Aller au contenu

LDAP sur un NAS Synology


nexius2

Messages recommandés

Voici un Tuto pour configurer du LDAP sur un NAS Synology.

Normalement, un LDAP, vous savez ce que c’est, sinon, c’est que vous n’en avez pas besoin J.

Pour ceux que ça intéresse :

https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

 

D’abord il faut une serveur LDAP. Pour ça, installer directory server

capture20161221082948038.png

 

Une fois lancé dans settings vous sélectionnez enable LDAP (bas oui, c’est le but…) « as the provider server » ça veut dire que c’est le serveur principal LDAP. C’est donc ici que sera la base de données.

Entrez votre FQDN (nom de domaine si vous avez par exemple) et un mot de passe. Essayer de garder un peu de complexité, sécurité oblige.

Pour info : la partie « as the consumer server os Synology directory server » sert à créer une réplique du serveur LDAP d’un Synology. Pratique pour des sites distants pour éviter aux clients de venir faire des demandes au serveur LDAP via le WAN à chaque fois. Je trouve cette technique un peu archaïque (proche de NT4 et du PDC BDC) mais comme il n’y a rien d’autre pour ce cas de figure…

capture20161221083058307.png

 

Si on descend légèrement après avoir validé notre action, ou vois ceci qui est a noté (ça ne disparait pas hein, vous pouvez revenir regarder quand vous voulez)

capture20161221083113462.png

 

Voilà, votre LDAP existe !

Pour les users, c’est archi simple, je vous explique pas…

capture20161221083305666.png

 

Pour les groupes, bon, ben c’est pareil….

capture20161221083324235.png

 

Maintenant que l’on a un serveur LDAP, il faut des clients (sinon, ça sert à rien J )

Donc panneau de contrôle :

capture20161221083135491.png

 

On sélectionne Domain/LDAP (oui, le syno peut aussi être connecté à un domaine Windows existant, mais c’est pas le sujet du tuto)

On active LDAP et on rentre les infos du serveur qu’on vient de configurer.

Pour l’adresse, j’ai mis l’adresse IP donc évidement, c’est en local. Ça doit marcher avec un nom de domaine si DNS bien configuré et pas de problème de loopback (c’est mon cas, et il faut que j’étudie ça un peu plus).

L’encryptions, bon ben vous choisissez…. Sécurisé ou pas…

Base DC, rappelez-vous, je vous avais dit de noter…mais syno fait bien les choses, il devrait apparaitre seul s’il voit bien le serveur

On clic sur apply et si connected apparait en vert, c’est gagné

capture20161221083222246.png

 

Exercice pratique :

Le partage… on va chercher dans le control panel son partage, un petit edit :

capture20161221083415830.png

 

Dans les permissions on sélectionne LDAP users

capture20161221083452823.png

 

On sélectionne l’utilisateurs que l’on a créé pour tester et voilà. Très pratique pour avoir un même user pour par exemple gérer tous les backups J

capture20161221083513019.png


 

 

Bonus :

Vous utilisé CMS (Central Management System) ? vous voulez connecter tous vos syno au serveur LDAP ? c’est par la….

On Install l’applis :

capture20161221083619097.png

On rajoute les serveurs en premier, dans la bonne section, sélectionnez ADD

161221070250486281.png

La, à vous de faire le bon choix. Là, c’est du test donc…

capture20161221083705506.png

Je sélectionne ma machine

capture20161221083800639.png

 

Le mot de passe (pas forcement admin, mais un compte qui a les droits admin sur le syno)

161221070625467377.png

Maintenant, on va créer la policy.

161221070746975863.png

On n’oublie pas de l’activer…puis on edit…

capture20161221083901492.png

Dans directory service, on sélectionne enable this rule puis on descend un peu…

161221070824714152.png

…Pour sélectionner join LDAP. Et on configure. C’est quasiment la même chose que pour un client standard. Seul détail, la case « name » contrairement à ce qu’on peut penser, ce n’est pas le nom du compte qui est demandé, mais le « Bind DN » noté tout a l’heure…

161221070849116006.png

On s’assure que la règle est bien appliquée au groupe de serveur, et c’est fini :

capture20161221084030760.png

 

capture20161221083647768.png

Modifié par nexius2
Lien vers le commentaire
Partager sur d’autres sites

  • 3 ans après...

Salut Nexius2, bonjour à tous

Bravo pour ton tuto!! Je souhaiterai ajouter ma petite expérience (limitée) lorsque l'on veut connecter un second NAS Synology en tant que LDAP consumer et non client (peu importe la raison). Cela peut paraître simpliste comme commentaires ci dessous, néanmoins je n'ai trouvé ces explications nul part.

  1. Donc soient 2 NAS Synology, un LDAP host et l'autre LDAP consumer, le LDAP package est installé sur les deux NAS comme indiqué ci dessus par Nexius2
  2. Parenthèse: Mes deux NAS sont distants et utilisent des reverse proxy. Sans rentrer dans les détails techniques que les pros se feront un plaisir d'expliquer, LDAP ne s'utilise pas en reverse proxy. Donc ouverture de port 636 obligatoire (port 389 fermé) sur le routeur et dans le pare-feu du NAS. Cela vous évitera de perdre le temps que j'ai perdu en aficionado du tuto de Kawamashi (excellent par ailleurs) https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/, mais qui ne vous dit pas que le reverse proxy ne s'applique que sur des connections type http ou https (petit coquin!)
  3. La config du LDAP host est parfaitement décrite ci-dessus (thumb up!)
  4. La création des groupes/utilisateurs se fait dans le LDAP host, mais les autorisations d'accès se font dans les LDAP clients (et oui, c'est si évident pour les pros...mais pas pour nous, utilisateurs lambda)
  5. Je n'ai pas trouvé de moyen d'importer les comptes utilisateurs locaux dejà existants dans le LDAP host (please Synology, help!!!)
  6. Petite confidence: ne pas donner un nom de compte local existant à un nouveau compte dans le LDAP host. Lors de la connexion, le NAS donne la priorité au compte local même si il est désactivé... et vous plante (je ne vais pas dire combien de temps j'ai perdu avec cette ânerie :=)...)
  7. Lors de la config du LDAP consumer, on peut aussi utiliser une adresse DDNS du LDAP host.
  8. l'utilisateur LDAP qui sert à lier les deux NAS est créé dans le LDAP host. L'utilisateur doit appartenir au groupe "Directory Default Consumers" et non Directory Default Operators . Petit rappel sur la définition des groupes LDAP: https://www.synology.com/fr-fr/knowledgebase/DSM/help/DirectoryServer/ldap_group
  9. Enfin, ça... plante encore! Le LDAP consumer ne se connecte pas au LDAP host, damned!

Je me suis donc adressé à l'assistance Synology. Voilà la solution du team en date de Juin 2020: "We found there is a known issue that the library still tries to access the LDAP through port 389 then get timeout. We had changed the code on NAS for this issue now." Et ça fonctionne!!! Malheureusement, je ne sais pas ce qu'ils ont exactement fait pour le partager avec vous.  Donc si vous en arrivez là, soit vous connaissez le code que Synology a pu rajouter (un autre tuto?), soit il ne vous reste plus qu'à contacter Synology via l'assistance. 

Je dois ajouter que le service client Synology est toujours aussi impressionnant par leur qualification, leur rapidité que par leur réelle gentillesse chaque fois que je les ennuie avec mes bêtises d'amateur. J'espère que mon expérience en aidera quelques uns.

Bonne journée à tous

Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...
Le 12/06/2020 à 16:47, Novice34 a dit :

Parenthèse: Mes deux NAS sont distants et utilisent des reverse proxy. Sans rentrer dans les détails techniques que les pros se feront un plaisir d'expliquer, LDAP ne s'utilise pas en reverse proxy. Donc ouverture de port 636 obligatoire (port 389 fermé) sur le routeur et dans le pare-feu du NAS. Cela vous évitera de perdre le temps que j'ai perdu en aficionado du tuto de Kawamashi (excellent par ailleurs) https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/, mais qui ne vous dit pas que le reverse proxy ne s'applique que sur des connections type http ou https (petit coquin!)

Bonjour @Novice34,
Si le reverse proxy ne fonctionne pas, tu pointes donc ton IP public (par exemple 86.22.3.12) et tu as mis une redirection du port 636 TCP de ta box vers le NAS en local (ex. 192.168.1.20), c'est bien ça ?

J'ai fait la même chose, mais comme c'est en TLS, le client (en l’occurrence chez moi un container Authelia) qui veut se connecter au serveur LDAP dit que le certificat n'est pas valable (celui de *.mondomaine.fr ne correspondant évidement pas à l'IP local du NAS qui me sert à pointer le serveur LDAP).

Comment as-tu contourner ce problème ?

EDIT : j'ai pu contourner ça en utilisant le certificat mondomaine.synology.me. Je l'ai associé au service LDAP, et ensuite je pointe mon LDAP avec ldaps://mondomaine.synology.me
Par contre, je ne sais pas si ça peut poser un problème de sécurité, par exemple en exposant le LDAP à l'extérieur de mon réseau local ?


Sinon je confirme que je ne trouve pas non plus de moyen d'importer les utilisateurs locaux en les convertissant en utilisateur LDAP ; c'est dommage, ce serait très utile !

Modifié par Swagme
ajout d'un début de résolution
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.