LDAP Synology Diskstation LDAP Server Verständnisfragen

Status
Für weitere Antworten geschlossen.

niceplacer

Benutzer
Mitglied seit
09. Mrz 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen.

Der LDAP Server läuft bei mir und mit pgina klappt der Zugriff.
Ich dachte mir das ursprünglich so. Man meldet sich bei Windows über LDAP an, dadurch hat man sich authentifiziert, ähnlich wie bei einer Windows-Domäne, dadurch bekommt man dann die Möglichkeit, ein Home-Verzeichnis und andere Verzeichnisse über Mapping zu nutzen.
Was nach wie vor möglich ist, dass man sich bei Windows auch einloggt ohne das pgina-Einlog-Feld, also als normaler Windows-Nutzer am LDAP-Server vorbei. Dann kann man sich einfach das home-Verzeichnis verbinden über Netzwerkfreigaben glaube ich und schon habe ich mein Home-Verzeichnis.

1. Was habe ich denn dann von der LDAP-Anmeldung, wenn das auch so funktioniert?
2. Wie schalte ich es KOMPLETT ab, dass man sich direkt bei Windows anmelden kann ohne den LDAP zu nutzen. Wie ich die Usernamen ausblenden kann, weiß ich schon.
3. Welche Vorteile hat man noch, wenn man sich beim LDAP anmeldet.
4. Kann man das auch mit VPN sinnvoll kombinieren? Wie kann man sich das vorstellen?
5. Soll der LDAP Client der Diskstation mit dem LDAP Server auf gleicher Station connected werden? Wenn ja, warum?

Danke für Eure Zeit und im Voraus. :)

Gruß np
 

derniwi

Benutzer
Mitglied seit
17. Okt 2013
Beiträge
276
Punkte für Reaktionen
0
Punkte
16
Hallo,

wenn du lokal am Win-Rechner den gleichen Benutzer und das gleiche Kennwort verwendest, wirst du so kaum einen Unterschied merken.
LDAP macht halt dort Sinn, wo man mehrere Rechner im Netzwerk einsetzt und die Leute sich an beliebigen Rechnern anmelden. Dann werden die Benutzerkonten auf dem LDAP-Server gepflegt und die Anmeldung erfolgt eben gegen diesen Server. Man legt die Benutzer dann nicht mehr unter Windows direkt an.

Der Nachteil ist halt, wenn der Server ausfällt, kann sich keiner mehr anmelden. Der Vorteil ist, dass man weniger Aufwand mit der Benutzerverwaltung hat, vor allem, wenn ein Benutzer sein Kennwort ändern möchte. Bei LDAP ändert man das einmal am Server, bei lokalen Benutzern auf allen Rechnern, auf denen der Benutzer angelegt ist.

Zu 2: ohne PGINA genau zu kennen: die lokalen Benutzer löschen (Vorsicht, wenn die Benutzerverzeichnisse damit aufgeräumt oder entsorgt werden)

Zu 4: ich denke, das geht nicht so einfach. Für VPN gibt es andere Authentifizierugen...

Gruß
Nils
 

niceplacer

Benutzer
Mitglied seit
09. Mrz 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo Nils,

danke für die Antworten. Ich kann mich zwar gegen LDAP authentifizieren, aber nach dem Ausloggen ist der grade benutzte User, obwohl er zuvor NICHT am Client existierte, nun in der Anmeldeliste. Man kann sich direkt dort wieder anmelden ohne aber über PGina gehen zu müssen. Das ist natürlich schlecht, da dadurch dann der LDAP umgangen wird.

Ja, es handelt sich darum, auf beliebig vielen Rechnern arbeiten zu können, ohne jedes mal den User anzulegen. Dass der Server ausfallen kann, ist erstmal nebensächlig.

zu 2: keine lokalen User zu haben ist eine gute Idee, reicht aber nicht sehr weit (s.o.)

Gruß np
 

derniwi

Benutzer
Mitglied seit
17. Okt 2013
Beiträge
276
Punkte für Reaktionen
0
Punkte
16
Hallo np,

ja, Windows speichert die Anmeldedaten auch lokal (z.B. für Notebookbenutzer, die Unterwegs den LDAP nicht erreichen können). In wie weit wird pgina umgangen? Bekommst du dann keine Verbindung zu den Netzwerkfreigaben?

Beim Anmelden wird lokal ein Profil für einen Netzwerkbenutzer angelegt, auch das ist normal.

Gruß
Nils
 

niceplacer

Benutzer
Mitglied seit
09. Mrz 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Nun, man kann sich dann lokal anmelden. Ich wollte eigentlich, dass man sich immer über LDAP authentifizieren muss, da sich Rechte und Gruppen auch ändern können. Ist aber weiter nicht schlimm.

Es wäre allerdings schön, wenn man das Anmeldefenster komplett ausblenden könnte, so dass nur das PGina-Anmelde-Ding bliebe.

Was noch nicht klappt sind die LDAP-Gruppenberechtigungen. Wenn ich zwei User A und B habe, die gemeinsam Mitglieder der LDAP-Gruppe G sind, dann hätte ich gehofft, dass sie auch beide auf einen gemeinsamen Ordner zugreifen können, der für die Gruppe freigegeben ist. Klappt leider noch nicht. Hat da irgendjemand am Anfang auch Probleme gehabt?

Danke im Voraus :)
 

Galileo

Benutzer
Mitglied seit
22. Jan 2014
Beiträge
329
Punkte für Reaktionen
0
Punkte
16
Hallo np,

1. Was habe ich denn dann von der LDAP-Anmeldung, wenn das auch so funktioniert?
Wie schon gesagt wurde: Eine zentrale Pflege der User und Passwörter. Daneben kann (sollte!) man aber wenigstens für den Notfall auf jedem Rechner auch noch lokale Admin-Konten haben, müssen ja nicht alltäglich benutzt werden.


2. Wie schalte ich es KOMPLETT ab, dass man sich direkt bei Windows anmelden kann ohne den LDAP zu nutzen. Wie ich die Usernamen ausblenden kann, weiß ich schon.
Indem man unter "Credential Provider Options" in der Zeile "Password Provider" die Häkchen setzt. Wie dort schon steht, sollte man dabei verstanden haben, was man tut.


3. Welche Vorteile hat man noch, wenn man sich beim LDAP anmeldet.
Außer den genannten wüßte ich keine.

4. Kann man das auch mit VPN sinnvoll kombinieren? Wie kann man sich das vorstellen?
Klar. Wenn du dich von außen über VPN in dein Netz reinhängst kannst du natürlich auch auf LDAP genauso zugreifen wie zu Hause. Allerdings: Wenn du noch nicht angemeldet bist und garkeine Netzverbindung hast geht auch kein LDAP. :D Insofern: Ich habe pGina so eingerichtet, dass der User beim online-Anmelden gespeichert wird und die Anmeldung auch offline funktioniert.

Wie man VPN aufsetzt ist ein anderes Thema. Du kannst dann aber am VPN-Server ebenfalls als Benutzerbasis LDPA einstellen, dann erfolgt der VPN-Aufbau mit den selben Usern.

5. Soll der LDAP Client der Diskstation mit dem LDAP Server auf gleicher Station connected werden? Wenn ja, warum?
Ich habe es aktiviert, um auch auf der DS die selben User zu haben.
 
Zuletzt bearbeitet:

Galileo

Benutzer
Mitglied seit
22. Jan 2014
Beiträge
329
Punkte für Reaktionen
0
Punkte
16
Der Nachteil ist halt, wenn der Server ausfällt, kann sich keiner mehr anmelden.
Kommt auf die Konfiguration von pGina an. Man kann auch einstellen dass die LDAP-User lokal gespeichert werden.
 

Galileo

Benutzer
Mitglied seit
22. Jan 2014
Beiträge
329
Punkte für Reaktionen
0
Punkte
16
zu 2: keine lokalen User zu haben ist eine gute Idee, reicht aber nicht sehr weit (s.o.)
Wie gesagt: Einen unabhängigen lokalen Reserveadmin sollte man haben. Lokale Admins läßt pGina auch rein wenn ansonsten das Umgehen von pGina gesperrt ist ("Local Admin Fallback").
 

Galileo

Benutzer
Mitglied seit
22. Jan 2014
Beiträge
329
Punkte für Reaktionen
0
Punkte
16
Wenn ich zwei User A und B habe, die gemeinsam Mitglieder der LDAP-Gruppe G sind, dann hätte ich gehofft, dass sie auch beide auf einen gemeinsamen Ordner zugreifen können, der für die Gruppe freigegeben ist. Klappt leider noch nicht. Hat da irgendjemand am Anfang auch Probleme gehabt?
Gemeinsame home-Verzeichnisse für Gruppen wäre mir neu.
 

gigastern

Benutzer
Mitglied seit
05. Dez 2015
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
ich habe auch einen Directory Server laufen und die Synology selbst kann ich auch an der Domain anmelden.

Nun möchte ich einen Windows 10 Professional Rechner ebenso an der Windows Domain anmelden, jedoch findet er nicht den Domainnamen.
Geht es nur mit PGINA ? Ich habe mir eigentlich daher die Professional Version zugelegt, da diese Anmeldungen an Domänen zuläßt.

Oder ist zwingend noch ein DNS Server nötig, damit der Name aufgelöst wird ?

Mein DHCP läuft über die Fritz Box, bei der habe ich als 1. DNS schon die Synology drin auf der der LDAP Server läuft, aber die eingerichtete Domain wird nicht gefunden.

Hat da wer eine Idee ?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat