LDAP sur Syno pour connection win 7 ?

[Myghalloween]

Bonjour,

Je pense que mon titre n'est pas très explicite, je vais donc essayer de vous expliquer ce que j'aimerais faire avec mon Nas Syno.

En gros j'ai un NAS sur lequel je centralise un maximum de chose (comme beaucoup j'imagine) mais j'aimerais passer une étape en plus :

J'ai 3 ordinateurs sous win 7 en plus du NAS, et il y a 4 utilisateurs... Donc je me tape la config des utilisateurs sur chaque ordi avec une synchro via SyncBack Pro sur chaque PC pour que chacun retrouve ses petits partout. L'inconvénient c'est que les données sont dupliquées 4 fois... niveau économie d'espace c'est pas top, et quand j'ai un nouveau PC, faut tout se retaper...Bref, vous connaissez la musique...

J'aimerais faire en sorte que lorsqu'un utilisateur se connecte avec un identifiant et un mdp sur l'ordi win 7, il charge sa session depuis le NAS, comme pourrais le faire un serveur win vers les clients avec Active Directory. Comme ça les documents et le bureau des utilisateurs sont stockés sur le NAS et l'administration est beaucoup plus simple...

C'est possible ? Quelles sont les solutions existantes ou les bricolages possibles ?

Merci

[Fenrir]

Plusieurs manières de faire :

• déplacer les "profils" utilisateurs sur un partage du nas, puis sur chaque pc, modifier l'emplacement du "profil" pour qu'il pointe sur le nas
• utiliser les liens windows (pas les raccourcis, les liens mklink) qui pointent sur des lecteurs réseaux
• régler les applis pour qu'elles stockent leurs infos sur le nas

[Myghalloween]

OK, alors le problème avec ces solutions c'est que je dois quand même créer les profiles sur chaque PC, ou alors j'ai rien compris... L'idée pour moi c'est que sur chaque PC il suffise d'entrer l'ID + mdp sans pour autant que les profiles aient été créé pour que le profile se charge à l'ouverture de session... comme Active Directory... C'est sûr qu'il faut penser à synchro régulièrement

[Fenrir]

Même avec un AD, le profil n'est créé que quand l'utilisateur se connecte

Pour créer les comptes : net user login password /ADD

Ensuite tu as juste à bien configurer le profil par défaut : https://support.microsoft.com/en-us/kb/973289

[Myghalloween]

Excuse moi si je comprends pas vite. En gros je me log en admin pour créé un profil par défaut sur un PC, que je réplique ensuite sur chaque PC ou que je mets en partage sur le NAS ?

Quand quelqu'un va se logguer pour la première fois sur un PC le profil par défaut va se charger sur le PC ou cela reste sur le NAS ?

 

J'ai un peu de mal a suivre je suis novice dans ce domaine... Peux tu m'expliquer ce qu'est "net user login password /ADD " ?

Est-ce que "directory server" peux faire ce que je veux ?

Modifié le 2 juillet 2016 par Myghalloween

[Fenrir]

il y a 2 minutes, Myghalloween a dit :

Peux tu m'expliquer ce qu'est "net user login password /ADD " ?

Cette question m'indique qu'il te manque beaucoup de connaissance (ce n'est pas une critique), peut être trop pour arriver à faire ce que tu souhaites.

Pour te répondre, c'est à saisir dans une fenêtre de commande (tu peux tester sur ton pc, c'est sans risque, ça va juste créer un compte).

1. tu te créés un script à lancer sur chaque nouveau pc avec la liste des comptes à créer, ça sera déjà ça de moins à faire à la main
2. puis tu trouve comment automatiser ce que j'ai indiqué dans les autres messages

-----------

à l’instant, Myghalloween a dit :

Est-ce que "directory server" peux faire ce que je veux ?

Non, pas tout seul, il faut aussi un serveur samba (et un kerberos + un dns), tu peux regarder ici : https://forum.synology.com/enu/viewtopic.php?t=45527

Mais ça ne permettra QUE de centraliser l'authentification, pour les profils, les GPO, ... il faudra de toute manière scripter

[Myghalloween]

Tu as parfaitement raison sur le manque de connaissance dans ce domaine, mais je dois bien commencer par quelque chose pour apprendre ^^

Déjà je constate qu'il n'existe pas de solution "clé en main" pour le moment. Cela dit, le bricolage peut être une bonne alternative mais j'ai l'impression que cela va complexifier mon système actuel avec SyncBack (les profiles sont finalement déjà présent sur le NAS pour être centralisé puis synchronisés sur chaque PC).

Néanmoins, je vois un avantage à ce que tu m'avances, c'est que les profiles ne sont pas dupliqués sur chaque PC, ils sont seulement sur le NAS et on y accède par les hardlink windows (tu me dis si je me trompe !).

Donc si j'ai bien suivi et compris, je dois créer un script que je lancerai sur chaque PC pour qu'il me créé les profiles qui doivent être présent sur la machine et également créé les hardlink pour avoir accès aux données du NAS (j'ai bon ?)

Cette solution n'est fonctionnel qu'en local je pense ? Avec un PC portable à l'extérieur c'est mort ?

Quand tu dis de régler les applis pour qu'elles stockent sur le NAS, est ce vraiment nécessaire puisqu'elles sont censés se référer aux hardlinks, donc faire comme si le profiles était sur la machine, non ?

[Fenrir]

il y a 1 minute, Myghalloween a dit :

Néanmoins, je vois un avantage à ce que tu m'avances, c'est que les profiles ne sont pas dupliqués sur chaque PC, ils sont seulement sur le NAS et on y accède par les hardlink windows (tu me dis si je me trompe !).

c'est presque ça, il restera toujours une partie du profil en local (certains morceaux doivent rester en local) : http://leviticus.me/computers/folder-redirection/

il y a 10 minutes, Myghalloween a dit :

Cette solution n'est fonctionnel qu'en local je pense ? Avec un PC portable à l'extérieur c'est mort ?

si ton nas est accessible en VPN IPsec depuis internet c'est gérable, mais l'ouverture de session sera lente

il y a 12 minutes, Myghalloween a dit :

Quand tu dis de régler les applis pour qu'elles stockent sur le NAS, est ce vraiment nécessaire puisqu'elles sont censés se référer aux hardlinks, donc faire comme si le profiles était sur la machine, non ?

Toutes les applis ne stockent pas les paramètres dans le dossier de l’utilisateur, beaucoup utilisent cette horreur de base de registre, d'autres le font dans program data, ... mais celles qui on été codés proprement permettent de choisir l'emplacement des conf, ça fait toujours ça de moins à gérer

[Myghalloween]

il y a 34 minutes, Fenrir a dit :

c'est presque ça, il restera toujours une partie du profil en local (certains morceaux doivent rester en local) : http://leviticus.me/computers/folder-redirection/

Intéressant ton lien. Je ne comprends pas tout en anglais mais l'essentiel est compris je pense. Grâce à ça je prends conscience que ce n'est pas si mal de répliquer sur les NAS et les machines comme je le fais actuellement, notamment en cas de coupure réseau ou crash disque, car du coup on est bloqué... Lui utilise le mode offline de windows si j'ai bien compris, donc seul les fichiers sélectionnés sont dispos en locale... ça reste une faille en cas de problème

il y a 34 minutes, Fenrir a dit :

si ton nas est accessible en VPN IPsec depuis internet c'est gérable, mais l'ouverture de session sera lente

Mon NAS est accessible via le service dyndns du syno. Je n'ai pas encore configuré le VPN et je n'ai pas d'IPsec (IPsec = IP fixe ?)

il y a 34 minutes, Fenrir a dit :

Toutes les applis ne stockent pas les paramètres dans le dossier de l’utilisateur, beaucoup utilisent cette horreur de base de registre, d'autres le font dans program data, ... mais celles qui on été codés proprement permettent de choisir l'emplacement des conf, ça fait toujours ça de moins à gérer

Je comprends. Bon à ce niveau là c'est pas le plus problématique si ça reste en locale.

[Fenrir]

Il y a 15 heures, Myghalloween a dit :

IPsec = IP fixe ?

non, c'est un type de VPN standard (donc utilisable à l'ouverture de session)

Il y a 15 heures, Myghalloween a dit :

Je comprends. Bon à ce niveau là c'est pas le plus problématique si ça reste en locale.

de ce que je comprends, tu veux synchroniser les fichiers des utilisateurs (les docs, images, ...) => regarde du coté de CloudStation

[Myghalloween]

Ok pour VPN IPsec. C'est pas encore fait chez moi mais j'y pense.

En fait je voulais surtout éviter de dupliquer les bureaux entre NAS et PC, mais ça semble dangereux pour les raisons que j'ai évoqués et finalement complexe pour gagner 10go grand max (ce ne sont que des docs et fichiers de programmes sur les profils "utilisateur", les gros fichiers sont directement sur le NAS : video musique photos...).

J'utilise déjà cloudstation entre mon pc portable et le NAS pour les dossiers itinérant, pour le reste SyncBack est beaucoup plus performant et flexible pour mes besoins (je n'aurais pas cloudstation si j'arrivais à faire fonctionner un soft comme SyncBack via internet mais je n'ai pas trouvé... j'ai l'impression que c'est uniquement en local... peut être du coté de GoodSync... )

[synolivier]

Bonjour Mygahallowen,

Ton message est déjà ancien, mais je serais intéressé de savoir si tu t'en est sorti. Voilà quelques clés pour t'aider si c'est toujours à l'ordre du jour pour toi :

Personnellement, j'ai un NAS syno sur un rézo hétérogène. J'ai paramétré le NAS pour authentifier les utilisateurs sur un LDAP que j'utilise depuis longtemps : cela fonctionne parfaitement bien.

Cela dit, pour que les partages CIFS authentifiés sur LDAP fonctionnent, j'ai du faire deux choses du côté de l'annuaire.

D'une part intégrer le schéma samba et activer le module samba pour chaque compte :

https://help.ubuntu.com/lts/serverguide/samba-ldap.html

Attention, l'attribu de stockage du mot de passe unix est différent de celui stockant le mot de passe samba dans l'annuaire (c'est lié au fait que l'encodage diffère) : ma préconisation pour éviter de se faire des cheveux blancs est d'utiliser une interface de gestion des mdp qui met à jour à la fois le mdp unix et le mdp samba dans l'annuaire.

Par ailleurs (et là je n'ai pas vraiment trouvé pourquoi), il faut aussi avoir activé le module shadowAccount dans les comptes ldap (c'est une classe d'objet que l'on trouve dans le schéma nis) : les comptes ldap qui n'ont pas ce module activé sont (dans mon cas en tous cas) considérés par le NAS comme étant désactivés.

Une fois que cela est fait, tu peux monter depuis windows les partages proposés par le NAS. Si l'utilisateur n'est pas encore authentifié par LDAP lorsqu'il essaye d'accéder à un partage, une fenêtre s'ouvre et l'utilisateur peut entrer son login/mdp ldap et ça fonctionne très bien.

Note : je fais marcher ça aussi en afp pour macos, la encore l'authentification sur LDAP marche très bien.

Ce que je n'ai pas essayé de faire par contre, c'est authentifier l'utilisateur sur  LDAP accéder à sa session windows  (si j'arrivais à faire ça ce serait parfait car il aurait immédiatement accès aux partages du NAS sans avoir à entrer à nouveau ses identifiants LDAP). Si tu savais faire ça (authentifier les accès windows sur ldap), j'apprécierais ton aide/retour d'exp en réponse ici ou via MP.

Merc

Olivier