LDAP LDAP Client Aktivierung lädt die LDAP-Benutzer nicht

grizzo

Benutzer
Mitglied seit
07. Nov 2017
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Ich bin dabei eine LDAPS Verbindung von meinem RS815+ (DSM 6.2.2-24922) zur Azure Cloud herzustellen. Auf der Seite von Azure steht der aktivierte Azure Active Directory Domain Service zur Verfügung in dem die SSL LDAP Schnittstelle konfiguriert ist.

Eine Verbindung dorthin ist auch über das Apache Directory Studio auch problemlos möglich. Ich kann alle Werte auslesen. Daraufhin habe ich zwei Ansätze ausprobiert mit denen die Verbindung zwischen DSM und Azure funktionieren könnte.

1. LDAP-Server App:
Beim Eintragen der Azure LDAP Verbindungsdaten tritt schon vor der Eingabe des Benutzernamens und des Passworts ein Fehler auf:

-> "Fehler bei Verbindung mit LDAP-Server. Prüfen Sie die Serveradresse und Ihre Netzwerkeinstellungen.".

Nach dem Eintragen des Benutzernamens und dem Passwort erscheint nach längerer Wartezeit der Fehler:

-> "Verbindung Fehlgeschlagen. Bitte überprüfen Sie Ihre Netzwerkeinstellungen."

Dabei sind die Netzwerkeinstellungen alle korrekt und auch eine Verbindung nach außen hin möglich. Kann es sein, dass vielleicht die Anfragen über einen Proxy von Synology gehen? Denn bei Azure besteht lediglich eine Portfreigabe für meine öffentliche IP-Adresse.

2. LDAP Client Einstellungen in der Systemsteuerung:
Beim Einrichten der Verbindung in der Systemsteuerung funktioniert die Verbindung zum Dienst bei Azure Problemlos. Lediglich wird beim Übernehmen der Einstellungen jedes Mal folgende Fehlermeldung ausgegeben:

-> "Zugriff auf NT-Kennwörter bestimmter LDAP-Nutzer nicht möglich, und der Samba-Dienst funktioniert daher für diese Nutzer möglicherweise nicht korrekt. ..."

Die Einstellungen werden trotzdem übernommen und die LDAP-Gruppen werden auch geladen. Den Gruppen kann ich auch Berechtigungen für den Zugriff auf freigegebene Ordner erteilen.

Jetzt werden aber die LDAP-Benutzer nicht geladen geladen. Meine Vermutung ist, dass es vielleicht daran liegt das DSM nicht die User anzeigt, weil, wie die Fehlermeldung ja andeutet, die Passwörter einiger User nicht Zugegriffen werden kann und somit gar keine User dargestellt werden.

Falls es hilft, ich habe hier mal das Mapping der Attribute aufgelistet:
filter_passwd => objectClass=user
filter_shadow => (kein Eintrag)
filter_group => objectClass=group
group_cn => sAMAccountName
group_gidNumber => HASH(objectGUID)
group_memberUID => member
passwd_uidNumber => HASH(objectSid)
passwd_uid => sAMAccountName
passwd_gidNumber => primaryGroupID
shadow_uid => sAMAccountName
shadow_userPassword => UserPassword

Hat jemand vielleicht ähnliche Erfahrung hiermit gemacht und kann vielleicht eine Hilfestellung leisten?
 

jan.kahnt

Benutzer
Mitglied seit
28. Jan 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

ich möchte dieses Thema gerne wiederbeleben. Bin aktuell an der gleichen Stelle wie grizzo. Gruppen werden geladen (und komischerweise ein einziger Nutzer). Die Einstellung sind bei mir gleich. Falls jemand dazu einen neuen Kenntnisstand hat bitte melden. Vielen Dank.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Sind die anderen Nutzer denn in der selben OU wie der Nutzer, welcher erfolgreich geladen wird? Im Zweifelsfall heisst es wohl "Logs prüfen!" (und zwar alle, an die man nur irgendwie ran kommt). Eventuell irgendwelche Unterschied zu anderen Usern innerhalb der OU?

Dazu sei noch zu bedenken: Das hier ist ein Privatanwender-Forum (auch wenn sich hier einige andere tummeln). Der erste Beweggrund für ein lokales NAS ist wohl die "lokale" Datenhaltung und die allerwenigsten hier werden wohl eine LDAP-Anbindung in Richtung Azure in Betracht ziehen (siehst ja, wie es bei Deinem Vorredner gelaufen ist - 0 Reaktion ??). Bei gewerblichem Einsatz würde ich mich auch nicht unbedingt auf Aussagen von Privatanwendern (Business fragt Privat?!) verlassen (die meisten sind halt sehr bemüht, aber nicht sonderlich firm in solchen Dingen), sondern einfach direkt ein Ticket bei Synology aufmachen: https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/SupportCenter/contact_support

Wenn es denn irgendeine positive Meldung zu verzeichnen gibt, wäre es natürlich nett, wenn Du die Lösung des Problems hier im Nachgang noch veröffentlichen könntest :)
 

fvdhurk

Benutzer
Mitglied seit
30. Dez 2020
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo, ich hatte das gleiche Problem beim Zugriff auf einen externen LDAP-Server und habe es wie folgt im LDAP-Client gelöst:

Filter->passwd -> (&(objectclass=user)(!(objectclass=computer)))
Filter->shadow -> (&(objectclass=user)(!(objectclass=computer)))
Filter->group -> (&(objectclass=group)

group->cn-
group->gidNumber -> HASH(sAMAccountName)
group->memberUid -> member

passwd-> uidNumber -> HASH(userPrincipalName)
passwd-> uid -> sAMAccountName
passwd -> gidNumber -> primaryGroupID

shadow -> uid -> sAMAccountName
shadow -> userPassword -> UserPassword

Ich dachte immer das bei Anmeldung über LDAP die User auch direkt lokal angelegt werden, das funktioniert jedoch nicht.

Ich hoffe das hilft.

Gruß Frank
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat