Hallo zusammen,
dies ist mein erster Beitrag in diesem Forum, aber da ich gerade ein Problem gelöst habe, was mich viele Stunden beschäftigt hat und einige Leute schon ähnliche Probleme hatten (zumindest habe ich das in diversen Foren gelesen), dachte ich mir, dass ich die Lösung für dieses Problem einfach einmal teile.
Mein Ziel war es, eine eigene LDAP Benutzerdatenbank auf einem externen Rechner (nicht Synology) aufzusetzen, diese per Synology NAS einzubinden und trotzdem nicht auf verschlüsselte Passwörter zu verzichten (zum Einen wollte ich keine Änderungen an den Windows Systemen durchführen, zum Anderen bin ich ein Securityfanatiker der unverschlüsselte Passwörter gar nicht leiden kann
).
Hierfür habe ich zunächst den LDAP Server aufgesetzt (inkl. samba.schema) und die entsprechenden Objekte erzeugt (hierzu gibt es einige Tutorials im Netz, wie man den LDAP Server korrekt für Samba einrichtet). Genutzt habe ich einfach den LDAP Admin (www.ldapadmin.org). Die Benutzer müssen die Klassen posixAccount, sambaSamAccount und shadowAccount beinhalten (die Software macht dies aber automatisch). Hier auch nicht vergessen, die Passwörter zu setzen. Die Gruppen beinhalten die Klassen posixGroup und sambaGroupMapping (auch dies macht die Software automatisch). Eine Samba Domäne ist ebenfalls notwendig. Ich würde die Reihenfolge Domäne, Gruppen, Benutzer bei der Einrichtung empfehlen (bei mir hatten die Benutzer zunächst noch eine falsche Primary Group, da ich zuletzt die Gruppen gemacht habe - hat mich auch wieder ne halbe Stunde Zeit gekostet ).
Nun sollte eine Bindung an das NAS bereits möglich sein (cifs auch aktivieren) und die Benutzer und Gruppen sollten angezeigt werden. Ein Login über die Weboberfläche sollte ebenfalls möglich sein. Das NAS erkennt den LDAP Server allerdings noch als Fremdgerät, sodass die Windows Clients nur mit unverschlüsselten Passwörtern akzeptiert werden (Bis hierhin gibt es ja auch einige Tutorials). Es fehlt jetzt allerdings nur noch ein einziger Eintrag in der LDAP Datenbank: Es muss ein Entry mit der Klasse organizationalRole mit dem commonname (cn) synoconf angelegt werden. Wenn man nun das NAS erneut verbindet, sagt dieses einem bereits "Verbunden (Synology Directory Server)". Nun werden auch die Passwörter verschlüsselt akzeptiert.
Ich hoffe das hilft dem einen oder anderen weiter - wie gesagt, mich hat es fast eine Woche meines Lebens gekostet...
Gruß Markus
dies ist mein erster Beitrag in diesem Forum, aber da ich gerade ein Problem gelöst habe, was mich viele Stunden beschäftigt hat und einige Leute schon ähnliche Probleme hatten (zumindest habe ich das in diversen Foren gelesen), dachte ich mir, dass ich die Lösung für dieses Problem einfach einmal teile.
Mein Ziel war es, eine eigene LDAP Benutzerdatenbank auf einem externen Rechner (nicht Synology) aufzusetzen, diese per Synology NAS einzubinden und trotzdem nicht auf verschlüsselte Passwörter zu verzichten (zum Einen wollte ich keine Änderungen an den Windows Systemen durchführen, zum Anderen bin ich ein Securityfanatiker der unverschlüsselte Passwörter gar nicht leiden kann
). Hierfür habe ich zunächst den LDAP Server aufgesetzt (inkl. samba.schema) und die entsprechenden Objekte erzeugt (hierzu gibt es einige Tutorials im Netz, wie man den LDAP Server korrekt für Samba einrichtet). Genutzt habe ich einfach den LDAP Admin (www.ldapadmin.org). Die Benutzer müssen die Klassen posixAccount, sambaSamAccount und shadowAccount beinhalten (die Software macht dies aber automatisch). Hier auch nicht vergessen, die Passwörter zu setzen. Die Gruppen beinhalten die Klassen posixGroup und sambaGroupMapping (auch dies macht die Software automatisch). Eine Samba Domäne ist ebenfalls notwendig. Ich würde die Reihenfolge Domäne, Gruppen, Benutzer bei der Einrichtung empfehlen (bei mir hatten die Benutzer zunächst noch eine falsche Primary Group, da ich zuletzt die Gruppen gemacht habe - hat mich auch wieder ne halbe Stunde Zeit gekostet
).Nun sollte eine Bindung an das NAS bereits möglich sein (cifs auch aktivieren) und die Benutzer und Gruppen sollten angezeigt werden. Ein Login über die Weboberfläche sollte ebenfalls möglich sein. Das NAS erkennt den LDAP Server allerdings noch als Fremdgerät, sodass die Windows Clients nur mit unverschlüsselten Passwörtern akzeptiert werden (Bis hierhin gibt es ja auch einige Tutorials). Es fehlt jetzt allerdings nur noch ein einziger Eintrag in der LDAP Datenbank: Es muss ein Entry mit der Klasse organizationalRole mit dem commonname (cn) synoconf angelegt werden. Wenn man nun das NAS erneut verbindet, sagt dieses einem bereits "Verbunden (Synology Directory Server)". Nun werden auch die Passwörter verschlüsselt akzeptiert.
Ich hoffe das hilft dem einen oder anderen weiter - wie gesagt, mich hat es fast eine Woche meines Lebens gekostet...
Gruß Markus
