LDAP LDAP Server / Directory Server und Windows Mobilgeräte best practice?

[XenBo]

Hallo,

ich frage mich, was ist best practice um Windows Notebooks an einen Synology Verzeichnisdienst anzubinden.

Für die Authentifizierung von Windows 10 gegen den LDAP Server finde ich keine Lösung. Es gibt ein Programm namens pGina, was das machen soll, das ist aber schon Jahre nicht gepflegt. Kennt jemand noch eine andere Möglichkeit?

Wenn ich ein Notebook in eine Domäne vom Directory Server einbinde, wie funktioniert dann die Authentifizierung, wenn das Notebook nicht im lokalen Netz hängt sondern erst per VPN eingewählt werden muss? Zum Einwählen muss ich mich ja anmelden, zum Anmelden muss ich aber eingewählt sein. Was ist best practice für eine Domänenintegration mobiler Geräte.

Würde mich freuen, wenn mir jemand hier weiterhelfen könnte. Danke schonmal im Voraus.

 

[blurrrr]

Verhält sich wie mit ohne Synology... Da hat das eine grade "überhaupt nichts" mit dem anderen zu tun... Allein die Art der Fragestellung sagt schon, dass Du besser die Finger davon lassen solltest, weil Du anscheinend nichtmals die Grundlagen intus hast... ? (Das ist nicht böse gemeint, aber eher die Warnung vor den Folgeproblemen!) Aber sei's drum - versuchen wir es einfach mal...

1) Synology bietet mit Samba4 auch ein "Active-Directory" (das ist das bunte Gegenstück zum LDAP aus der Windows-Welt, aber eben auch nur ein Verzeichnisdienst und eigentlich auch LDAP-basiert).
2) Ob VPN oder nicht VPN spielt "überhaupt keine" Rolle, wichtig ist, dass die Domäne via DNS aufgelöst werden kann

Heisst kurzum: Das WLAN-Netz des Remote-Standortes muss eine Möglichkeit bieten, dass die mobilen Clients dort den Namen der Domäne auflösen können. Am Hauptstandort wird vermutlich der DNS-Server auf der Syno mit installiert worden sein, von daher hättest Du 2 Möglichkeiten:

a) Verteil den Clients von Standort B als DNS-Server die Syno von Standort A
b) Replizier die Einstellungen auf einen lokalen DNS-Server an Standort B

(Und jetzt möge mir keiner mit so einem Bullsh** wie der hosts-Datei kommen, das kann man vllt mal bei einem Host machen, aber sicherlich nicht bei einer einer Domäne - sowas macht man schlichtweg nicht )

Wichtig zu wissen wäre für die Clients noch, dass die letzte Anmeldung noch für einen gewissen Zeitraum lokal vorgehalten wird. Das ist auch der Grund, warum sich der (letzte!) User noch immer mit seinen Credentials anmelden kann, obwohl gar keine Verbindung zum Domänencontroller besteht.

Am sinnvollsten wäre es, wenn der Client einmal lokal vor Ort wäre. Alternativ halt über ein Site2Site-VPN. Via VPN sollte dann auch immer der "richtige" DNS-Server mitgegeben werden (der, der auch die Domäne kennt).

 

[XenBo]

Dank dir für deine Antwort. Aber so richtig hast du meine Frage nicht verstanden.

Schon klar, dass sich das gleich verhält. Ich wollte nur den Bezug zu Synology herstellen und ob VPN oder nicht VPN ist der entscheidende Unterschied, denn ohne VPN ist die Domäne schon netzwerktechnisch nicht zu erreichen. DNS ist nicht das Problem, dafür findet sich immer eine Lösung und wenn ich eine Lan-zu-Lan Kopplung habe habe ich auch kein Problem.

Was mir nicht klar ist: Mitarbeiter sitzt Montags morgens im Zug und will sich per Dial-In übers Mobilfunknetz einwählen. Um die VPN Verbindung herzustellen muss er sich am Notebook anmelden, kann er aber nicht, weil kein Domänenzugriff, er kann sich nur lokal anmelden, dann kommt er aber nicht mehr in die Domäne rein.

Wichtig zu wissen wäre für die Clients noch, dass die letzte Anmeldung noch für einen gewissen Zeitraum lokal vorgehalten wird. Das ist auch der Grund, warum sich der (letzte!) User noch immer mit seinen Credentials anmelden kann, obwohl gar keine Verbindung zum Domänencontroller besteht.

Habe das gerade mal gegoogelt, man kann das per Richtlinie einstellen. Das war die Information, die mir gefehlt hat.

Nochmal zu meiner zweiten Frage: Möchte man auf den Directory Server verzichten und nur mit dem LDAP Server arbeiten, um Login-Daten zu zentralisieren, gibt es eine Möglichkeit die Windows Authentifizierzung an den Synolgoy LDAP Server (nicht Directory Server) zu binden. Außer dem pGina habe ich keinen Möglichkeit gefunden.

 

[blurrrr]

Die Frage ist eher, warum Du Dir den Schuh anziehen willst und nicht einfach den AD-Server (basierend auf Samba) nimmst (was dann auch ohne Drittanbieter-Software funktioniert)? So ist und bleibt es halt "Gefummel"... Die Alternative dazu wäre halt das richtige M$-AD und da kostet es dann auch direkt wieder, von daher ist das Samba-AD schon eine nette Sache (die man dann auch mit Windows-Clients nutzen sollte).

Mit einem "ich will aber!" (und das aus keinerlei logischen Gründen) wurde übrigens noch niemandem geholfen. Allein der Zeitinvest nach der Suche einer Lösung sollte Dir schon ganz klar sagen, dass man davon besser die Finger lässt (und jou, ich hab sowas vor etlichen Jahren/eher Jahrzehnt auch mal "hingefrickelt" in einer Testumgebung, aber schlussendlich ist sowas alles Murks...). Zu Testzwecken sicherlich, im produktiven Betrieb ein ganz klares "Nein!". Wenn Du das für Deine Firma/Deinen Kunden machst, sowieso ein doppeltes bis dreifaches nein... wenn es einfach nur Spieltrieb ist, teste es halt mit pGina, aber darauf "bauen" würde ich definitiv "nicht".

Was LDAP allgemein angeht (im Gegensatz zu m AD) ist der nette Support div. Dienste, welche man daran andocken kann. Allerdings ist der AD-Support in den letzten Jahren auch ungemein gewachsen... Hier läuft noch ein LDAP mit div. angepassten Schemata, womit wir hier interne Dinge abbilden, aber für die "normale Clientauthentifizierung" würde ich "immer" ein AD für die Clients bevorzugen (sofern nicht rein unixbasiert).

Also kurzum: Ich kann Dir Deine letzte Frage nicht konkret beantworten (müsste ich selber erstmal suchen, habe ich aber grade keine Lust zu - auch noch kein Feierabend ), aber zumindestens den Rat: Finger von weg lassen (ganz besonders dann, wenn Dir die Alternative ebenso kostenlos zur Verfügung steht)!

EDIT: Hat ein wenig was von "Das viereckige Rad 'muss' jetzt aber Rollen! Das runde liegt zwar daneben, aber es 'muss' auch mit dem eckigen gehen!" (Ich finde der Vergleich passt ganz schön, weil die reine LDAP-Lösung nunmal Ecken und Kanten hat ??)

 

[XenBo]

Wenn ich keine Zeit in eine Lösungssuche investieren draf, dann kann ich nur noch das machen, was ich ohnehin schon kann

Wenn eine kleine Firma nur die Authentifizierung zentralisieren will und sonst nichts, hätte eine schlanke LDAP Lösung Vorteile, weil viel einfacher aufzusetzen und zu administrieren ist. Schließlich kann man den MailPlusServer, Contacts und den Kalender ja auch daran binden. Der Directory Server ist in solchen Fällen überdimensioniert. Hilft aber nichts, wenn es für den LDAP Server keine Lösung für die Windows-Anmeldung gibt und diese gewünscht ist. . Auf irgendwelche 3rd Party Plugins, die schon lange nicht mehr gewartet werden kann man gut verzichten und sollte da natürlich nicht seine Lösung drauf aufbauen, deswegen habe ich ja ganz am Anfang schon nach Alternativen gefragt.

 

[Adama]

Die Anmeldung wird ohne Domäne durch die "Cached Credentials" ermöglicht. Die Funktion gibt es - wenn ich nicht irre - seit Windows 2000.

Standardmäßig speichert der Client die letzten 10 Logons, es sei denn, es z.B. per GPO auf 0 gesetzt.

Somit kannst Du dich auch an einem Notebook z.B. auch ohne Domäne anmelden und dann den VPN-Tunnel aktivieren.

Das funktioniert auch problemlos mit einer Samba-Domäne.

 

[blurrrr]

Ich weiss ja nicht wovon Du sprichst, aber... ob LDAP oder AD auf der Syno spielt mal so gar keine Rolle.... Überdimensioniert... Aus welchen Jahrhundert kommst Du noch gleich, dass Du ein paar MB HDD- und RAM-Verbrauch als "überdimensioniert" bezeichnest? Sorry, aber wir haben nicht mehr 1980 was die Ressourcensparsamkeit angeht.... ? (Will damit sagen: kann man durchaus schon machen und Notfalls steckt man noch was nach)

EDIT:

Wenn eine kleine Firma nur die Authentifizierung zentralisieren will und sonst nichts

Dann ist ein NAS sowieso nicht unbedingt das richtige...

 

[XenBo]

blurrr, würdest du meine Posts mal richtig lesen müßtest du mich nicht ständig von der Seite anfahren.

Es geht nicht um Ressourcen, habe ich mit keinem Wort erwähnt. Es geht darum, wie geschrieben, dass ein einfaches LDAP Verzeichnis viel einfacher aufzusetzen und zu administrieren ist. Eine Domäne ist viel schwieriger, aufwendiger und somit auch teurer zu administrieren und ja du hast Recht, wir haben nicht mehr 1980, Technikerstunden kosten heute wesentlich mehr ?

Dann ist ein NAS sowieso nicht unbedingt das richtige...

Was ist denn deiner Meinung nach das Richtige?

 

[blurrrr]

dass ein einfaches LDAP Verzeichnis viel einfacher aufzusetzen und zu administrieren ist.

"viel" kann man mal so dahingestellt lassen, der wesentliche Punkt ist aber:

Das Samba-AD basiert (wer hätte es gedacht) auf Samba.. Was läuft "sowieso" schon auf dem NAS? Jou, Samba. Ist also eh schon da. So wie Synology es gestrickt hat, würde ich nicht grade behaupten, dass es "aufwändiger" wäre, da das ganze in der typischen Synology-Verpackung kommt (klick,klick,fertig). Dazu kommt noch, dass sich Dein eigentliches Problem kurzerhand in Luft aufgelöst hätte.

Was ist denn deiner Meinung nach das Richtige?

Wenn Du es direkt "vernünftig" mit 2 Controllern machst, könntest Du auch einfach 2 Raspis nehmen (ist vermutlich sogar noch billiger als eine Syno mit Platte), da gibt es dann sogar noch Verfügbarkeit für das gleiche (oder weniger) Geld. Alternativ - je nach Zusatzgeschäft - ggf. auch einen Controller in der Cloud (mitunter in Deiner eigenen, alternativ ggf. sogar alles - angebunden via S2S-VPN - Möglichkeiten gibt es wie Sand am Meer).

Schlussendlich... Synology hat schon extra dieses klick-klick-fertig-Prinzip (mag sicherlich ein streitbarer Punkt sein ), Samba läuft sowieso auf den Dingern, warum nicht einfach "bereits vorhandenes" nutzen? Ist schlussendlich aber auch egal - Du hast Deine Meinung - das ist völlig in Ordnung, ich hab meine - sollte auch in Ordnung sein - liegt schlussendlich aber sowieso an Deiner Entscheidung (im Sinne des Kunden).

Insofern... ich halt jetzt mal die Finger still und vielleicht gibt es ja noch von der ein oder anderen Seite ggf. den passenden Hinweis. Wünsche viel Erfolg dabei! ??

EDIT:

müßtest du mich nicht ständig von der Seite anfahren.

Falls das so rüber gekommen ist, das lag nicht in meiner Absicht! (Bin halt kein Meister der blumigen Sprache ), also nix für ungut... ?

 

[XenBo]

Syno seitig macht es wirklich keinen großen Unterschied, clientseitig aber schon, denn die Clients müssen in die Domäne rein mit allen Fallstricken, die das so mit sich bringt. Gut, da es mit dem LDAP Server nicht vernünftig geht bleibt an der Stelle keine andere Wahl.

Wenn Du es direkt "vernünftig" mit 2 Controllern machst, könntest Du auch einfach 2 Raspis nehmen

Jemand der die nötige Ahnung hat kann das machen. Jemand, der einen Dienstleister dafür bezahlen muss eher nicht. Da fährt man insgesamt gesehen mit der Synology Lösung günstiger, auch wenn die Hardware erstemal teurer ist. Mit DSM 7 soll ja auch der secondary DC kommen.

 

[blurrrr]

Oder Du nimmst einfach 2 kleine UCS-VMs (das ist auch ganz einfach eingerichtet)

 

[XenBo]

Das macht einen guten Eindruck, schaue ich mir bei Gelegenheit mal genauer an.