LDAP LDAP wie?

[SoniX]

Hallo,

da wir auf VPN setzen wollen (externes Gerät) und ich es nicht zielführend erachte alle User auf dem VPN neu anzulegen und getrennt zu verwalten, dachte ich daran einen LDAP Server auf der Syno aufzusetzen. Nur irgendwie will es nicht so wie ich will.

Das LDAP Paket ist schnell installiert und die Verbindung aufgebaut. Aber dann stoße ich auf Probleme:

-) Wo kann ich 2FA aktivieren? Ich kann das für LDAP nicht finden.
-) Warum meldet es mich laufend ab? Auch wenn ich als normaler admin (nicht ldap) angemeldet bin, fliege ich nach Sekunden oder Minuten einfach raus "Sie dürfen diesen Dienst nicht verwenden". Erneutes Einloggen funktioniert dann problemlos.
-) Muss ich bei einer LDAP Anmeldung den FQDN mit angeben? Irgendwie funktioniert das sowohl mit als auch ohne. Ergänzt die Syno das automatisch?
-) Wie bekomme ich die normalen User ins LDAP? Ich kann in LDAP User zwar importieren, aber das ist nicht kompatibel mit dem was ich als Export der normalen Userverwaltung bekomme.

Eigentliches Ziel wäre dass die User Ihre bisherigen Namen und Passwörter und 2FA behalten aber intern dann alles über LDAP läuft statt normalen Useraccounts.

Hätte ich irgendwelche möglichen Probleme zu bedenken bei LDAP?

Danke und LG

 

[maxblank]

Hallo @SoniX, mit welcher Gegenseite soll sich der LDAP-Server denn verbinden bzw. synchronisieren?

Grüße
maxblank

 

[SoniX]

Es wäre der Syno Router RX6600ax. Die Verbindung funktioniert und der Router erhält auch die LDAP User. VPN wäre das Syno SSL VPN, was leider nur der Router kann.

Aber wie ich gerade lese ist mit LDAP kein 2FA möglich. Damit fällt diese Möglichkeit komplett aus. :-/

> https://kb.synology.com/de-de/C2/tutorial/protect_your_account_with_2fa

 

[maxblank]

Was haben C2-Dienste mit dem Router oder LDAP zu tun?

 

[SoniX]

Gute Frage. Aufgrund dessen habe ich es nochmals forciert. Und siehe da, es klappt 2FA also möglich.

 

[maxblank]

Weil dein verlinktet Artikel in meinen Augen auch nix mit deinem eigentlichen Thema zu tun hat…

 

[SoniX]

Das habe ich schon kapiert, hast du ja im Beitrag davor schon erwähnt. Irgendwie geht durch sowas der Sinn der Unterhaltung verloren.

Ich zitiere mich selbst:

-) Warum meldet es mich laufend ab? Auch wenn ich als normaler admin (nicht ldap) angemeldet bin, fliege ich nach Sekunden oder Minuten einfach raus "Sie dürfen diesen Dienst nicht verwenden". Erneutes Einloggen funktioniert dann problemlos.
-) Muss ich bei einer LDAP Anmeldung den FQDN mit angeben? Irgendwie funktioniert das sowohl mit als auch ohne. Ergänzt die Syno das automatisch?
-) Wie bekomme ich die normalen User ins LDAP? Ich kann in LDAP User zwar importieren, aber das ist nicht kompatibel mit dem was ich als Export der normalen Userverwaltung bekomme.

Zum ersten: Mit aktivem LDAP, werde ich laufend sporadisch abgemeldet; auch mit normalen Usern. Manchmal direkt nach dem Einloggen, manchmal ein paar Minuten später. Deinstalliere ich LDAP funktioniert es wieder wie es soll. Auch bleibt DSM mit aktivem LDAP manchmal irgendwo stecken; letztens in der Systemsteuerung und ich konnte nicht mehr alles aufrufen nach dem aktivieren. Irgendwo hakt es da.

Zum zweiten: Muss man nun den FQDN mit angeben? Oder ist es empfohlen? Oder egal?

Zum dritten: Nochmal getestet; die Felder des Exports stimmen nicht überein mit dem Import. Das könnte man per Hand ja noch richten. Aber beim Import werden auch zwingend Passwörter bzw die Hashes verlangt, was ich so ja auch umsetzen möchte, aber der Userexport exportiert keine Passwörter. Gibts hier eine Lösung? Und was ist mit den Berechtigungen? Oder wie migriert man die User sonst? Und was ist mit den Homeverzeichnissen, den Apps wie Chat, Fotos? Wie migriert man die?

Danke

 

[SoniX]

Okay, offenbar hat niemand Ahnung von LDAP.

Und da auch noch der VPN rumzickt und bloß die Meldung ausspuckt "Deaktivieren Sie IPv6 auf diesem Gerät und versuchen Sie es erneut." obwohl auf allen Geräten IPv6 deaktiviert ist, muss der Syno Support ran.