Remote LDAP (auf Windowsserver) und eine leere Domänennutzerliste

  • Hallo zusammen,


    ich bin schon "länger" nach einer Lösung für mein LDAP-Problem und konnte bisher keine Beitrag mit entsprechender Lösung/Ansatz finden.


    Wir haben ein TVS-671 mit QTS 4.2.1 und möchten diesen mit externen LDAP Server für die Authentifizierung nutzen. LDAP wird von einen Domänencontroller (Windows Server 2012) bereitgestellt.


    Im Bereich "Domain-Sicherheit" wurden die benötigten Daten eingetragen und bei den LDAP-Authentifizierungsoptionen habe ich den Punkt bei "Nur lokale Benutzer..." belassen
    Als Status wird auch "Online" angezeigt. Allerdings werden unter Domänenbenutzer bzw. Domänen-Gruppen keinerlei Einträge angezeigt.


    Einträge in Domain-Sicherheit:

    Code
    LDAP-Server-Host:v998spwdvpxxxx.v998dpvp.v998.internBase DN:DC=V998dpvp,DC=V998,DC=internRoot DN: CN=Q064xxxxx,OU=Dienstkonten,OU=Konten,OU=P064,OU=Kunden,DC=V998dpvp,DC=V998,DC=internBenutzerbasis-DN:OU=Benutzer,OU=Konten,OU=P064,OU=Kunden,DC=V998dpvp,DC=V998,DC=internGruppenbasis-DN: OU=Funktionsgruppen,OU=Gruppen,OU=Verwaltung,OU=P064,OU=Kunden,DC=v998dpvp,DC=v998,DC=intern


    Wenn ich per Putty eine Suchabfrage mache, bekomme ich auch die gewünschten Ergebnisse.


    Anbei ein Beispiel der Abfrage:


    Code
    ldapsearch -x -D 'Q064xxxxx@v998dpvp.v998.intern' -w 'Passwort' -b 'DC=V998dpvp,DC=V998,DC=intern' -H 'ldap://v998spwdvpxxxx.v998dpvp.v998.intern' '(&(objectClass=user)(objectClass=person)(memberOf= CN=P064GGX-AlleBenutzer,OU=Funktionsgruppen,OU=Gruppen,OU=Verwaltung,OU=P064,OU=Kunden,DC=v998dpvp,DC=v998,DC=intern))' 'sn' 'givenName' 'memberOf'


    in der /etc/smb.conf ist folgendes im Bereich ldap eingetragen:


    Code
    ldap admin dn = cn=Q064xxxxx,ou=Dienstkonten,ou=Konten,ou=P064,ou=Kunden,dc=V998dpvp,dc=V998,dc=internldap suffix = dc=v998dpvp,dc=v998,dc=internldap user suffix = OU=Benutzer,OU=Konten,OU=P064,OU=Kunden,DC=v998dpvp,DC=v998,DC=internldap group suffix = OU=Funktionsgruppen,OU=Gruppen,OU=Verwaltung,OU=P064,OU=Kunden,DC=v998dpvp,DC=v998,DC=intern


    Was ich heute festgestellt habe, dass sich die ldap-Einträge in der smb.conf nicht mehr ändern, obwohl ich in der Domänensicherheit zum Test andere Daten hinterlegt habe.
    Ggf. liegt es daran, dass hier "händisch" Änderungen vorgenommen habe?


    Hat schon jemand dieses Problem gehabt und konnte dies auch beheben?
    Bin für jeden TIPP dankbar.


    OK. Mit der smb.conf ist es so. Nur wenn ich bei LDAP-Authentifizierungsoptionen den Punkt bei "Nur LDAP-Benutzer" hinterlege, werden die Einträge in der Datei geändert.


    Das habe ich mal gemacht und nun wird dies eingetragen.

    Code
    ldap admin dn = CN=Q064xxxxx,OU=Dienstkonten,OU=Konten,OU=P064,OU=Kunden,DC=V998dpvp,DC=V998,DC=intern
    ldap suffix = dc=v998dpvp,dc=v998,dc=intern
    ldap user suffix = OU=Benutzer
    ldap group suffix = OU=Funktionsgruppen


    Jedoch kann ich dann nicht mehr auf die Netzlaufwerksfreigaben zugreifen.

  • Hallo Zusammen,


    ich möchte anbei mal eine Zwischenmeldung geben, falls mal "Einer" auf diesen Beitrag stößt und eine Lösung erhofft.


    Es gibt hier im Forum leider nur zu viele Beiträge, die ohne Lösung ihr Zeitliches segnen (obwohl es ggf. doch eine gibt, die leider hier nicht kommuniziert wurde).


    Bisher habe ich keine Lösung gefunden. Selbst mit einen "neuer" NAS, welche ich heute "aufgesetzt" habe.


    Es bleibt beim gleichen Ergebnis. Status Online, aber keinerlei Domänenbenutzer bzw. Domänengruppen werden angeboten.


    Also wenn ich doch mal zum Erfolg kommen sollte, werde ich es euch wissen lassen.


    Gruß Schlaukopf

    Einmal editiert, zuletzt von Schlaukopf () aus folgendem Grund: das Wort "euch" im letzen Satz ergänzt.

  • Im Bereich "Domain-Sicherheit" wurden die benötigten Daten eingetragen und bei den LDAP-Authentifizierungsoptionen habe ich den Punkt bei "Nur lokale Benutzer..." belassen
    Als Status wird auch "Online" angezeigt. Allerdings werden unter Domänenbenutzer bzw. Domänen-Gruppen keinerlei Einträge angezeigt.

    Damit du die LDAP-Benutzer (Domänenbenutzer) in der Benutzerübersicht sehen kannst,
    mußt die Option "LDAP-Authentifizierung" aktivieren,
    ansonsten siehst du wirklich "NUR die lokalen Benutzer"


    Auf einem Zweit-NAS habe ich einen LDAP-Server am laufen und dort ebenso "nur lokale Benutzer" aktiviert und sehe genauso keine LDAP-benutzer.
    Auf meinem NAS mit einer NT4-Domänen-Kontroller ist dies aber der Fall, da ich dort "LDAP-Authentifizierung" aktiviert habe.



    Code
    ldap admin dn = DN=Q064xxxxx,OU=Dienstkonten,OU=Konten,OU=P064,OU=Kunden,DC=V998dpvp,DC=V998,DC=internldap suffix = dc=v998dpvp,dc=v998,dc=internldap user suffix = OU=Benutzerldap group suffix = OU=Funktionsgruppen

    Aus diesen Angaben baut sich SAMBA die LDAP-Pfade:

    Code
    OU=Benutzer,dc=v998dpvp,dc=v998,dc=intern
    OU=Funktionsgruppen,dc=v998dpvp,dc=v998,dc=intern


    Es entspricht damit nicht den ersten Angaben für den LDAP-Zugriff.

  • Hallo Zusammen,


    Eraser-EMC2 : erstmal danke für die Info und das du dich dem Thema angenommen hast.


    Das mit den aktivieren der "LDAP-Authentifizierung"? habe ich mittlerweile herausgefunden.


    Ich möchte mal kurz meine Umbebung beschreiben.


    Der NAS befindet sich in KEINER Domäne, da dies vom externer Domänenverwalter (==> Nachfolgend mit DW benannt) nicht gewünscht wird.
    Alle Benutzer (User) haben ein Domänenkonto und arbeiten akuell mit Windows 7.
    Per Login-Script werden NAS-Freigaben zugewiesen bzw. der User kann sich diese "händisch" aufrufen.
    Hierbei muss aber das aktuelle Domänenkennwort dem Kennwort auf dem NAS gleichen (synchron), da ansonsten die Laufwerke nicht eingebunden werden.


    Die LDAP-Struktur wurde vom DW erstellt und bleibt so wie sie ist.


    Auf Grund dieser verzweigten Struktur kann QTS diese nicht im Samba auflösen. Selbst wenn ich die smb.conf händisch anpasse, werden keine Domänenbenutzer / Domänengruppen im Bereich Benutzer / Gruppen angezeigt.



    Fazit:
    Das Remote-LDAP, welches auf einen Windows-Domänenserver (PDC) verbindet, ist für meine Umgebung nicht geeignet und ich muss eine andere Lösung verwenden.


    Umgebungslösung / Ersatzlösung:
    Alle von mir erstellen lokalen Bentzer bzw. Gruppen wurden gelöscht, da es keine lokalen Benutzer und Domänenbenutzer mit dem selben Namen geben darf (ist halt so. QTS bringt sonst gleich eine Warnung, sobald man auf "Lokalen LDAP-Server" in der "Domänen-Sicherheit" umstellt).
    Auf einen NAS (TVS-671) einen LDAP-Server aktiviert und dann Benutzer und Gruppen angelegt, um eine zentrale Benutzerverwaltung für die restlichen NAS zu haben.
    Dann im Bereich "Domain-Sicherheit" den lokalen-LDAP-Server ausgewählt und "Nur LDAP-Benutzer"aktiviert (wird zwar nicht empfohlen, aber es geht dennoch).


    Auf den anderen NAS (TS-253A) den LDAP-Server auf den Remote-NAS ausgewählt und wieder "Nur LDAP-Benutzer"aktiviert.


    Läuft ohne Probleme (bisher).



    Nachteil für mich:
    Sobald die User in der Domäne ihr Kennwort ändern bzw. ändern müssen, ist es notwendig, dass Sie das Kennwort auf den NAS auf das aktuelle (neue) Domänenkennwort ändern müssen (synchron). Sonst kommen Sie nicht über den Windowsexplorer auf die NAS-Freigaben.
    Das wollte ich eigentlich vermeiden.



    Eine Frage habe ich noch zum lokalen LDAP-Server:
    Mann kann ja den LDAP-Server sichern und somit wiederherstellen.
    Werden bei solch einer Sicherung auch die Passwörter der "Domänenbenutzer" gesichert, damit man bei einen Backup nicht allen Benutzern ein neues Passwort vergeben muss?



    Gruß


    Schlaukopf

    Einmal editiert, zuletzt von Schlaukopf () aus folgendem Grund: Text ergänzt (Abschlußfrage).