene Struktur aus LDAP + Windows-Anmeldung halte ich für nicht unternehmenstauglich.

Das ist für mich eine sehr wertvolle Aussage

Vielen Dank und schönen Tag

 

[soerenwagneremden]

Ich persönlich hoffe ja, dass Synology sich in Verbindung mit dem aktuellen Samba was einfallen lässt.

Du sprichst mir aus der Seele - das wäre genial!!!

 

[soerenwagneremden]

Gibts zu dem Thread hier irgendwelche Neuigkeiten? z.B. Insiderinformationen ob Synology an einer Windows-Anmeldung über die aktuelle Samba arbeitet?

 

[soerenwagneremden]

mal ne andere Frage: Hat das Tool mal jemand ausprobiert mit ner Disikstation? http://signon.comtarsia.com/main/en/LDAP08

Das verspricht ja Home-Directory und Roaming-Profiles!!

 

[soerenwagneremden]

Hab den Comtarsia LDAP Logon Client mal genauer unter die Lupe genommen: http://signon.comtarsia.com/main/en/LDAP08

Das funktioniert alles wunderprächtig! Das große Problem ist das "Roaming User Profile". Das will nicht so recht - da habe ich die gleichen Probleme wie mit nem richtigen AD. Das NAS will einfach nicht, dass Servergespeicherte Windows-Profile auf ihm landen. Dazu gibts auch schon einige englisch- aber auch deutschsprachige Threads. Ich habe jetzt mal dem Synology-Support geschrieben in der Angelegenheit "Roaming Profiles" - Denn offiziell werden die Roaming Profiles seit DSM 3.0-1354 unterstützt:

(2010/10/25)

Change log

1. Windows roaming user profiles is now supported to allow users to have a consistent desktop experience from any PC in a Windows environment.

 

[JudgeDredd]

Hallo soerenwagneremden,

ich habe mir den LDAP Logon Client von Comtarsia auch mal angesehen. Der Connect zum Synology-LDAP funktioniert bestens, allerdings finde ich keine kostenlose unbegrenzte Lizenz.
Hast Du eine regulär erworben oder übersehe ich auf deren Webpräsens irgendwas ?

Gruß,
Andreas

 

[Daniel Albert]

Hallo,

ich habe mir diesen Thread durchgelesen und hoffe LDAP verstanden zu haben, aber einige Fragen sind noch offen

Mit LDAP habe ich ja die Möglichkeit im selbigen Netzwerk von jedem Rechner mti meinen Zugangsdaten anzumelden.

Wir haben bei uns im Netzwerk nur Win 7 Rechner. Ich habe auf der DS414 den Directory Server installiert und eingestellt.

pGina auf einen Win 7 Pc installiert die Daten vom LDAP eingeben und mit den Nutzerdaten eines LDAP Konto im Simulationsmodus angemeldet. Alles hat funktioniert. Also Rechner neu gestartet es erscheint die Anmeldemaske von pGina. Wenn ich dort diese Benutzerdaten eingebe kommt die Fehlermeldung "Passwort oder Benutzername falsch". Müssen diese Benutzerkonten bei den Computer eingerichtet sein oder übernimmt das der LDAP ?

Parallel habe ich gesehen, dass sich der Verzeichnisdienst mit dem LDAP Server verbunden hat. Für was benötige ich diesen ??? Ich lege doch die Nutzer unter Directory Server an?

Welche Nutzerdaten werden auf dem LDAP abgespeichert ??

Unser Ziel wäre folgendes. Auf den computer selber werden keinen Daten mehr abgelegt sondern über Netzlaufwerke auf der NAS. aber die Daten im Userordner (Destop, Dokumente, Bilder, Musik usw) sollten auf dem LDAP liegen ebenso die Einstellungen von Windows. Geht dies mit diesem Aufbau oder nicht.

Kann mir bitte jemand unter die Arme greifen ?

Gruß Daniel

 

[JudgeDredd]

Hallo Daniel,

so richtige Fachleute in Sachen LDAP & pGina scheint es hier leider nicht zu geben, daher versuche ich mal zu helfen soweit es geht.
Zumindest funktioniert bei mir die Anmeldung über LDAP-Directory-Server.

Wenn ich dort diese Benutzerdaten eingebe kommt die Fehlermeldung "Passwort oder Benutzername falsch"

Bist Du Dir ganz sicher, das Du die LDAP Anmeldung siehst und nicht die lokale ?
Bei den "Credential Provider Options" muss "PasswordProvider" einen Haken bei Logon haben.

Welche Optionen hast Du denn bei dem LDAP-Plugin bzw. LocalMachine gesetzt ? (Authentication/Authorization/Gateway)

Unser Ziel wäre folgendes. Auf den computer selber werden keinen Daten mehr abgelegt sondern über Netzlaufwerke auf der NAS. aber die Daten im Userordner (Destop, Dokumente, Bilder, Musik usw) sollten auf dem LDAP liegen ebenso die Einstellungen von Windows. Geht dies mit diesem Aufbau oder nicht.

Euer Ziel ist auch mein Ziel Allerdings wären wir dann (soweit ich weiss) die ersten die es so hinbekommen hätten. Aber die nächste pGina Version lässt hoffen.