nexius2 Posté(e) le 21 décembre 2016 Partager Posté(e) le 21 décembre 2016 (modifié) Voici un Tuto pour configurer du LDAP sur un NAS Synology. Normalement, un LDAP, vous savez ce que c’est, sinon, c’est que vous n’en avez pas besoin J. Pour ceux que ça intéresse : https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol D’abord il faut une serveur LDAP. Pour ça, installer directory server Une fois lancé dans settings vous sélectionnez enable LDAP (bas oui, c’est le but…) « as the provider server » ça veut dire que c’est le serveur principal LDAP. C’est donc ici que sera la base de données. Entrez votre FQDN (nom de domaine si vous avez par exemple) et un mot de passe. Essayer de garder un peu de complexité, sécurité oblige. Pour info : la partie « as the consumer server os Synology directory server » sert à créer une réplique du serveur LDAP d’un Synology. Pratique pour des sites distants pour éviter aux clients de venir faire des demandes au serveur LDAP via le WAN à chaque fois. Je trouve cette technique un peu archaïque (proche de NT4 et du PDC BDC) mais comme il n’y a rien d’autre pour ce cas de figure… Si on descend légèrement après avoir validé notre action, ou vois ceci qui est a noté (ça ne disparait pas hein, vous pouvez revenir regarder quand vous voulez) Voilà, votre LDAP existe ! Pour les users, c’est archi simple, je vous explique pas… Pour les groupes, bon, ben c’est pareil…. Maintenant que l’on a un serveur LDAP, il faut des clients (sinon, ça sert à rien J ) Donc panneau de contrôle : On sélectionne Domain/LDAP (oui, le syno peut aussi être connecté à un domaine Windows existant, mais c’est pas le sujet du tuto) On active LDAP et on rentre les infos du serveur qu’on vient de configurer. Pour l’adresse, j’ai mis l’adresse IP donc évidement, c’est en local. Ça doit marcher avec un nom de domaine si DNS bien configuré et pas de problème de loopback (c’est mon cas, et il faut que j’étudie ça un peu plus). L’encryptions, bon ben vous choisissez…. Sécurisé ou pas… Base DC, rappelez-vous, je vous avais dit de noter…mais syno fait bien les choses, il devrait apparaitre seul s’il voit bien le serveur On clic sur apply et si connected apparait en vert, c’est gagné Exercice pratique : Le partage… on va chercher dans le control panel son partage, un petit edit : Dans les permissions on sélectionne LDAP users On sélectionne l’utilisateurs que l’on a créé pour tester et voilà. Très pratique pour avoir un même user pour par exemple gérer tous les backups J Bonus : Vous utilisé CMS (Central Management System) ? vous voulez connecter tous vos syno au serveur LDAP ? c’est par la…. On Install l’applis : On rajoute les serveurs en premier, dans la bonne section, sélectionnez ADD La, à vous de faire le bon choix. Là, c’est du test donc… Je sélectionne ma machine Le mot de passe (pas forcement admin, mais un compte qui a les droits admin sur le syno) Maintenant, on va créer la policy. On n’oublie pas de l’activer…puis on edit… Dans directory service, on sélectionne enable this rule puis on descend un peu… …Pour sélectionner join LDAP. Et on configure. C’est quasiment la même chose que pour un client standard. Seul détail, la case « name » contrairement à ce qu’on peut penser, ce n’est pas le nom du compte qui est demandé, mais le « Bind DN » noté tout a l’heure… On s’assure que la règle est bien appliquée au groupe de serveur, et c’est fini : Modifié le 2 janvier 2017 par nexius2 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 21 décembre 2016 Partager Posté(e) le 21 décembre 2016 Merci @nexius2pour le tuto Il y a 7 heures, nexius2 a dit : Edit: il manque quelques screenshot, j'arrive pas a les uploader, je retesterais plus tard. tu as du dépassé ton cota de photo sur le forum essai avec ce type de liens pour les poster http://www.casimages.com/ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
nexius2 Posté(e) le 21 décembre 2016 Auteur Partager Posté(e) le 21 décembre 2016 merci a toi, j'ai pu corriger 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Novice34 Posté(e) le 12 juin 2020 Partager Posté(e) le 12 juin 2020 Salut Nexius2, bonjour à tous Bravo pour ton tuto!! Je souhaiterai ajouter ma petite expérience (limitée) lorsque l'on veut connecter un second NAS Synology en tant que LDAP consumer et non client (peu importe la raison). Cela peut paraître simpliste comme commentaires ci dessous, néanmoins je n'ai trouvé ces explications nul part. Donc soient 2 NAS Synology, un LDAP host et l'autre LDAP consumer, le LDAP package est installé sur les deux NAS comme indiqué ci dessus par Nexius2 Parenthèse: Mes deux NAS sont distants et utilisent des reverse proxy. Sans rentrer dans les détails techniques que les pros se feront un plaisir d'expliquer, LDAP ne s'utilise pas en reverse proxy. Donc ouverture de port 636 obligatoire (port 389 fermé) sur le routeur et dans le pare-feu du NAS. Cela vous évitera de perdre le temps que j'ai perdu en aficionado du tuto de Kawamashi (excellent par ailleurs) https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/, mais qui ne vous dit pas que le reverse proxy ne s'applique que sur des connections type http ou https (petit coquin!) La config du LDAP host est parfaitement décrite ci-dessus (thumb up!) La création des groupes/utilisateurs se fait dans le LDAP host, mais les autorisations d'accès se font dans les LDAP clients (et oui, c'est si évident pour les pros...mais pas pour nous, utilisateurs lambda) Je n'ai pas trouvé de moyen d'importer les comptes utilisateurs locaux dejà existants dans le LDAP host (please Synology, help!!!) Petite confidence: ne pas donner un nom de compte local existant à un nouveau compte dans le LDAP host. Lors de la connexion, le NAS donne la priorité au compte local même si il est désactivé... et vous plante (je ne vais pas dire combien de temps j'ai perdu avec cette ânerie :=)...) Lors de la config du LDAP consumer, on peut aussi utiliser une adresse DDNS du LDAP host. l'utilisateur LDAP qui sert à lier les deux NAS est créé dans le LDAP host. L'utilisateur doit appartenir au groupe "Directory Default Consumers" et non Directory Default Operators . Petit rappel sur la définition des groupes LDAP: https://www.synology.com/fr-fr/knowledgebase/DSM/help/DirectoryServer/ldap_group Enfin, ça... plante encore! Le LDAP consumer ne se connecte pas au LDAP host, damned! Je me suis donc adressé à l'assistance Synology. Voilà la solution du team en date de Juin 2020: "We found there is a known issue that the library still tries to access the LDAP through port 389 then get timeout. We had changed the code on NAS for this issue now." Et ça fonctionne!!! Malheureusement, je ne sais pas ce qu'ils ont exactement fait pour le partager avec vous. Donc si vous en arrivez là, soit vous connaissez le code que Synology a pu rajouter (un autre tuto?), soit il ne vous reste plus qu'à contacter Synology via l'assistance. Je dois ajouter que le service client Synology est toujours aussi impressionnant par leur qualification, leur rapidité que par leur réelle gentillesse chaque fois que je les ennuie avec mes bêtises d'amateur. J'espère que mon expérience en aidera quelques uns. Bonne journée à tous 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Swagme Posté(e) le 22 septembre 2021 Partager Posté(e) le 22 septembre 2021 (modifié) Le 12/06/2020 à 16:47, Novice34 a dit : Parenthèse: Mes deux NAS sont distants et utilisent des reverse proxy. Sans rentrer dans les détails techniques que les pros se feront un plaisir d'expliquer, LDAP ne s'utilise pas en reverse proxy. Donc ouverture de port 636 obligatoire (port 389 fermé) sur le routeur et dans le pare-feu du NAS. Cela vous évitera de perdre le temps que j'ai perdu en aficionado du tuto de Kawamashi (excellent par ailleurs) https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/, mais qui ne vous dit pas que le reverse proxy ne s'applique que sur des connections type http ou https (petit coquin!) Bonjour @Novice34, Si le reverse proxy ne fonctionne pas, tu pointes donc ton IP public (par exemple 86.22.3.12) et tu as mis une redirection du port 636 TCP de ta box vers le NAS en local (ex. 192.168.1.20), c'est bien ça ? J'ai fait la même chose, mais comme c'est en TLS, le client (en l’occurrence chez moi un container Authelia) qui veut se connecter au serveur LDAP dit que le certificat n'est pas valable (celui de *.mondomaine.fr ne correspondant évidement pas à l'IP local du NAS qui me sert à pointer le serveur LDAP). Comment as-tu contourner ce problème ? EDIT : j'ai pu contourner ça en utilisant le certificat mondomaine.synology.me. Je l'ai associé au service LDAP, et ensuite je pointe mon LDAP avec ldaps://mondomaine.synology.me Par contre, je ne sais pas si ça peut poser un problème de sécurité, par exemple en exposant le LDAP à l'extérieur de mon réseau local ? Sinon je confirme que je ne trouve pas non plus de moyen d'importer les utilisateurs locaux en les convertissant en utilisateur LDAP ; c'est dommage, ce serait très utile ! Modifié le 1 octobre 2021 par Swagme ajout d'un début de résolution 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunmetis Posté(e) le 15 mai Partager Posté(e) le 15 mai SAlut le serveur fonctionne avec mes devices. PAr contre impossible de faire ubuntu client lui causer. Est ce que je peux beneficier de l'aide de quelqu'un je galere depuis une semaine la dessus . J'ai applique ce tuto pourtant https://bobcares.com/blog/configure-ldap-client-ubuntu/ Hellllllllpp 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 16 mai Partager Posté(e) le 16 mai Le 22/09/2021 à 3:54 PM, Swagme a dit : Comment as-tu contourner ce problème ? En créant une zone locale avec le paquet DNS Server. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunmetis Posté(e) le 18 juillet Partager Posté(e) le 18 juillet wow ok . J'utilise un serveur dns de mon nas qui ne pose pas probleme . Peux tu m'en dire plus ?? Pourquoi ? Merci de ton retour , hate de me sortir de ce truc . 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.