Toggle sidebar

C2 Identity Login mittels zweitem NAS

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

T

Tungdil

Benutzer
Registriert
01. März 2012
Beiträge
73
Reaktionspunkte
9
Punkte
8
Hallo,

ich habe folgendes Setup bzw. folgende Idee.
Ich möchte an zwei Standorten meine DS betreiben. Am Hauptstandort läuft C2 Identity und der Edge-Server ist auch installiert.
Da man in der Basis-Version nur einen Edge-Server verwenden kann war mein Gedanke den Login am zweiten NAS über das Haupt-NAS zu machen.
Mittels OpenID Connect SSO, SAML oder ähnlichem?

Geht das oder braucht jedes NAS einen Edge-Server?
Falls ja, wie macht man das am besten?
 
Synology hat mir dazu folgendes geschrieben:

vielen Dank für Ihre Anfrage bezüglich C2 Identity.
  1. Hinsichtlich der Verwaltung von zwei unterschiedlichen Domänen mit einer einzigen C2 Identity-Lizenz ist zu beachten, dass C2 Identity derzeit die Verwaltung mehrerer Domänen mit unterschiedlichen Namen unter einer Lizenz nicht unterstützt. Jede Domäne erfordert eine eigene Einrichtung und Lizenz
Da sich der Client mit dem Agenten gegenüber C2 identifiziert, sehe ich da nur eine Möglichkeit:
du betreibst 2 gleichnamige Domänen in unterschiedlichen Subnets
eine ist nur Memberserver, kein standalone
Dafür brauchst du einen permanenten VPN Tunnel (site-2-site), der die beiden LANs miteinander verbindet.
Da dann beide Domänen über gleiche Anmeldeinformationen verfügen sollte die Aussenstelle auch den Edge Server des DCs finden.
 
  • Like
Reaktionen: Tungdil
Gestern habe ich mittels "Synology Drive ShareSync" den "homes" Ordner zwischen beiden NAS synchronisiert.
Also die "home" Ordner der C2-User innerhalb von "homes", aber das war zu wenig um die User auch zu erkennen.

Heute werde ich versuchsweise mal den EDGE Server deaktiviern und statt dessen einen LDAP-Server aufsetzen.
Über Reddit bin ich auf folgendes Github-Projekt gestößen, dass einen Sync zwischen LDAP und C2-Identity erlauben soll.

Somit sollte es möglich sein die User über die beiden NAS rein über LDAP zu synchronisieren. Die Clients (Mac, Windows) werden weiterhin über die C2-Agenten angebunten.

Übrigens site-2-site VPN ist auch geplant.
 
???
Solange du via Docker mit Linux oder VM mit Windows Client keine dauerhafte Sync zwischen Identity und dem AD (LDAP) herstellst kann es nicht funktionieren!
Die Doku von Synology beschreibt das übrigens genau!
 
Kurzes Update
Heute werde ich versuchsweise mal den EDGE Server deaktiviern und statt dessen einen LDAP-Server aufsetzen.
Über Reddit bin ich auf folgendes Github-Projekt gestößen, dass einen Sync zwischen LDAP und C2-Identity erlauben soll.
Zum Vergrößern anklicken....
Wie oben erwähnt hab ich den EDGE Server deaktiviert. Jetzt läuft auf dem einem NAS ein LDAP-Server und auf dem zweiten NAS ein LDAP-Client. Ein Docker-Container aus dem Github-Projekt synchronisiert die LDAP-User mit C2 Identity.

Am NAS können sich die Benutzer jetzt mittels LDAP anmelden.
Auf den Windows und Mac Clients wird derzeit noch ein C2 Agent verwendet.

Soweit bin ich mit dem Setup zufrieden. Einzig die Möglichkeit eine schönen "Display Name" zusetzten hab ich jetzt nicht mehr (es wird immer der "username" verwendet).
 
Verstehe, dass du den Umweg über eine Linux oder Windows Installation zum Sync via Docker genutzt hast, aber der Edge Server hat doch eine andere Funktion. Ohne den läuft keine Anmeldung mehr, wenn dein LAN nicht online ist. Du solltest zumindest am main server den Edge am laufen haben.

Dazu ne Frage: Hast du explizit LDAP auf den Synos laufen und damit die Ordnerfreigabe gemacht oder ein SynologyAD?
 
NSFH schrieb:
aber der Edge Server hat doch eine andere Funktion. Ohne den läuft keine Anmeldung mehr, wenn dein LAN nicht online ist.
Zum Vergrößern anklicken....
Darum läuft auf den Clients (Laptops) der C2 Agent.

Und auf allen Geräten gibt es einen lokalen Admin Benutzer, als Backup Account, der mir schon oft aus der Patsche geholfen hat.
NSFH schrieb:
Dazu ne Frage: Hast du explizit LDAP auf den Synos laufen und damit die Ordnerfreigabe gemacht oder ein SynologyAD?
Zum Vergrößern anklicken....
Ja, auf beiden DS läuft das Syno-LDAP Paket. Einmal als Master und einmal als Client.
Mittels DriveShare-Sync werden die "home" Ordner synchronisiert.

LDAP und der EDGE-Server können nicht gleichzeitig laufen.
 
Das Aufsetzen eines Directory-Servers war mir bisher zu aufwendig. Vielleicht kommt das auch noch mal.
 
Das du mit 2 Domains arbeitest spielt für mich jetzt keine Rolle, habe eine andere Frage dazu.
Ich nehme an die Nutzerverwaltung unter DSM findet keine Verwendung (bis auf den Admin), oder?

Ohne AD? Da würden mir die Features fehlen den Nutzern Vorgaben mitzugeben, insbesondere was Laufwerke angeht.

Das macht mich jetzt aber neugierig. Hast du denn die Freigaben über LDAP eingerichtet?
Und wenn ja wie hast du das Mapping der Laufwerke realisiert, damit die Nutzer beim Anmelden Zugriff auf ihre Freigaben haben.
 
  • Like
Reaktionen: Tungdil
Ich hab nur eine Domain (mit subdomains), aber 2 Standorte.
NSFH schrieb:
Ich nehme an die Nutzerverwaltung unter DSM findet keine Verwendung (bis auf den Admin), oder?
Zum Vergrößern anklicken....
Der Admin wird als lokaler Benutzer verwaltet. Für die LDAP User gibt es aber ähnliche Möglichkeiten wie für die lokalen Benutzer. Z.B. können Apps und Laufwerke freigeschalten werden.

NSFH schrieb:
Und wenn ja wie hast du das Mapping der Laufwerke realisiert, damit die Nutzer beim Anmelden Zugriff auf ihre Freigaben haben.
Zum Vergrößern anklicken....
Auch für LDAP-Benutzer lässt sich ein "home" Ordner unter "homes" anlegen. 1-Klick in der Benutzerkonfiguration (DOMAIN/LDAP -> LDAP Users -> User Home -> Enable home service).
Den Rest hat DSM erledigt.
 
Zur Ergänzung:
Auf der DS läuft ein LDAP-Server und die DSM selbst ist auch ein Client von dem LDAP-Server (Siehe Domain/LDAP).
 
das Home kannst du immer zuordnen, aber was ist mit weiteren Freigaben bzw zu mappenden Laufwerken? Per Script, hinterlegt im LDAP Profil?
 
Scripts verwende ich bisher noch nicht.

Die Berechtigungen für SharedFolders kann man für LDAP User/Groups kann man genau so einstellen wie für lokale Benutzer. Im Moment sind es ja nur eine Hand voll Benutzer, da klappt das noch recht gut.
 
Ich habe jetzt ein wenig mit C2 Identity rum experimentiert. Was jetzt funktioniert bei 2 Standorten mit je einer Syno:
Auf dem Hauptsystem einen Edge-Server installiert
Diesen dann als Master in der Syno in den Systemeinstellungen mit LDAP/ActiveDirectory verknüpft. Damit sind die Netzwerkfreigaben und SSO möglich

Am 2.Standort läuft in einer VPN site-2-site Verbindung der LDAP Memberserver, der ja nur den Master spiegelt.
So weit funktioniert alles an zwei Standorten, OHNE Zusatzsoftware und Docker.

Alle Nutzer haben über die Syno App passwortlose Anmeldung und sobald mit dem LDAP Server verbunden auch den Zugriff auf alle Freigaben, selbst via VPN aus dem Homeoffice. Nahezu perfekt und vor allem sicher!
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten