Pomoc LDAP na Qnap - prośba o wytłumaczenie kilku spraw laikowi

[GoRo33]

Cześć

Próbuje okiełznać temat serwera LDAP udostępnianego przez Qnap. Wymyśliłem sobie, że podepnę Nextcloud'a pod LDAP, żeby mieć dostęp z pozycji tych samych użytkowników i nie musieć zakładać nowych kont. Problem mam w tym, że za chiny ludowe nie mogę podpiąć się pod serwer. Ogólnie ciągle zgłasza mi się błąd z połączeniem do serwera. Aby nie walczyć bezsensownie, próbowałem podpiąć się z Mac'a pod serwer LDAP - dostaję błąd że serwer nie został wykryty. Stworzyłem sobie taką oto konfigurację serwera:

Nazwa Domeny: dom.local
główny DN: cd=admin,dc=dom,dc=local
Użytkownik Bazowego DN: ou=people,dc=dom,dc=local
Grupy bazowego DN: ou=group,dc=dom,dc=local


Bardziej doświadczeni koledzy, proszę powiedzcie mi:

- Jak połączyć się z bazą LDAP na Qnapie? Wystarczy adres LDAP://Ip-komputera ? - U mnie tak nie działa
- Czy nazwa domeny może być taka jaką wymyśliłem tzn. dom.local czy musi to być nazwa wykupionej i używanej domeny np. mojanazwa.pl
- Może zna ktoś jakiś inny sposób aby udostępnić bazę użytkowników z Qnapa dla Nextcloud'a?


Z góry dziękuje za podpowiedzi!

Wersja oprogramowania Firmware: 4.3.3. 0262 Build 20170727
Model serwera: QNAP TS-453B mini.

 

[hijax]

Ten serwer działa bez problemów z Linuksem. Mam kilka serwerów podpiętych do Qnap LDAP i jest OK. Trzeba tez podać hasło wpisane w konfiguracji LDAP w QTS. Ja sam serwer ten konfiguruje zewnętrznie: przez webowego phpldapadmina. Dlatego, bo musiałem wpisać m.in. shelle i konkretne numery Uid/Gid.

Z OSX nie działa. Jest to zgłoszone i maja poprawiać kiedys. KIedy? Nie wiadomo.
Sam QTS ma problemy bo np nie jestes w stanie użyć grup domenowych (LDAP) w parametrach współdzielenia folderów. W przywilejach zaawansowanych juz tak, ale w parametrach udziału NFS juz nie. Nie ma nadzoru architektonicznego chyba, a na pewno analizy wymagać i spójnej wizji. Wyglada jakby rożne zespoły rożne elementy w QTS tworzyły. To tez zgłoszone jest. Kolejny problem to dziwaczne podejście do backapu i odtwarzania bazy LDAP. Tego juz nie zgłaszałem a sie prosi.

Nextclouda nie używam.

 

[GoRo33]

OK, dzięki za informację. To rozwiązuje kilka moich wątpliwości.
Może w takim razie lepszym rozwiązaniem jest postawienie kontenera w dokerze z OpenLDAP?

 

[hijax]

Dlatego, że OSX się nie podłącza? Myślę, że w docekrze będzie więcej problemów. QTS potrafi losować adresy MAC, co uniemożliwia stosowanie statycznych IP i jakiejś formy zabezpieczen sieci. Poza tym, ten LDAP w QTS to też OpenLDAP chyba.Tzn genralnie QTS jest oparty na popularnych komponentach linuksowych, jedynie ich konfiguracja często woła o pomstę do nieba. Wygląda to tak, że skupiają się na VideoStation, PhotoStation itp, a te serwerowe sprawy leżą na boku.

Gdzieś czytałem, że jak się stosuje domenę 'local' to się OSX poddaje.
U mnie jest domena hijax.int i wszystko działa za wyjątkiem OSX właśnie. Także nie tędy droga. OSX potrzebuje generalnie SSL

W Linuksach podaje uri ldap://nas.hijax.int a base dc oraz rootbdn zgodnie z ustawieniami w QTS. Ponieważ wszystkie maszyny wirtualne startują u mnie z tego samego master image, mam skypty, które na podstawie MAC konfigurują odpowiednie usługi.

Kawałek poniżej, odpowiedzialny zaskonfigurowanie ldapowej autentykacji.

#install ldap
echo "Checking LDAP..."
if [ ! -f /etc/ldap.secret ]; then
	echo " Activating LDAP authentication"
	apt-get -qq -y install libpam-ldap nscd > /dev/null
	sed -i "s/^\(base dc=\)example,dc=net$/\1hijax,dc=int/" /etc/ldap.conf
	sed -i "s/^\(uri ldap\)i.*$/\1:\/\/nas.hijax.int/" /etc/ldap.conf
	sed -i "s/^\(rootbinddn \).*$/\1cn=admin,dc=hijax,dc=int/" /etc/ldap.conf
	echo ${password} > /etc/ldap.secret
	chmod 600 /etc/ldap.secret
	sed -i "s/^\(passwd: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
	sed -i "s/^\(group: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
	sed -i "s/^\(shadow: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
	echo "sudoers:        ldap files" >> /etc/nsswitch.conf
	cat << EOF >> /etc/pam.d/common-session
session required  pam_mkhomedir.so skel=/etc/skel umask=0022
EOF
	/etc/init.d/nscd restart
	echo " Done"
fi

Jak widać na debianowo/ubuntowej architekturze to w zasadzie zmiana paru linijek.
A w QTS konfiguracja wygląda u mnie jak poniżej.

 

[Kingu]

"Wygląda to tak, że skupiają się na VideoStation, PhotoStation itp, a te serwerowe sprawy leżą na boku." - mam te same odczucia.
Szczególnie denerwuje mnie brak spójności zarządzania uprawnieniami - raz wszystkie grupy, raz tylko lokalne... coraz częściej mam ochotę z samego QNAPa zostawić tylko żelastwo, bo jest dobre a soft zamienić na jakiegoś hypervisora.