Automatisiert Benutzer verwalten ohne LDAP

[lennartb]

Moin,

bei uns im Unternehmen haben wir seit kurzem eine Diskstation (RS812RP+) und wollten jetzt Benutzerkonten einrichten.
Zur einfacheren Verwaltung (über 700 Konten) wollen wir diesen Prozess automatisieren. Die Diskstation befindet sich aus
Sicherheitsgründen in einer DMZ und von dort ist der Zugriff auf die Domäne und LDAP verboten.
Nun benötigen wir eine Alternative.

Die einzige Idee wäre, dass wir automatisch einmal am Tag den LDAP mit der Diskstation abgleichen. Dazu könnten wir uns
vom LDAP eine Liste exportieren und über ein Skript per SSH auf der Diskstation arbeiten.


Frage 1:
Gibt es eine andere Möglichkeit Benutzerkonten zu verwalten? (RSA mit Radius?)

Frage 2:
Können wir über ein Skript und SSH auf die Benutzerkonten zugreifen und diese verwalten?


Vielen Dank für die Hilfe

Gruß
Lenni

 

[itari]

hi Lenni,

die Benutzerkontonverwaltung in der RS/DS ist ein wenig eigen, weil sie auf verschiedenen Ebenen zugleich stattfindet und deswegen spezielle Maßnahmen ergriffen werden, damit es auch immer zusammen passt.

zu 1: Die Frage wäre, ob dir eine partielle Benutzerkontenführung auch schon reichen würde ... ich sag es mal ins Unreine: du kannst ja den DSM auch an die Seite schieben, dir einen IPKG-Samba installieren und nur dort die Benutzer verwalten ... ohne GUI und Komfort und Integration in die anderen RS/DS-Features. Ob das alles dann perfekt und einfach wird, vermag ich nicht zu sagen, aber die RS/DS würde sich dann wie ein x-beliebiger, komfortloser Linux-Samba-Server verhalten können.

Als Antwort auf deine 2. Frage geb ich mal den Link auf ein paar Tools: http://www.synology.com/support/developer.php?lang=deu

Itari

 

[lennartb]

Hey,

vielen Dank für die beiden Antworten. Über IPKG-Samba bin ich nicht so glücklich, ich versuche mich mal mit deinem zweiten Link auseinander zu setzen und damit ein Skript zu basteln. Die Funktionen sahen auf den ersten Blick ganz gut aus.

Lenni

 

[skahde]

Mir sind noch ein paar Dinge nicht klar: DMZ? Was liegt dahinter? Internet? Und die Benutzer sitzen im internen Netz?
Dann sollten auf keinen Fall interne Kontoinformationen auf die DS und die DS ist für den Anwendungsfall flasch platziert und sollte nach intern. Was soll nach extern denn angeboten werden und wer soll darauf zugreifen?

Viele Grüße

Stefan

 

[itari]

hi Stefan,

ich hatte das so verstanden, dass Lenni so etwas wie ein von überall (intern wie extern) erreichbaren Speicher realisieren will (vllt. sogar so etwas wie eine Cloud ohne Sync - aber vllt. Webdav) und deswegen die RS in die DMZ (DMZ ist von allen Seiten offen für Zugang - DMZ = ungeschützter Bereich) gelegt hat. Damit aber die Geschichte halbwegs sicher ist, werden jegliche Zugriffe auf die interne Struktur von seiten der RS unterbunden ... deswegen braucht sie so etwas wie eine Schatten-User-Verwaltung ...

Itari

 

[lennartb]

@ Stefan
Itari hat das völlig richtig verstanden. Die RS soll von überall erreichbar sein, um dabei allerdings die Sicherheits zu gewährleisten, haben wir das Ding direkt in die DMZ gesteckt. Nur über Intern lassen wir die Konfiguration via SSH oder HTTPS zu, ansonsten verwenden wir nur Webdav. Für alle Aufgaben funktioniert das Gerät einwandfrei. Die Benutzerverwaltung stellt uns nun aber vor ein Problem.

Nur Not werden wir die Benutzerkonten einmal von Hand eintragen. Es wäre zwar total nervig, aber so könnten wir die größte Sicherheit gewährleisten. Die Benutzer können ihre Konten so selber verwalten und wären dafür verantwortlich.

Für uns die beste Alternative wäre Radius. Wir können aus der DMZ über dieses Protokoll mit dem internen LDAP-Server kommunizieren, allerdings haben wir noch keine Möglichkeit gefunden, wie wir so einen Clienten auf der RS installieren, oder wie der LDAP-Client auf der RS mit dem Radius-Server kommunizieren kann.

Lenni

 

[itari]

Nur Not werden wir die Benutzerkonten einmal von Hand eintragen.

Es gibt für das Erstellen von Benutzern eine Importvariante per Datei - einfach mal die Hilfe zum Stichwor 'Benutzer' anschauen

Itari

 

[skahde]

Danke für die Erläuterung! Dann ist das Spiegeln der Datenbank in die DMZ die bewährte Variante. Wenn man Export und Import per Skript automatisiert, spart man sich auch das manuelle Nachpflegen der Daten.

 

[lennartb]

@itari
Die Funktion war mir bekannt, hatte beim Schreiben nicht nachgedacht, aber trotzdem danke für die Info.

@Stefan
Es ist auch eigentlich eine gute Möglichkeit. Das Probleme hierbei ist allerdings, dass wir uns die Daten vom LDAP erstmal in einer Datei zwischenspeichern müssten. Damit wir die Daten auf der RS aber aktuell halten können, brauchen wir dann die Benutzernamen und Passwörter (+ggf mehr Informationen). Diese Informationen liegen dann erstmal innerhalb der Datei und könnten theoretisch im schlimmsten Fall gestohlen werden. Auch bei einem direkten verarbeiten und löschen der Datei bleibt die Gefahr.

 

[skahde]

Hallo Lennart,

das ist die Wahl zwischen Pest (Risiko) und Cholera (doppelte Konten). Ehrlichgesagt hört sich das für mich nicht nach einem Problem an, dass der arme Admin mal eben so nebenbei erledigt. Da sollte man mal etwas Gehirnschmalz reinstecken, was man da eigentlich treibt und ob man das nicht anders lösen kann, bevor Daten oder Kontoinformationen geklaut werden oder zumindest, ob einem das egal sein kann oder nicht und was man gegen welches Risiko tut.

Dabei wünsche ich euch viel Erfolg!

Viele Grüße

Stefan

 

[Matthieu]

Ich mach mir an einer anderen Stelle sorgen ... wo werden die Daten zwischengespeichert? Es muss ja ein Export erfolgen, der dann auf der RS abgelegt (andersrum geht ja wegen DMZ nicht) und von selbiger zur Verarbeitung genutzt wird. Wenn nun jemand wie auch immer auf die Excel kommt, kann er die Konten manipulieren ...

MfG Matthieu