LDAP Auth und redundante LDAP Server

[ChristophK]

Hallo,

ist es irgendwie möglich in den Einstellungen zu LDAP Verzeichnisdienst (Authentifizierung) 2 LDAP Server einzutragen (Redundanz)?

MfG

 

[blurrrr]

... -> DNS (nein, da kann man nix "einstellen", das wird generell über DNS geregelt). Besser erstmal "generell" einlesen, ist nix syno-spezifisches.

 

[ChristophK]

Verstehe, welche Records honoriert den Synology und wie wird es dort in der Maske eingetragen?
Könntest du einfach einen Beispiel oder einen Verweis auf Dokumentation nennen?

 

[blurrrr]

https://de.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
https://de.wikipedia.org/wiki/Domain_Name_System
+
https://ldap.com/dns-srv-records-for-ldap/

Wer suchet (Google), der findet... ??

 

[ChristophK]

lol klar... DNS und LDAP ist soweit bekannt... aber wie trägt man es dann in Synology ein? Könntest du ein Beispiel nennen?

 

[blurrrr]

lol klar... DNS und LDAP ist soweit bekannt

Sorry, aber anscheinend... nur so halb ?

aber wie trägt man es dann in Synology ein?

Ich wiederhole mich gern nochmal: "garnicht", weil das überhaupt nichts mit der Syno selbst zu tun hat. Es geht hier lediglich um die Dienste.

Client -> DNS -> LDAP

Es braucht genau "einen" (im besten Fall zwei) DNS-Server für den Client. Im DNS-Server selbst werden die LDAP-Server angegeben (s. letzten Link). Somit fragt der Client den DNS nach den LDAP-Servern und kriegt - je nach Konfiguration (s. letzten Link) die entsprechende Antwort vom DNS.

 

[ChristophK]

Wieso hat es nichts mit Syno zu tun wenn ich die Authentifizierung von DSM via LDAP Benutzer/Gruppen machen will?
Aber ich probiere es natürlich aus, gar nichts einzutragen...

 

[blurrrr]

Wenn Du es nicht auf die Kette kriegst, ist ja ok, aber komm mir mal nicht komisch von wegen "gar nichts einzutragen"... Versuchen wir es NOCHMAL:

ist es irgendwie möglich in den Einstellungen zu LDAP Verzeichnisdienst (Authentifizierung) 2 LDAP Server einzutragen (Redundanz)?

-> "Sowas wird via DNS gemacht!" ?

Syno als LDAP-"CLIENT":

Vielleicht dient nachfolgender Screenshot ja zum weiteren Verständnis:



Wie man hier sieht: EINE Domaine, MEHRERE DNS-Server. Warum das so ist? Weil im DNS die entsprechenden Records für die LDAP-Server hinterlegt sind.

Syno als LDAP-"SERVER":

In diesem Fall wird normalerweise auch der DNS-Server entsprechend konfiguriert. Alternativ hast Du DNS nochmal extra. Fakt ist jedenfalls, dass Du dann dem DRITTEN LINK(!!!) folgen solltest, damit der DNS-Dienst auch BEIDE LDAP-Installation entsprechend an die Clients weiterreicht (mit IM DRITTEN LINK) genannter Priorisierung.

So... Wenn wir jetzt keinen einzigen Schritt weiter sind, bin ich entweder nicht in der Lage, geistig zu erfassen, was Du willst, oder Du verstehst es schlichtweg nicht In beiden Fällen wäre ich dann mal raus... Sollten sich ggf. doch noch anderweitige Fragen ergeben, können wir natürlich gern noch darüber sprechen ??

P.S.: Alternativ könntest Du Dein gewünschtes Konstrukt ja auch nochmal "im Detail" beschreiben, vielleicht wird ja auch das ein oder andere dann etwas klarer (nix genaues weiss man nicht) ?

 

[ChristophK]

Vielen Dank für deine ausführliche Anleitung und vor allem Geduld. ABER wir reden aneinander vorbei
Ich habe nie was von einer AD Domain Verbindung gesagt Ich benutze nicht den Reiter "Domain" sondern den daneben "LDAP".
Wieso gehst du davon aus, dass ich einen LDAP benutzen will der auf MS AD basiert?
Ich benutze den 389ds LDAP Server (es ist ein Teil von Free IPA Installation).
Es sei den ich kann tatsächlich auch nicht AD LDAP bzw Synology LDAP mit der "Domain" Maske konfigurieren... dies würde mich allerdings überraschen.

Wie gesagt es tut alles soweit, ich habe an das LDAP "angedockt", siehe die Benutzer/Gruppen, kann mich mit LDAP Account authentifizieren etc aber sehe keine Möglichkeit (bis auf vielleicht in der console von der DS) einen 2ten LDAP Server einzutragen. Ich vermute auch, dass für dieses Szenario keine LDAP SRV Records im DNS ausgewertet werden.

BTW: wenn man die "LDAP" Maske aktiviert/konfiguriert hat ist der "Domain" Part "ausgegraut" und nicht benutzbar.

 

[blurrrr]

Vielen Dank für deine ausführliche Anleitung und vor allem Geduld. ABER wir reden aneinander vorbei

Immerhin wäre das schon mal geklärt ?

Via Shell in der Config rumzufummel, wäre sicherlich auch eine Option, allerdings bin ich da überhaupt kein Freund von bei solchen "Fertigsystemen". Es wird ja ständig alles irgendwie "angefummelt" und ggf. greifen irgendwelche "eigens gestrickten" Mechanismen bei Dienst-Updates, die dann alles verzocken, da hat man ja irgendwie auch keine Lust drauf...

Wenn das alles nicht will, bleibt nur die Option, die Problematik "auszulagern". Da wären wir dann eher beim Thema Loadbalancer. Hier wäre z.B. eine einfache Anleitung via z.B. HAProxy (*klick*). Geht natürlich auch mit anderen (ggf. kostenpflichtigen) Mitteln, aber ich weiss ja auch nicht, was Dir so zur Verfügung steht ??

EDIT: Wenn von mehreren Servern die Rede ist, gehe ich aber schon davon aus, dass da etwas mehr im Spiel ist (sei es Hardware, oder eben virtualisiert)

 

[ChristophK]

Mit dem Fummeln via Shell bin ich voll auf deiner Seite. Es sei den da sind schon "Mechanismen" eingebaut die es eben problemfrei erlauben (includieren von config Files etc). Dies muss ich mir da anschauen. (habe die DS erst seid 2 Wochen )
Andere Mechanismen stehen zwar zur Verfügung aber ich will eben aufgrund "Abhängigkeiten" nicht all zu viel an "Lösungen" dort einbauen. HAproxy bzw. nen LB wäre kein Problem aber dies würde dann wider den SPOF darstellen.
Die Mittel sind aber auch relativ begrenzt weil Home Environment
Hätte sein können, dass ich da was in der Konfiguration übersehen habe was eben das Eintragen des 2ten LDAP Servers erlaubt. Hmmm ich mache aber auf jeden Fall einen Feature Request bei Synology.

 

[blurrrr]

Feature Request bei Synology

Macht (fast) immer Sinn

Was den SPOF angeht... Man muss dazu auch irgendwo sagen, dass sich die Zeiten auch ein wenig geändert haben. Es fliegen halt nicht mehr x Baremetal-Kisten in der Gegend rum, wo jede Kiste nur einen (oder wenige) Dienste anbietet. Virtualisierung ist hier das Stichwort. Weiss halt nach wie vor nicht, wie es bei Dir Hardware-technisch aussieht, aber ggf. wäre es eben auch eine Variante einfach nur einen LDAP-Server zu nutzen, den aber virtalisiert und mittels HA für die VM über 3+ Hypervisor zu realisieren. Bin mir nicht sicher, aber ich glaube, dass das auch schon kostenpflichtig war bei Synology. Gibt aber natürlich auch andere Hypervisor

 

[ChristophK]

Dies ist klar. Allerdings meine (immerhin 7-8 Jährige) Erfahrungen zu FreeIPA zeigen, die Gefahr dass der LDAP ne "Macke" hat ist viel größer als dies dass nen Hypervisor knallt (->Migration). Eigentlich sollte man @Home keine 2 Instanzen von einem LDAP haben müssen heheh Aber die Erfahrung zeigt, dass sehr oft nach einem Update, der 389ds bzw. andere IPA Komponenten "verwirrt" sein können und dann tut eben nur eine 2te Instanz auf die zur not zugegriffen werden kann. Mittlere weile selten aber früher sehr oft gehabt. Eine 2te kleine VM eben auf der Synology tut kaum weh, bringt aber viel wenns soweit ist und alle Dienste sich der zentralen LDAP Auth bedienen müssen Deswegen setze ich da lieber auf 2x LDAP Server statt Migration der VM. Als Hypervisor @Home benutze ist den Xen (die OS Variante, kein Citrix) und dies ist was sowas angeht relativ ausgereift. Zu mind. habe ich da selten Probleme gehabt in den letzten 5-6 Jahren.
Ich habe hier auch 2x Opnssense (Hardware und als Backup VM), dort kann ich HAproxy mit eben eine IP für beide LDAP Server einrichten, aber die einfachste Lösung war eben 2x LDAP Server eintragen wenns möglich ist.
Ich mache auf jeden Fall nen Request da dies IMHO in so einem System auf jeden Fall möglich sein sollte. Von den *nix Tools dadrunter ist es auch absolut kein Thema, wahrscheinlich muss nur die WebUI entsprechend angepasst/erweitert werden...

 

[blurrrr]

Najo, eine Macke kann sich auch durch redundante Systeme ziehen, vielleicht einfach ordentliche Backups machen und Snapshots (ggf. stündlich) laufen ja vermutlich sowieso? Was den Hypervisor angeht, vllt. wäre auch XCP-NG was für Dich (ich selbst benutz es aber nicht).

Wenn Du eh die OPNSense laufen hast, ist das Thema ja quasi umso schneller durch Man darf auch eins dabei nicht vergessen: Es werden viele Dinge halt nur "mal eben" hingeklatscht (hauptsache es ist da). Wenn dann die Nachfrage nicht sonderlich groß ist, wird i.d.R. auch keine Zeit (Geld!) mehr dafür investiert. Vielleicht ist Dein Feature-Request ja genau der eine Punkt, welcher noch fehlte, damit das ganze mal vorwärts geht (natürlich mit extrem niedriger Prio, weil "neuer Schnickschnack" lässt sich einfach besser verkaufen ). Dennoch: Ich drück die Daumen!

 

[ChristophK]

Leider benutze ich den Hypervisor in so einer Art der kaum eine andere Lösung erlaubt Ich habe es gern einheitlich und einer von denen hostet meinen Windows10 Client wo auch eine Grafikkarte via PCI Passthrough durchgereicht ist. Ich spiele ab und zu eben gerne hehehe
Andere Lösungen haben kaum eine Möglichkeit eben dies zu tun. Angeblich kann da KVM was aber was IO angeht ist Xen eben unschlagbar (immer noch). Es ist eben ein Hypervisor und KVM obwohl RH da was anderes behauptet eben nicht... VMware zielt auf solche Lösungen überhaupt nicht und dazu kommt noch die Produktpolitik von Nvidia die eben die Grafikkarten absichtlich Softwaretechnisch gegen Virtualisierung sperrt. Dies muss man da zur Zeit mühsam patchen/hacken etc... Das Spiel kenne ich mittlere weile mit Xen und dies läuft stabil und sehr performant. Deswegen kein Bedarf an Wechsel zu anderen Lösungen obwohl die teilweise in Bedienung bequemer sind... XCP habe ich mir mal angeschaut hmmm ist schon länger her aber ich glaube es war einfach zu oversized für meine 2-3 Hypervisor heheh
Ja mit den Features ist klar... Wenns nicht blinkt, summt oder leuchtet hat man nichts getan heheheh Solche "Features" bleiben gerne liegen wenns um Wirtschaftlichkeit geht. Aber nen Request schadet nicht heheh vielleicht ist es eben der "Punkt".
Vielen Dank noch mal für deine Hilfe.

 

[blurrrr]

Sorry, aber PCI-Passthrough ist doch jetzt auch schon ein extrem alter Hut. Aus dem KVM-Lager komme ich übrigens ?

läuft stabil und sehr performant

Never touch... da simma wieder ?? Meinte das mit dem XCP-NG auch eher nur zum "mal anschauen", nix weiter, aber wenn Du schon hast, umso besser, dann ist die Wahl ja sowieso noch gefestigter

Gerne und wenn nochmal was ist... wir laufen hier nicht weg (trotz aller Missverständnisse!) ?

 

[ChristophK]

Sorry, aber PCI-Passthrough ist doch jetzt auch schon ein extrem alter Hut. Aus dem KVM-Lager komme ich übrigens ?

Wie macht man das jetzt bei KVM? Wie ist die Performance so vs Xen zB? KVM scheint den Vorteil zu haben dass dort ohne zu patchen die nötigen Maskierungen für Nvidia beinhaltet sind...
Ich habe auf nem i9-9900 + nvidia rtx2070 kaum Unterschied zu bare metal, und es laufen 4-6 domU's (VM's) daneben

 

[blurrrr]

https://wiki.gentoo.org/wiki/GPU_passthrough_with_libvirt_qemu_kvm

Performance kann ich nix zu sagen, letzte mal ist auch knapp 10 Jahre her, seitdem nie wieder gebraucht, hier laufen halt primär diverse Linux-Server ohne GUI ??