CT LDAP und Synology

samu95

Hat noch keiner eine Verbindung von Synology zum LDAP Dienst hinbekommen?
Woran könnte das liegen?

samu95

kleiner Erfolg: Nach mehreren Stunden ausprobieren und Dokumentationen lesen bin ich heute einen Schritt weiter gekommen. Ich habe die LDAP Verbindung erfolgreich hinbekommen, weiter unten meine Konfiguration.
Jetzt aber das nächste Problem:
Die Benutzer und Gruppen sind zwar alle vorhanden, ich kann aber keine davon bearbeiten. Wenn ich einen Benutzer bearbeiten möchte, erhalte ich die Fehlermeldung

Die Benutzerdaten konnten nicht geladen werden

Wenn ich eine Gruppe bearbeiten möchte, öffnet sich zwar kurz das Fenster zur Bearbeitung, schließt sich aber direkt wieder. Außerdem kann ich mich mit den Benutzern nicht anmelden, weder über Benutzername noch über die Mailadresse.

Ich bin nicht so gut mit dem System der Synology vertraut, komme hier nicht weiter. Aber vielleicht hilft der erste Schritt jemandem von euch, hier weiterzukommen. Evtl funktioniert es auch mit einer älteren Version vom DSM, bei uns ist die aktuelle version 7.0.1 installiert.

Hier meine Konfiguration des Profils:

Filter
passwd: (objectClass=CTPerson)
group: (objectClass=CTGroupDienst) // Dienst ist der Gruppentyp, kann ersetzt werden

Group
cn: cn
gidNumber: id
memberUid: uniqueMember

passwd
uidNumber: id
uid: uid
gidNumber: memberof

patrick

@samu95

Hallo samu95,

wir möchten das gleiche tun und sind leider ein Stückweiter auch gescheiter!
An bei unsere Konfiguration und Fehlermeldung:

Konfiguration:

Fehlermeldung:

Vielleicht hast du eine Idee oder hast eine Lösung gefunden.

VG Patrick

samu95

Ist mittlerweile schon ein Jahr her, aber ich habe mich in den letzten Wochen wieder mit dem Thema beschäftigt. Mit Hilfe vom Log und dem Synology Support habe ich festgestellt, dass die Verknüpfungen zwischen Benutzer und Gruppe zwingend eine Zahl sein muss. Der CT LDAP Server liefert aber den "Distinguished Name" (cn=user1,ou=users,o=xxx). Damit kann Synology nicht umgehen. Auch der Umweg über die HASH Funktion hilft da nicht weiter.

Mit dieser Information habe ich mir jetzt eine Zwischenlösung gebaut, die fürs erste funktioniert. Aber nur, weil wir in der Synology nur eine CT Gruppe nutzen wollen.
Daher habe ich den Filter so gesetzt, dass nur die User einer bestimmten Gruppe geladen werden. den Gruppenfilter habe ich komplett freigelassen. Die verknüpfte Gruppen habe ich gezwungenermaßen auf "postalCode" gesetzt, weil anscheinend eine Eingabe Pflicht ist und es die einzige Nummer neben der UserID ist. Am Ende noch ein Screenshot.
Bei einigen Benutzern hatte ich noch ein Problem mit dem Benutzernamen, das konnte ich beheben, indem ich bei CT den Benutzernamen geändert habe. Anscheinend werden zahlen im Benutzernamen nicht akzeptiert. Jetzt läuft alles so wie es soll. Wie gesagt, die Gruppen kann man damit nicht nutzen, aber die brauchen wir aktuell auch nicht.
Hier nochmal der vollständige Inhalt der passwd Zeile, damit wird nur diese Gruppe gefiltert:

(&(objectClass=CTPerson)(memberof=cn=gruppenname,ou=groups,o=xxx))

Vielleicht hilft das ja dem ein oder anderen weiter. Und könnte bei Gelegenheit jemand von den @ChurchToolsMitarbeiter sich das mal anschauen und entsprechend anpassen, damit die Gruppenverknüpfung funktioniert.

davidschilling

@samu95 Die Frage ist ob das was der CT LDAP macht hier laut LDAP Spezifikation falsch ist oder Synology die Spezifikation nicht richtig implementiert hat.

simsa

Gibt es hier inzwischen Neuigkeiten bzw. eine Beispielkonfiguration, wie man ein Synology NAS mit Churchtools per LDAP verbinden kann?

patrick

@davidschilling

Ich vermute das
https://github.com/zentyal/samba/blob/master/examples/LDAP/samba.schema

patrick

@samu95
Hattest du diesen Fehler auch?

Wenn Ja, Wie hast du diesen Fehler behoben ?

smhr

UPDATE 22.04.2024: Die Benutzer/Gruppen funktionieren nun mit der unten genannten Konfiguration - ein Fehler bleibt (s.u.).

---

Ich habe es mit der folgenden Konfiguration zum Laufen bekommen:

Anstelle von leuchtturm die eigene Churchtools-Subdomain eintragen.

Unter Benutzerdefiniert die folgenden Einstellungen vornehmen:

objectClass=CTGroupDienst heißt, dass nur die Gruppen vom Typ Dienst angezeigt werden. Wenn alle angezeigt werden sollen, dann objectClass=group

Damit werden Personen & Gruppen in Synology angezeigt.

Es gibt leider immer noch einen Bug (Beim Suchen von Gruppen wird fälschlicherweise zwischen Groß- und Kleinschreibung unterschieden), sodass man Benutzer oder Gruppen nicht zuweisen kann. Das liegt an einer fehlerhaften Implementierung des LDAP Servers. Zumindest mit dem selbst gehosteten LDAP Service von https://github.com/milux/ctldap sollte es aber funktionieren - da ist der Bug behoben.

simsa

@samu95 sagte in CT LDAP und Synology:

Ist mittlerweile schon ein Jahr her, aber ich habe mich in den letzten Wochen wieder mit dem Thema beschäftigt. Mit Hilfe vom Log und dem Synology Support habe ich festgestellt, dass die Verknüpfungen zwischen Benutzer und Gruppe zwingend eine Zahl sein muss. Der CT LDAP Server liefert aber den "Distinguished Name" (cn=user1,ou=users,o=xxx). Damit kann Synology nicht umgehen. Auch der Umweg über die HASH Funktion hilft da nicht weiter.

Gibt es hier vom Church Tools Support schon eine Information, ob man hier den CT LDAP Wrapper passend anpassen kann?

Das zukünftige OpenID Connect wird Synology leider nichts bringen, sofern man den Synology Drive Clienten nutzen will. Der unterstützt nach meinem aktuellen Stand kein SSO. SSO geht nur im Browser bei Synology.

Insofern wäre man hier dann doch wieder von der LDAP Integration abhängig.