LDAP Server Beta

Status
Für weitere Antworten geschlossen.

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hi ihr beta-Tester,
ich würde gern von euch wissen, welche Erfahrungen ihr mit dem neuen LDAP Server gemacht habt.
Desweiteren möchte ich es auch gern probieren, habe aber noch ein paar Unklarheiten über die genaue Funktion. Ich hatte mich vor einiger Zeit mal mit LDAP beschäftigt und damals gelesen man benötige einen DNS-Server (was angesichts eines FQDN ja auch Sinn macht). Ist das auch hier so und wie löst ihr das?
Zur Windows-Auth hatte ich an pGina gedacht - was sagt ihr dazu, welche Software nutzt ihr?

MfG Matthieu
 

emu1701

Benutzer
Mitglied seit
24. Jul 2011
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hi.

Ich habe den LDAP Server mal konfiguriert. Er funktioniert auch soweit. Allerdings scheint mir noch nicht alles so grün zu sein wie es sollte.

DNS ist nicht notwendig. Du kannst einfach irgendeinen FQDN vergeben. Ich glaube Computerkonten werden eh nicht verwaltet.
Wie in meinem vorherigen Post geschrieben, sollte man wohl nicht das DSM-Admin Passwort bei der Konfiguration vergeben.

Wenn man alles konfiguriert hat und User und Gruppen angelegt hat kann man versuchen sich mit dem Server zu verbinden.

Ich habe mein Lion mal getestet, Anmeldung funktioniert, jedoch geht leider das Home-Dir Mapping nicht. Wichtig hierbei nur mit dem Usernamen anmelden.
An der DSM Oberfläche kann man sich auch mit den Directory Usern anmelden, hier allerdings mit User@FQDN...
Warum das so ist weiß ich nicht so genau. Ach ja.. im DSM wird das homedir auch brav gemapped, deshalb denke ich es ist eher ein Problem auf OSX Seite.

pGina hab ich zwar mal installiert, aber noch nicht getestet. pGina hat mich auf den ersten Blick mit seinen ganzen Optionen und Einstellmöglichkeiten erschlagen :)
Bin aber sehr interessiert, wenn du da weitere Informationen hast, dann poste sie bitte.

Ich denke der LDAP-Server ist eine ziemlich spannende Sache, aber er hakt noch an ein paar Stellen
Aber ich werde weiter testen....
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wenn du also in einer DS oder im Mac den FQDN angibst, funktioniert das ohne weitere Änderungen?

MfG Matthieu
 

emu1701

Benutzer
Mitglied seit
24. Jul 2011
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
An der DS-Weboberfläche hat es einfach so funktioniert.

Dem Mac muß man noch beibringen, daß er über LDAP anmelden soll.
Dazu braucht man den Hostname, oder die IP-Adresse der DS, die Verbindungs DN und natürlich das Passwort, daß man beim einrichten vergeben hat. Danach kann man sich am Mac einfach wie beschrieben anmelden.
Soweit ich pGina überblickt habe geht es da auch so... allerdings muß man dort, je nach Plugin, die LDAP-Gruppen noch auf die lokalen Windows-Gruppen mappen.

Aber wie gesagt mit pGina kenne ich mich noch nicht wirklich gut aus.
 

emu1701

Benutzer
Mitglied seit
24. Jul 2011
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
@Spider-Mann:

Prinzipiell ja.....

Moderne Linux-Varianten haben ein modulares Authentifizierungs-System (pam). Das heißt man kann Linux beibringen sich gegen nahezu jede beliebige Quelle zu authentifizieren.
LDAP als Standard wird natürlich unterstützt.
Auf der DS läuft nat auch Linux... also kein Problem.

MacOS ist ja eine sehr entfernter Verwandter und Apple hat ihm freundlicherweise das Standard LDAP V3 Protokoll spendiert. Also auch kein Problem.

Das Problemkind ist mal wieder Windows. Microsoft braut hier sein eigenes Süppchen namens "Active Directory Services"... Im Grunde ist das zwar auch LDAP, aber halt in Microsoft-Dialekt.
Und Windows frägt im Microsoft-Dialekt ab ... das versteht der LDAP-Server auf der DS, der sich an den Standart hält ( halten sollte ) leider nicht.

Einzige Möglichkeit hier ist es Windows LDAP "beizubringen" in dem man den Logon Mechanismus so verändert, daß man den LDAP-Logon vor den eigentlichen Logon klemmt.
Das macht das Progrämmchen pGina, von dem wir hier vorher schon gesprochen haben.

Also stimmt im Prinzip was Synology schreibt. Aber es gibt Wege drumherum.
Testet aber pGina bitte nicht auf euren Produktivsystemen .... Ich hab keine Ahnung, was man damit alles anrichten kann.
Für so etwas empfiehlt sich immer eine nette kleine vBox ...
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
@emu: Bin grad am aufsetzen, wenn auch erst mal eine Linux-Version (OpenSUSE, weil einfach zu konfigurieren für sowas). :)

MfG Matthieu
 

Spider-Mann

Benutzer
Mitglied seit
22. Jul 2011
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
@emu1701

Wenn ich auf meiner Windows-Kiste ohnehin pGina installieren muß, dann kann ich mich auch mit einem anderen Plugin am Mail-Server meiner DS authentifizieren und mir den LDAP-Server auf der DS sparen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
@emu1701

Wenn ich auf meiner Windows-Kiste ohnehin pGina installieren muß, dann kann ich mich auch mit einem anderen Plugin am Mail-Server meiner DS authentifizieren und mir den LDAP-Server auf der DS sparen.
Mit dem Unterschied dass LDAP auf so etwas ausgelegt ist und daher auch viel in Richtung Verschlüsselung und Gruppenmanagement beherrscht.

MfG Matthieu
 

cutcreator

Benutzer
Mitglied seit
28. Dez 2009
Beiträge
495
Punkte für Reaktionen
2
Punkte
24
Ich hab mal einfach im Directory Server meine Domain von selfhost www.mircoonline.de eingetragen und mich als Benutzer angelegt. Bin Verbunden.. allerdings hab ich jetzt keinen Plan wie ich das mit dem iPhone nutzen könnte bzw was ich auf dem Windows Rechner damit anstellen könnte..

Werden da nicht Adressdaten mit verwaltet und syncronisiert? Ich hab kein Outlook installiert, nutze da allles unter Google.

Geht das auch irgendwie?
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Den LDAP nach außen zu verwenden halte ich nicht für sehr schlau. Ich persönlich habe damit keine Erfahrung, aber mit einer Brute-Force-Attacke sollte man da an die notwendigen Daten kommen ... LDAP selbst kann für vielfältige Zwecke eingesetzt werden. Die Nutzerdaten mit Adressen zu verknüpfen ist nur eine davon. Der Synology-LDAP ist aber darauf nicht ausgelegt, sondern auf Authentifizierung. MfG Matthieu
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
LDAP ist ein Dienst, mit dem man Verzeichnisse (Directories) verteilt verwalten kann. Ein Directory ist dabei eine hierarchische Datenstruktur (im Gegensatz zu einer flachen Datenstruktur eines Dateisystems). Die Registry unter Windows ist ein Directory, falls einem das nichts sagt. Man hat Schlüssel (Pfade) und kann Werte/Daten ablegen. Für alle solchermaßen strukturierten Aufgaben, lässt sich also ein Verzeichnisdienst einsetzen: Organisationsstrukturen, Internet-Strukturen, Konfigurationsdateien, Klassifikation von Pflanzen, Projektstrukturpläne, Aktenplan in betrieblichen Organisationen oder eben die User ihre Berechtigungen ... Wie bei einer Datenbank, muss man sich Gedanken zu einem Schema machen, mit dem man 'theoretisch' beschreibt, wie man sich die Hierarchie vorstellt usw. und das halt den Clients beibringen ...

Itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat