LDAP Welche Implikationen hat es die Syno als LDAP Client von seinem LDAP Server zu konf?

[framp]

Mir ist klar dass LDAP fuer ein kleines Heimnetzwerk mit einer ueberschaubaren Anzahl Benutzer overkill ist. Bislang greifen meine Raspis per NFSv3 und entsprechender squash Konfiguration auf die syno Verzeichnisse zu. Das moechte ich aber gerne auf NFSv4 umstellen. Wie ich gelesen habe muss ich dazu entweder LDAP oder Kerberos einsetzen. Kerberos ist mir wirklich zu aufwaendig aber LDAP wuerde ich schon konfigurieren und einsetzen.

So wie ich es verstehe muss ich dazu den Syno LDAP Server sowie den Syno LDAP Client konfigurieren. Ich denke dann ist die normale Userauthentification auf der Syno disabled und alle User muessen im LDAP definiert werden. Jetzt mache ich mir Gedanken was sich alles ausser der Userauthentification noch aendern wuerde und wie ich - falls mir die ganze Sache mit LDAP doch nicht gefaellt - wieder auf die alte Userauthentification zurueckgehen kann. Reicht es den LDAP Client auf der Syno wieder zu deaktivieren um auf die alten UID & PWDs zurueckzugehen oder ist da noch mehr zu tun?

 

[framp]

Hat keiner schon Erfahrung gemacht mit einer Umstellung auf LDAP?

 

[maulsim]

Ich habe keine Ahnung von NFS. Aber ich verwende den Synology LDAP Server. Also generell wird die Userauthentication von Synology nicht deaktiviert. Du kannst theoretisch beide Systeme parallel nutzen. Aber, es gibt Apps (z.B. Chat oder das neue Contacts) bei denen man sich auf eine Benutzerbasis festlegen muss. D.h. wenn du den LDAP Server ausprobierst kannst du ihn danach auch wieder mit seiner Datenbank entfernen.

Es gibt jedoch keine Möglichkeit die Synology Benutzer in den LDAP umzuziehen. Man muss also wenn man alles im LDAP haben möchte, die Accounts komplett neu anlegen und die Daten entsprechend zu den neuen Benutzern rüber transferieren. Im "Homes" Ordner wird nämlich ein weiterer Unterordner erstellt, der die "Home" Ordner der LDAP Benutzer beinhaltet.

Bei der Rechtevergabe muss man dann natürlich die LDAP Benutzer/Gruppen entsprechend immer mit berücksichtigen. D.h. ich kann einem Gemeinsamen Ordner Berechtigungen auf Basis der LDAP Benutzer und der Synology Benutzer (bzw. Gruppen) geben. Ich denke mal, dass wird bei NFS genau so sein.

D.h. wenn du LDAP erstmal nur mit neuen Benutzern testest kannst du LDAP auch einfach wieder deinstallieren und verlierst nur die neuen LDAP Benutzer.

 

[framp]

... Also generell wird die Userauthentication von Synology nicht deaktiviert. Du kannst theoretisch beide Systeme parallel nutzen.
...
... D.h. wenn du LDAP erstmal nur mit neuen Benutzern testest kannst du LDAP auch einfach wieder deinstallieren und verlierst nur die neuen LDAP Benutzer.

Das ist eine sehr gute und wichtige Info fuer mich :thumbsup:. Ich dachte entweder laeuft saemtliche Benutzerauth ueber LDAP oder die normale Benutzerauthentifikation und ich muss in einer HauRuckAktion umstellen. Dann kann ich ja nur einen Benutzer vom remoten Linux anlegen und den nfs Zugriff testen ohne irgendwelche anderen Seiteneffekte

 

[maulsim]

Viel Erfolg beim Testen. Nur als kurzer Hinweis: Du solltest in beiden Nutzersystemen (LDAP & integriert) keine Benutzer mit gleichem Benutzernamen und Passwort anlegen, das könnte zu Chaos führen

 

[nabla]

@framp: Hat das bei dir alles geklappt? Auch NFSv4? Ich möchte auch NFSv4 verwenden und möglichst umgehen, die UID/GID manuell anpassen zu müssen. Mein Hauptproblem scheint mir, dass ich nur ein Passwort für einen über LDAP-betriebenen Account habe. Mein Passwort auf meinem lokalen Rechner ist ja ziemlich einfach, da kommt ja keiner ran und Dienste laufen dort auch nicht. Auf meiner NAS ist das Passwort sehr kompliziert und ich verwende es praktisch nur über Passwortsafe. Nun will ich aber weder am lokalen Rechner ein kompliziertes noch an der NAS ein einfaches Passwort.

 

[framp]

Nein. Irgendwann hatte ich Trouble mit meiner Syno weil ich wg einer anderen Sache "rumgespielt habe" und dann habe ich mir ueberlegt das mit LDAP doch sein zu lassen. Es ist nicht unbedingt bei mir noetig und ich will nicht noch mal durch "Spielerei" meine Syno in Trouble bringen. Der Vorteil davon ist man testet mal sein Backup. Aber das dauert und nervt und muss nicht noch mal sein