LDAP server on Drive Station for Mac clients

[georg.heinrich]

I have set up the LDAP server on the drive station. I managed to populate the database using an LDIF file on the Mac with openldap utilities.
macOS Sonoma, however, does not manage to connect to the LDAP server. The issues are with the encryption. And binding is not supported at all by Directory Utility.
Port 389 requires STARTTLS, which macOS does not send.
Port 636 for SSL does not work, either.

macOS is most likely to blame for this.
Has anyone ever successfully attempted this?
Does anyone at Synology have access to Apple to get this fixed?

 

[Synchrotron]

Willkommen, Georg Heinrich.

Gerne auf Deutsch - fang bitte noch mal neu an. Wir machen eine Ausnahme bei Dave, aber das ist h.c.

 

[georg.heinrich]

Ich habe den LDAP-Server auf der Drive Station eingerichtet. Es ist mir gelungen, die Datenbank mit einer LDIF-Datei auf dem Mac mithilfe der OpenLDAP-Dienstprogramme zu befüllen.
macOS Sonoma schafft es jedoch nicht, sich mit dem LDAP-Server zu verbinden. Die Probleme liegen bei der Verschlüsselung.
Und Binding wird vom Directory Utility überhaupt nicht unterstützt.
Port 389 erfordert STARTTLS, was macOS nicht sendet.
Port 636 für SSL funktioniert ebenfalls nicht.

Höchstwahrscheinlich ist macOS dafür verantwortlich.
Hat das schon einmal jemand erfolgreich hinbekommen?
Hat jemand bei Synology Zugang zu Apple, um das beheben zu lassen?

 

[Hagen2000]

Das hört sich für mich nach einem Zertifikatsproblem an.
Du könntest folgenden Test durchführen, um das Zertifikat anzeigen zu lassen:

openssl s_client -connect ldap.google.com:636

Angegeben ist ein Google-Test-Server, der ist ansprechbar, die URL musst Du natürlich durch die deines eigenen Servers ersetzen.

Einen einfachen Konnektivitätstest mit ldapsearch könntest Du auch machen:

ldapsearch -H ldaps://ldap.google.com:636 -x

Auch hier wieder die URL durch die deines eigenen Servers ersetzen.
Die Option -Z aktiviert übrigens bei ldapsearch unter macOS die Verwendung von STARTTLS (wenn Du auf Port 389 arbeitest).

Hier sind noch ein paar Testhinweise: https://support.google.com/a/answer/9190869?hl=en#zippy=,ldapsearch,adsi-edit-windows

Vielleicht helfen Dir die Anregungen für die weitere Fehlersuche.

 

[georg.heinrich]

Danke für die Hinweise.

Der erste Befehl meldet einen Fehler wegen "self-signed certificate". Auf dem lokalen Netzwerk geht das leider nicht anders.

Ich hab noch ein "richtiges" Zertifikat für meinen DynDNS Zugang. Dafür müsste ich aber im Router den Port 636 freigeben. Das hab ich jetzt versuchshalber mal gemacht. Damit meldet der erste Befehl keinen Fehler mehr.
ldapsearch dagegen meldet:

ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed

Die System Settings auf dem Mac melden auch "cannot connect to server". Directory Utility ebenfalls.

 

[Hagen2000]

Das Zertifikatsproblem musst Du halt irgendwie lösen, beispielsweise gestattet der Synology-DDNS-Dienst das Auflösen einer internen IP-Adresse. Damit könntest Du einen DNS-Namen erhalten, der zwar nur intern funktioniert, aber Du kannst für diesen Namen ein Zertifikat von Let's Encrypt erhalten.
Oder Du setzt einen eigenen DNS-Server mit Split-DNS auf, der deinen vorhandenen DNS-Namen auf die interne IP-Adresse auflöst.
Oder Du richtest eine eigene CA ein und erstellst deine eigenen Zertifikate.

Den ldapsearch-Aufruf musst Du vermutlich um Zugangsdaten ergänzen (DN, Passwort), der anonyme Zugang wie im Beispiel ist offenbar bei deinem Server nicht erlaubt.