C2 Identity Login mittels zweitem NAS

[Tungdil]

Hallo,

ich habe folgendes Setup bzw. folgende Idee.
Ich möchte an zwei Standorten meine DS betreiben. Am Hauptstandort läuft C2 Identity und der Edge-Server ist auch installiert.
Da man in der Basis-Version nur einen Edge-Server verwenden kann war mein Gedanke den Login am zweiten NAS über das Haupt-NAS zu machen.
Mittels OpenID Connect SSO, SAML oder ähnlichem?

Geht das oder braucht jedes NAS einen Edge-Server?
Falls ja, wie macht man das am besten?

 

[Tungdil]

Die SAML Integration sieht gut aus. Die werd ich mal testen.

https://kb.synology.com/en-global/C2/tutorial/set_up_app_integration_via_saml

 

[Tungdil]

Das Erstellen von Benutzern wird min SAML noch nicht unterstützt.

User provisioning is currently available only for pre-integrated apps, including Microsoft 365 and Google Workspace.

https://kb.synology.com/en-global/C2/tutorial/integrate_apps_with_c2_identity#x_anchor_id285c867124

Also falls noch jemand eine andere Idee hat, dann wäre ich dankbar.

 

[NSFH]

Synology hat mir dazu folgendes geschrieben:

vielen Dank für Ihre Anfrage bezüglich C2 Identity.

1. Hinsichtlich der Verwaltung von zwei unterschiedlichen Domänen mit einer einzigen C2 Identity-Lizenz ist zu beachten, dass C2 Identity derzeit die Verwaltung mehrerer Domänen mit unterschiedlichen Namen unter einer Lizenz nicht unterstützt. Jede Domäne erfordert eine eigene Einrichtung und Lizenz

Da sich der Client mit dem Agenten gegenüber C2 identifiziert, sehe ich da nur eine Möglichkeit:
du betreibst 2 gleichnamige Domänen in unterschiedlichen Subnets
eine ist nur Memberserver, kein standalone
Dafür brauchst du einen permanenten VPN Tunnel (site-2-site), der die beiden LANs miteinander verbindet.
Da dann beide Domänen über gleiche Anmeldeinformationen verfügen sollte die Aussenstelle auch den Edge Server des DCs finden.

 

[Tungdil]

Gestern habe ich mittels "Synology Drive ShareSync" den "homes" Ordner zwischen beiden NAS synchronisiert.
Also die "home" Ordner der C2-User innerhalb von "homes", aber das war zu wenig um die User auch zu erkennen.

Heute werde ich versuchsweise mal den EDGE Server deaktiviern und statt dessen einen LDAP-Server aufsetzen.
Über Reddit bin ich auf folgendes Github-Projekt gestößen, dass einen Sync zwischen LDAP und C2-Identity erlauben soll.

Somit sollte es möglich sein die User über die beiden NAS rein über LDAP zu synchronisieren. Die Clients (Mac, Windows) werden weiterhin über die C2-Agenten angebunten.

Übrigens site-2-site VPN ist auch geplant.

 

[NSFH]

???
Solange du via Docker mit Linux oder VM mit Windows Client keine dauerhafte Sync zwischen Identity und dem AD (LDAP) herstellst kann es nicht funktionieren!
Die Doku von Synology beschreibt das übrigens genau!

 

[Tungdil]

Kurzes Update

Heute werde ich versuchsweise mal den EDGE Server deaktiviern und statt dessen einen LDAP-Server aufsetzen.
Über Reddit bin ich auf folgendes Github-Projekt gestößen, dass einen Sync zwischen LDAP und C2-Identity erlauben soll.

Wie oben erwähnt hab ich den EDGE Server deaktiviert. Jetzt läuft auf dem einem NAS ein LDAP-Server und auf dem zweiten NAS ein LDAP-Client. Ein Docker-Container aus dem Github-Projekt synchronisiert die LDAP-User mit C2 Identity.

Am NAS können sich die Benutzer jetzt mittels LDAP anmelden.
Auf den Windows und Mac Clients wird derzeit noch ein C2 Agent verwendet.

Soweit bin ich mit dem Setup zufrieden. Einzig die Möglichkeit eine schönen "Display Name" zusetzten hab ich jetzt nicht mehr (es wird immer der "username" verwendet).

 

[NSFH]

Verstehe, dass du den Umweg über eine Linux oder Windows Installation zum Sync via Docker genutzt hast, aber der Edge Server hat doch eine andere Funktion. Ohne den läuft keine Anmeldung mehr, wenn dein LAN nicht online ist. Du solltest zumindest am main server den Edge am laufen haben.

Dazu ne Frage: Hast du explizit LDAP auf den Synos laufen und damit die Ordnerfreigabe gemacht oder ein SynologyAD?