Photo Station Photo Station 5 und Directory Server / LDAP Benutzer

[maekk]

Hallo,
ich freue mich sehr über den neuen LDAP Service in der DSM 3.2 beta, aber warum wird die Benutzerverwaltung nicht auf die PS5 ausgeweitet?

Ich würde gerne zentral im Directory Server Zugriffe auf Alben und dergleichen steuern. Warum muss ich gesonderte Benutzerkonten in der PS5 erstellen?

Die Möglichkeit die Konten der DSM zu nutzen bezieht sich leider nur auf die lokalen User der DSM.

Oder habe ich eine Einstellung verpasst?

Gruß
Marc

 

[itari]

Frag das mal die Synology-Entwickler. Ich persönlich finde es nicht schlimm, wenn jede Anwendung und jeder Dienst(Server) ihre/seine eigene Benutzerverwaltung hat, aber ich kann gut verstehen, wenn das jemand anders haben möchte. Zur Zeit ist das Risiko für ein und dieselbe Authentifizierung für interne wie für externe User (als LAN und Internet) immer noch sehr hoch. Was man aber sicherlich gut hinbekommen könnte, wären das zentrale Anlegen von jeweils zwei Benutzerkonten (ein intern - einmal extern) mit der Pflicht zu unterschiedlichen Kennworten.

Itari

 

[maekk]

Das klingt nach einem guten Ansatz.
Man könnte die Verantwortung für Passwörter und Benutzerverwaltung intern/extern auch dem Admin der DS überlassen...

Bei der Audio Station gibt es doch auch eine zentrale Benutzerverwaltung. Warum ist es hier nicht so problematisch?

 

[itari]

Bei der Audio Station gibt es doch auch eine zentrale Benutzerverwaltung. Warum ist es hier nicht so problematisch?

Es gibt 2 Webserver auf der DS: der eine - der system-Apache - ist der, der hochpriviligiert adminstrative Aufgaben durchführen darf, deswegen auch total abgeschottet mit der Benutzerverwaltung ist und aus einer historischen Laune heraus (USB-Zugriff) die Audio-Station managet. Der andere - der user-Apache - ist der, der die Webseiten ins Internet pustet, also den Blog und die Photo-Station usw. und erstmal nichts groß mit der Benutzerverwaltung am Hut hat (Ausnahme ist der User 'admin', der hier fest verdrahtet ist. Dieser User-Apache ist niedrig priviligiert, so dass ein Hacken kaum Nebenwirkungen hervorrufen kann.

Mein Vorschlag war weiter oben, dass man diese beiden Welten miteinander 'versöhnen' kann und es so etwas einfacher für die Administration macht. Die Trennung halte ich schon für richtig, weil die User im ''Web sich ja durchaus von den Usern im LAN unterscheiden, aber es könnte halt etwas komfortabler sein. Insbesondere, da ja eh alles in Richtung mobile Apps geht und dann sowieso keiner mehr versteht, warum das eine da und das andere dort gemacht wird. Ich persönlich fände es also gut, wenn man einen 'mittelschweren IT/NAS-Test' einführen würde und in Abhängigkeit vom Bestehen des Tests, Funktionen auf der NAS freischaltet

Itari