Hallo
gestern bin ich auf ein interessantes Phänomen gestossen, das ich mir nicht erklären kann.
Hintergrund:
Ich habe lokale User an der DS713+, mit denen die lokalen PC User über Windows CIFS auf die Shares zugreifen (derzeit kein LDAP Login!).
Ich habe zusätzlich den Directory Server und Client laufen, um externe User einfacher einzurichten und gezielt Zugriff zu gewähren. Diese greifen über die Filestation zu und kommen über den Radius in WLAN.
Änderung:
Um einen Teil des Verzeichnisse auszublenden, habe ich die BaseDN des Directory Client geändert von: dc=rieglhofer, dc=com auf: ou=people, dc=rieghofer, dc=com.
Damit sollten nur noch die UID unter People als LDAP User aufscheinen.
Effekt:
ab dem Zeitpunkt kann sich kein lokaler User mehr über CIFS zugreifen.
Fehlermeldung
Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
Gecheckt:
LDAP CLient ausgeschalten -> Zugriff funktioniert
LDAP Client BasseDN zurückgeäündert -> Zugriff funktioniert
Einstieg über Filestation: funktioniert immer, auch mit geänderter BaseDN. Sowojl für lokale Usr als auch für LDAP User.
ich kann z.B. als xy (lokaler User) oder xy@rieglhofer.com als LDAP User einsteigen und habe dabei die dort jeweils gesetzten Rechte.
LANMAN Kennwort unverschlüsselt gesetzt und zurück -> keine Änderung
Es ist reproduzierbar und bei 2 getrennten DS713+ in getrennten Netzen das gleiche Verhalten.
Ich bin da irgendwie mit meinem Latein am Ende. Es scheint so, als wie wenn der LDAP Client den gesamten Bereich sehen muß, obwohl dort keine Accountinformationen der lokalen User enthalten sind. Es ist allerdings die synoconf mit den Einträgen CurID, MaxID, MaxNum,MinID dort dann ausgeblendet. Aber die braucht man doch nur beim Neuanlegen von Usern. Denkbar wäre, dass er die Samba Domain, die in der Wurzel steht nicht findet und daher den Zugriff nicht zulässt.
Ich kanns zwar umgehen, aber interessant wäre schon, ob das bekannt ist und ob es hier eine Lösung gibt.
gestern bin ich auf ein interessantes Phänomen gestossen, das ich mir nicht erklären kann.
Hintergrund:
Ich habe lokale User an der DS713+, mit denen die lokalen PC User über Windows CIFS auf die Shares zugreifen (derzeit kein LDAP Login!).
Ich habe zusätzlich den Directory Server und Client laufen, um externe User einfacher einzurichten und gezielt Zugriff zu gewähren. Diese greifen über die Filestation zu und kommen über den Radius in WLAN.
Änderung:
Um einen Teil des Verzeichnisse auszublenden, habe ich die BaseDN des Directory Client geändert von: dc=rieglhofer, dc=com auf: ou=people, dc=rieghofer, dc=com.
Damit sollten nur noch die UID unter People als LDAP User aufscheinen.
Effekt:
ab dem Zeitpunkt kann sich kein lokaler User mehr über CIFS zugreifen.
Fehlermeldung
Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
Gecheckt:
LDAP CLient ausgeschalten -> Zugriff funktioniert
LDAP Client BasseDN zurückgeäündert -> Zugriff funktioniert
Einstieg über Filestation: funktioniert immer, auch mit geänderter BaseDN. Sowojl für lokale Usr als auch für LDAP User.
ich kann z.B. als xy (lokaler User) oder xy@rieglhofer.com als LDAP User einsteigen und habe dabei die dort jeweils gesetzten Rechte.
LANMAN Kennwort unverschlüsselt gesetzt und zurück -> keine Änderung
Es ist reproduzierbar und bei 2 getrennten DS713+ in getrennten Netzen das gleiche Verhalten.
Ich bin da irgendwie mit meinem Latein am Ende. Es scheint so, als wie wenn der LDAP Client den gesamten Bereich sehen muß, obwohl dort keine Accountinformationen der lokalen User enthalten sind. Es ist allerdings die synoconf mit den Einträgen CurID, MaxID, MaxNum,MinID dort dann ausgeblendet. Aber die braucht man doch nur beim Neuanlegen von Usern. Denkbar wäre, dass er die Samba Domain, die in der Wurzel steht nicht findet und daher den Zugriff nicht zulässt.
Ich kanns zwar umgehen, aber interessant wäre schon, ob das bekannt ist und ob es hier eine Lösung gibt.
Zuletzt bearbeitet:
