Hallo zusammen.
Ich habe unsere Domäne erfolgreich von einem Windows Server 2016 auf eine Synology migriert und hierfür den Directory Server genutzt, wir sprechen hier von 12 Nutzern. Intern läuft alles knusprig und ich freue mich darauf, den W2016-Server bald ausschalten zu können.
Unsere Domain lautet dabei unseredomain.local
Was dem noch im Wege steht ist Folgendes: wir haben zahlreiche extern gehostete Webanwendungen, für welche wir eine LDAP-Authentifizierung nutzen. Der Weg ist folgendermaßen:
Web-Applikation > LDAP-Auth auf ldap.unseredomain.de (wir haben eine statische IP) und Port 389 > Router leitete Anfragen auf Port 389 zum AD-Domaincontroller (dem besagten W2016-Server) weiter > Authentifizierung unserer internen Nutzer
(Ich weiß, dass LDAP ohne SSL/TLS hier unsicher ist, habe das aber bisher in Kauf genommen.)
Das funktionierte hervorragend, mit Ziel des Syno Directory-Servers allerdings nicht mehr.
Folgende Fragen habe ich bzw. folgende Schritte habe ich bereits unternommen:
Problem: Lokale Domäne
Der Directory-Server (DS) scheint nur LDAPS über Port 636 zu unterstützen. Ich nutze für den DS das selbst erstellte Zertifikat der Synology, also entsprechend der Domain nas01.unseredomain.local. Das wird meiner Meinung nach jedoch Probleme bringen, wenn eine externe Anwendung auf den internen DS zugreifen soll, weil ich als Ziel in der externen Anwendung ja nicht nas01.unseredomain.local angeben kann, sondern es z. B. nas01.unseredomain.de o.ä. sein müsste. Nicht jeder Anwendung kann ich sagen, dass sie Zertifikatfehler ignorieren soll. Liege ich richtig, dass dies zwangsläufig zum Problem führen wird?
Wäre es unter Berücksichtigung dieses Punktes sinnvoll oder sogar notwendig, die Domäne in unseredomain.de umzubenennen? Ich habe etwas Sorge vor eine entsprechenden Umstellung.
Idee: LDAP-Server auf zweitem NAS
Um weiterhin Zugriff über LDAP und Port 389 und somit Umgehung der Zertifikat-Problematik zu erreichen, hatte ich folgenden Gedanken: NAS01 übernimmt die Authentifizierung der internen Nutzer über den Directory Server wie gehabt. Auf NAS02 installiere ich den LDAP-Server von Synology. Dieser unterstützt Port 389. Zwingend wäre jedoch ein Sync der User, d.h. der LDAP-Server müsste im Modus "Consumer-Server" laufen und die Nutzer vom DS des anderen NAS erhalten. In der Theorie sollte das funktionieren, in der Praxis erhalte ich keinen Zugriff auf den DS des ersten NAS und kann die Nutzer derzeit nicht synchronisieren. Auch hier evtl ein Zert-Problem? Der Gedanke sollte doch grundsätzlich nicht ganz falsch sein, oder?
Ich hoffe, mein Problem ist verständlich. Würde mich über ein paar Ideen freuen, vielen Dank vorab!
Ich habe unsere Domäne erfolgreich von einem Windows Server 2016 auf eine Synology migriert und hierfür den Directory Server genutzt, wir sprechen hier von 12 Nutzern. Intern läuft alles knusprig und ich freue mich darauf, den W2016-Server bald ausschalten zu können.
Unsere Domain lautet dabei unseredomain.local
Was dem noch im Wege steht ist Folgendes: wir haben zahlreiche extern gehostete Webanwendungen, für welche wir eine LDAP-Authentifizierung nutzen. Der Weg ist folgendermaßen:
Web-Applikation > LDAP-Auth auf ldap.unseredomain.de (wir haben eine statische IP) und Port 389 > Router leitete Anfragen auf Port 389 zum AD-Domaincontroller (dem besagten W2016-Server) weiter > Authentifizierung unserer internen Nutzer
(Ich weiß, dass LDAP ohne SSL/TLS hier unsicher ist, habe das aber bisher in Kauf genommen.)
Das funktionierte hervorragend, mit Ziel des Syno Directory-Servers allerdings nicht mehr.
Folgende Fragen habe ich bzw. folgende Schritte habe ich bereits unternommen:
Problem: Lokale Domäne
Der Directory-Server (DS) scheint nur LDAPS über Port 636 zu unterstützen. Ich nutze für den DS das selbst erstellte Zertifikat der Synology, also entsprechend der Domain nas01.unseredomain.local. Das wird meiner Meinung nach jedoch Probleme bringen, wenn eine externe Anwendung auf den internen DS zugreifen soll, weil ich als Ziel in der externen Anwendung ja nicht nas01.unseredomain.local angeben kann, sondern es z. B. nas01.unseredomain.de o.ä. sein müsste. Nicht jeder Anwendung kann ich sagen, dass sie Zertifikatfehler ignorieren soll. Liege ich richtig, dass dies zwangsläufig zum Problem führen wird?
Wäre es unter Berücksichtigung dieses Punktes sinnvoll oder sogar notwendig, die Domäne in unseredomain.de umzubenennen? Ich habe etwas Sorge vor eine entsprechenden Umstellung.
Idee: LDAP-Server auf zweitem NAS
Um weiterhin Zugriff über LDAP und Port 389 und somit Umgehung der Zertifikat-Problematik zu erreichen, hatte ich folgenden Gedanken: NAS01 übernimmt die Authentifizierung der internen Nutzer über den Directory Server wie gehabt. Auf NAS02 installiere ich den LDAP-Server von Synology. Dieser unterstützt Port 389. Zwingend wäre jedoch ein Sync der User, d.h. der LDAP-Server müsste im Modus "Consumer-Server" laufen und die Nutzer vom DS des anderen NAS erhalten. In der Theorie sollte das funktionieren, in der Praxis erhalte ich keinen Zugriff auf den DS des ersten NAS und kann die Nutzer derzeit nicht synchronisieren. Auch hier evtl ein Zert-Problem? Der Gedanke sollte doch grundsätzlich nicht ganz falsch sein, oder?
Ich hoffe, mein Problem ist verständlich. Würde mich über ein paar Ideen freuen, vielen Dank vorab!
