SSH Login (und/oder su) mit LDAP-Usern

[dvizard]

Hi,

ich benötige Zugriff auf den Synology per SSH (wird eine PPK config) für User ausser Root; diese sind aber nicht in der /etc/passwd abgelegt, sondern auf dem LDAP-Verzeichnis (der LDAP-Server läuft auf dem Synology selbst, "Directory Server").

Allerdings scheint das System die Daten von dort nicht richtig auszulesen. Schon der "su"-Befehl aus SSH mit root geht nicht:

> su Benutzername
su: unknown user Benutzername
> su Benutzername@LdapDomaene
su: can't chdir to home directory '/var/services/homes/@LH-LdapDomaene/61/Benutzername-1000002'
su: can't run /sbin/nologin: No such file or directory

Als Home ist in der LDAP-DB aber /home/Benutzername definiert, und als Shell /bin/ash (hatte normalerweise /bin/bash, habe es für das SSH umgestellt.)
/home/Benutzername habe ich auf die echte Location des Home-Directories gesymlinkt, das ist /volume1/homes/Benutzername. Interessanterweise ist /var/services/homes/ ebenfalls auf /volume1/homes gelinkt, aber er findet das Ziel trotzdem nicht.

Noch lieber wäre es mir, wenn man das Suffix @LdapDomaene ganz weglassen könnte. Ich habe das noch nie gesehen und weiss auch nicht, wo das technisch gesehen herkommt (dieses Domänen-Suffix ist auf dem ganzen Synology-System allgegenwärtig)... Gibt es da eine Möglichkeit?

 

[jahlives]

ich denke ohne Suffix wird es kaum gehen. Denn dann kannst du die LDAP User nicht mehr von lokalen Usern unterscheiden. Was würde passieren wenn du einen LDAP User root hättest?
/sbin/nologin wird normalerweise gesetzt wenn ein Login nicht erlaubt ist. Scheint als würde deine Einstellung zur Loginshell nicht umgesetzt. Kannst du denn den angegebenen Pfad zum home erreichen?

 

[dvizard]

Naja. Ich habe schon genug lang LDAP-basierte Systeme verwaltet, und eigentlich waren die User nie so "getrennt" wie sie es auf der Synology-Box sind. Darum weiss ich auch nicht, woher das kommt... Aber sei's drum, das ist kein Ärgernis von Relevanz

Jedenfalls scheinen die Homedirs der User fix eingestellt zu sein und nicht aus den LDAP-Daten gelesen zu werden. Dabei sind die normalen Homeverzeichnisse unter /volume1/homes/Benutzername, und diejenigen für die LDAP-User unter /volume1/homes/@LH-LdapDomaene/61/Benutzername-Uid

Wenn man sich mit den LDAP-Usern erstmalig auf der Synology direkt einloggt, werden die Verzeichnisse auch automatisch erstellt.

Aber ich habe noch nicht herausfinden können, woher für die LDAP-User der Shell-Eintrag gezogen wird? Es ist jedenfalls nicht der Eintrag aus der LDAP-Datenbank. Für die normalen User kommt der Eintrag wie gewohnt aus /etc/passwd, das funktioniert auch problemlos.