Udzielamy pomocy LDAP na Qnap - prośba o wytłumaczenie kilku spraw laikowi

Dyskusja w 'Windows Active Directory' rozpoczęta przez użytkownika GoRo33, 11 Sierpień 2017 o 16:40.

Ładowanie...
  1. GoRo33
    Offline

    GoRo33 Passing Basics Beginner

    Dołączył:
    24 Sierpień 2016
    Wiadomości:
    14
    Miejscowość:
    Szczecin
    Local Time:
    21:24
    Oceny:
    +2 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Synology:
    DS115J + 1xHDD 2 TB; RT-1900ac;
    Ethernet:
    100 Mbps
    TS-x53 100 Mbps
    Cześć

    Próbuje okiełznać temat serwera LDAP udostępnianego przez Qnap. Wymyśliłem sobie, że podepnę Nextcloud'a pod LDAP, żeby mieć dostęp z pozycji tych samych użytkowników i nie musieć zakładać nowych kont. Problem mam w tym, że za chiny ludowe nie mogę podpiąć się pod serwer. Ogólnie ciągle zgłasza mi się błąd z połączeniem do serwera. Aby nie walczyć bezsensownie, próbowałem podpiąć się z Mac'a pod serwer LDAP - dostaję błąd że serwer nie został wykryty. Stworzyłem sobie taką oto konfigurację serwera:

    Nazwa Domeny: dom.local
    główny DN: cd=admin,dc=dom,dc=local
    Użytkownik Bazowego DN: ou=people,dc=dom,dc=local
    Grupy bazowego DN: ou=group,dc=dom,dc=local


    Bardziej doświadczeni koledzy, proszę powiedzcie mi:

    - Jak połączyć się z bazą LDAP na Qnapie? Wystarczy adres LDAP://Ip-komputera ? - U mnie tak nie działa
    - Czy nazwa domeny może być taka jaką wymyśliłem tzn. dom.local czy musi to być nazwa wykupionej i używanej domeny np. mojanazwa.pl
    - Może zna ktoś jakiś inny sposób aby udostępnić bazę użytkowników z Qnapa dla Nextcloud'a?


    Z góry dziękuje za podpowiedzi!

    Wersja oprogramowania Firmware: 4.3.3. 0262 Build 20170727
    Model serwera: QNAP TS-453B mini.
     
  2. hijax
    Offline

    hijax Passing Basics Beginner

    Dołączył:
    9 Kwiecień 2017
    Wiadomości:
    15
    Local Time:
    21:24
    Oceny:
    +4 / 0 / -0
    Followers:
    0
    QNAP:
    TVS-x82
    Ethernet:
    802.11ad
    TVS-x82 802.11ad
    Ten serwer działa bez problemów z Linuksem. Mam kilka serwerów podpiętych do Qnap LDAP i jest OK. Trzeba tez podać hasło wpisane w konfiguracji LDAP w QTS. Ja sam serwer ten konfiguruje zewnętrznie: przez webowego phpldapadmina. Dlatego, bo musiałem wpisać m.in. shelle i konkretne numery Uid/Gid.

    Z OSX nie działa. Jest to zgłoszone i maja poprawiać kiedys. KIedy? Nie wiadomo.
    Sam QTS ma problemy bo np nie jestes w stanie użyć grup domenowych (LDAP) w parametrach współdzielenia folderów. W przywilejach zaawansowanych juz tak, ale w parametrach udziału NFS juz nie. Nie ma nadzoru architektonicznego chyba, a na pewno analizy wymagać i spójnej wizji. Wyglada jakby rożne zespoły rożne elementy w QTS tworzyły. To tez zgłoszone jest. Kolejny problem to dziwaczne podejście do backapu i odtwarzania bazy LDAP. Tego juz nie zgłaszałem a sie prosi.

    Nextclouda nie używam.
     
    • Lubię to! Lubię to! x 1
  3. GoRo33
    Offline

    GoRo33 Passing Basics Beginner

    Dołączył:
    24 Sierpień 2016
    Wiadomości:
    14
    Miejscowość:
    Szczecin
    Local Time:
    21:24
    Oceny:
    +2 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Synology:
    DS115J + 1xHDD 2 TB; RT-1900ac;
    Ethernet:
    100 Mbps
    TS-x53 100 Mbps
    OK, dzięki za informację. To rozwiązuje kilka moich wątpliwości.
    Może w takim razie lepszym rozwiązaniem jest postawienie kontenera w dokerze z OpenLDAP?
     
  4. hijax
    Offline

    hijax Passing Basics Beginner

    Dołączył:
    9 Kwiecień 2017
    Wiadomości:
    15
    Local Time:
    21:24
    Oceny:
    +4 / 0 / -0
    Followers:
    0
    QNAP:
    TVS-x82
    Ethernet:
    802.11ad
    TVS-x82 802.11ad
    Dlatego, że OSX się nie podłącza? Myślę, że w docekrze będzie więcej problemów. QTS potrafi losować adresy MAC, co uniemożliwia stosowanie statycznych IP i jakiejś formy zabezpieczen sieci. Poza tym, ten LDAP w QTS to też OpenLDAP chyba.Tzn genralnie QTS jest oparty na popularnych komponentach linuksowych, jedynie ich konfiguracja często woła o pomstę do nieba. Wygląda to tak, że skupiają się na VideoStation, PhotoStation itp, a te serwerowe sprawy leżą na boku.

    Gdzieś czytałem, że jak się stosuje domenę 'local' to się OSX poddaje.
    U mnie jest domena hijax.int i wszystko działa za wyjątkiem OSX właśnie. Także nie tędy droga. OSX potrzebuje generalnie SSL

    W Linuksach podaje uri ldap://nas.hijax.int a base dc oraz rootbdn zgodnie z ustawieniami w QTS. Ponieważ wszystkie maszyny wirtualne startują u mnie z tego samego master image, mam skypty, które na podstawie MAC konfigurują odpowiednie usługi.

    Kawałek poniżej, odpowiedzialny zaskonfigurowanie ldapowej autentykacji.

    Kod (Text):
    1.  
    2. #install ldap
    3. echo "Checking LDAP..."
    4. if [ ! -f /etc/ldap.secret ]; then
    5.     echo " Activating LDAP authentication"
    6.     apt-get -qq -y install libpam-ldap nscd > /dev/null
    7.     sed -i "s/^\(base dc=\)example,dc=net$/\1hijax,dc=int/" /etc/ldap.conf
    8.     sed -i "s/^\(uri ldap\)i.*$/\1:\/\/nas.hijax.int/" /etc/ldap.conf
    9.     sed -i "s/^\(rootbinddn \).*$/\1cn=admin,dc=hijax,dc=int/" /etc/ldap.conf
    10.     echo ${password} > /etc/ldap.secret
    11.     chmod 600 /etc/ldap.secret
    12.     sed -i "s/^\(passwd: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
    13.     sed -i "s/^\(group: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
    14.     sed -i "s/^\(shadow: *\)\(.*\)/\1ldap \2/" /etc/nsswitch.conf
    15.     echo "sudoers:        ldap files" >> /etc/nsswitch.conf
    16.     cat << EOF >> /etc/pam.d/common-session
    17. session required  pam_mkhomedir.so skel=/etc/skel umask=0022
    18. EOF
    19.     /etc/init.d/nscd restart
    20.     echo " Done"
    21. fi
    22.  
    Jak widać na debianowo/ubuntowej architekturze to w zasadzie zmiana paru linijek.
    A w QTS konfiguracja wygląda u mnie jak poniżej.

    Screen Shot 2017-08-12 o 13.51.20.
     
  5. Kingu
    Offline

    Kingu Entry Technician Q Associate

    Dołączył:
    19 Listopad 2015
    Wiadomości:
    50
    Local Time:
    21:24
    Oceny:
    +10 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    "Wygląda to tak, że skupiają się na VideoStation, PhotoStation itp, a te serwerowe sprawy leżą na boku." - mam te same odczucia.
    Szczególnie denerwuje mnie brak spójności zarządzania uprawnieniami - raz wszystkie grupy, raz tylko lokalne... coraz częściej mam ochotę z samego QNAPa zostawić tylko żelastwo, bo jest dobre a soft zamienić na jakiegoś hypervisora.
     

Poleć tę stronę

Użytkownicy znaleźli te stronę szukając słów:

  1. https://forum.qnap.net.pl/threads/ldap-na-qnap-pro%C5%9Bba-o-wyt%C5%82umaczenie-kilku-spraw-laikowi.21931/