📢
AŽURIRANJE: 4.12.2022. - Nakon Synology 2022 Workshop radionice koja je održana prošlog tjedna, dobio sam neke informacije o objašnjenju o tome kako funkcionira značajka Edge poslužitelja. Više detalja u nastavku u odjeljku Edge poslužitelji.

Zadnja platforma u novom C2 portfelju je C2 Identity. U ovom članku ću se osvrnuti na njegove funkcije i konfiguraciju, pa krenimo.

C2 Identity - hibridni manadžment vaših identiteta

Ovu platformu sam spomenuo i u uvodnom članku “cloud za sigurnost vaših podataka”, no tada nije bilo moguće testirati i pogledati kako točno ova platforma radi niti koliko će koštati.

Službeni C2 Identity promo

Dakle u jednoj rečenici, što je C2 Identity?

Platforma koja vam omogućuje centralni menadžment vaših korisnika, grupa i radnih stanica, te nudi single sign-on (SSO) za sve vaše SaaS (Software as a Service) aplikacije u cijeloj organizaciji.

Kao i kod ostalih C2 modula, Identity vas ne uvjetuje da imate bilo kakav Synology uređaj (NAS ili ruter) kako bi ga mogli koristiti. Radi u potpunosti iz Synology C2 cloud-a (ovisno o vašem odabiru geografskog data centra) i za početak je potpuno besplatan.

C2 Identity pretplate i cijene

Glavne značajke

Synology otvara još jedna vrata prema klijentima i korisnicima koji žele koristiti poslovne alate bez uvjeta da posjeduju Synology NAS, pa tako uz C2 Password i Backup, Identity je posljednji u nizu novih servisa koji će podignuti C2 platformu na novu razinu te postati privlačan novi budućim korisnicima.

Uz nadolazeći novi C2 data centar u Taiwan-u (uz postojeće Frankfurt i Seattle koji se već koriste godinama), Synology je pokrio sve dijelove svijeta te je spreman ponuditi svoje servise svima.

S obzirom da je besplatan, trebam li ga koristiti?

Ljudi kažu da ništa nije besplatno, pa se nameće pitanje, da li bi trebali koristiti besplatnu platformu za menadžment koja jednog dana može prestati sa svojim radom i ostaviti vas u nezgodnoj poziciji? Dok cloud pružatelji usluga nisu postali “velika stvar”, sve svoje servise ste realno koristili lokalno. Danas naime, stvari se mijenjanju. Sve je jeftinije i jednostavnije koristiti servise kao SaaS iz nekog “oblaka” nego lokalno kod sebe.

Onda? Da li bi i trebali to napraviti u ovom slučaju? To sada ovisi. Ukoliko imate potrebu koristiti ovakav servis, a realno nemate prostora za neki lokalni server koji bi to radio kao i ljudstva za održavanje istoga, možda je onda stvarno bolje imati to kao servis u cloud-u.

Kao jedan primjer možemo uzeti Office 365. Danas za simboličnu cijenu u usporedbi sa cijenom istog retail proizvoda, dobijete 5 licenci za sve vaše uređaje i dodatni cloud prostor za podatke.

Registracija vaše C2 Identity domene

Pogledajmo sada što vam je sve potrebno kako bi krenuli koristiti ovu platformu. Prvo i osnovno što će vam trebati jest funkcionalan Synology account (račun). Kako bi registrirali svoju Identity domenu, ista mora biti vezana na konkretan račun. Dakle, svakako ga izradite (besplatan je) prije nego krenete u konfiguraciju. Ukoliko ga već imate, super, ako ne, biti ćete uvjetovani izraditi ga kada posjetite C2 Identity stranicu.

Sve započinje ovdje: https://c2.synology.com/en-us/identity/overview

Jednom kada se prijavite u C2 Portal sa svojim Synology računom, imati ćete mogućnost napraviti svoju Identity domenu.

Trenutno poslovni model još nije dostupan

Prvo što ćete morati riješiti jest izbor pretplate i data centra. Kao što je vidljivo sa slike iznad imati ćete opciju izbora dva data centra i jednu trenutnu pretplatu.

Unesite svoje Identity ime domene po izboru

Već u slijedećem koraku imate opciju unosa imena domene koja će se po završetku procesa kreirati te biti dostupna za korištenje vašim uređajima i korisnicima.

Na kraju otvoriti će se vaša C2 Identity kontrolna ploča.

Spremno! C2 Identity korisnički odjeljak

C2 Identity konfiguracija i menadžment

Dodavanje uređaja kojima želite upravljati

Instalacijom C2 Identity agenta (macOS ili Windows) na vaše računalo, isto postaje valjani objekt vaše C2 Identity domene, te će biti na raspolaganju vašim korisnicima kao uređaj putem kojeg se mogu prijaviti.

Kako bi započeli ovaj proces, jednostavno se prijavite u C2 Identity portal, prebacite se u Managed Device odjeljak, te preuzmite instalaciju.

Nakon što ste preuzeli i instalirali agenta na računalo ostaje samo ga povezati sa “ključem” iz trećeg koraka (slika iznad).

🗒️
NAPOMENA: Za slučaj da niste u mogućnosti preuzeti agent putem pripadajućih tipki unutar dijaloškog okvira, isti možete preuzeti na slijedećoj lokaciji: https://archive.synology.com/download/Utility/C2IdentityAgent

Unesite ključ koji je vidljiv na C2 Identity portalu

Obavezno unesite vaš C2 Identity ključ koji vam je dostupan preko glavnog portala kako bi završili proces uspješno.

Pokrenite računalo ponovno kako bi zavšili proces

Po uspješno završenoj instalaciji, pokrenite ponovno računalo. Obavezno završite cijeli proces na način da odobrite konkretan uređaj putem glavnom portala prije nego krenete u bilo kakve daljnje korake.

Nakon što se računalo ponovno pokrenulo, vaši korisnici imati će opciju koristiti C2 Identity za prijavu.

C2 Identity Windows 10 okvir za prijavu

To je to! Sada imate uređaj koji je povezan na vašu C2 Identity domenu, a korisnici ga mogu koristiti kako bi se prijavili i radili na istome.

Dodavanje korisnika i grupa

Sada kada imamo računalo dodano i vezano na vašu domenu, vrijeme je za kreiranje korisnika i grupa koji ga konkretno mogu i koristiti. Proces je jednostavan. Postoji više načina kako možete dodati korisnike. Možete ih dodati pojedinačno ili skupno putem CSV datoteke.

Za početak, prebacite se na User odjeljak portala te kliknite na Add user manually ili na zelenu Import Users/Groups tipku/izbornik.

Krenite sa generiranje korisnika

U ovom primjeru koristiti ću pojedinačni primjer, no ukoliko se odlučite na skupni unos, možete preuzeti kompatibilnu CSV datoteku te je koristiti kao predložak za uvoz.

Dodavanje korisnika uvjetuje unos nekoliko obveznih polja kao što su korisničko ime (username) i e-mail adresa.

Unesite obvezne vrijednosti kao i bilo koje dodatno koje želite

U slijedećem koraku imati ćete mogućnosti odabrati vrstu aktivacije vaše zaporke (password activation method).

Opcije za aktivaciju zaporke

Ovisno o odabranoj opciji, ekran će se promijeniti. U ovom slučaju odabrati ću manualnu metodu, te u konačnici poslati korisniku zaporku.

Unesite ili generirajte zaporku

Nakon ovog koraka, vaš račun će biti spreman za korištenje.

Popis korisnika
🗒️
NAPOMENA: Zadano su korisnici i uređaji članovi Everyone grupe, tako da imajte na umu da ćete možda morati odvajati prava korisnika i njihove pristup računalima.

C2 Identity Korisnički portal (User portal)

Jednom kada završite sa konfiguracijom svoje C2 Identity platforme, posljednja notifikacija koju ćete dobiti (putem mail-a) jest link prema vašem C2 Identity User portal (korisnički portal). Ako se prisjetite, na samom početku ovog procesa bila je potrebna registracija vaše domene. Kao rezultat toga, vaši korisnici će imati mogućnost promjene svojih podataka kao što su adresa, telefonski brojevi, rođendan, te povrh toga sigurnosne postavke kao što su 2FA i ponovno postavljanje zaporke bez potrebe da za taj isti zadatak pitate svojeg C2 Identity administrator.

Kako bi došli do korisničkog portala morate koristiti link (URL) koji će vam Identity administrator dostaviti. Link će izgledati slično ovako:

https://yourdomain.identity.eu.synologyc2.com

Jednom kada se prijavite sa validnim C2 Identity te posjetite sam link (URL), doći ćete na sličnu stranicu kao što je ova u nastavku:

C2 Identity korisnički portal

Pritiskom na Edit tipku u gornjem desnom kutu otvoriti će se okvir preko kojeg možete izmijeniti dio podataka.

Na drugom tabu, Security, imate opciju ponovnog postavljanja zaporke ili aktivirati 2FA.

Promjena zaporke i aktivacija 2FA

Aktivacija 2FA za vaš C2 Identity račun

2FA zaštita je danas praktički nužna i ukoliko imate mogućnost, iskoristite je. U slučaju C2 Identity-a jednostavno kliknite na Enable tipku. Ovo će pokrenuti čarobnjaka kojeg jednostavno pratite.

Krenite sa 2FA procesom

Potvrdite svoj identitet

Preuzmite Synology Secure SignIN
🗒️
NAPOMENA: kao što je vidljivo sa slike iznad, Synology će gurati svoju Secure SignIN aplikaciju kao preferirano rješenje, ali to ne znači da je i nužno! Alternativne platforme kao Authy ili Bitwarden će raditi jednako dobro.

Skenirajte ili unesite kôd ispisan na ekranu koji trebate unijeti u Secure SignIN ili neku drugu 2FA aplikaciju
Potvrdite povezivanje unosom šesteroznamenkastog broja iz vaše 2FA aplikacije

Jednom kada ste završili cijeli proces, možete onemogućiti ili resetirati proces koristeći Korisnički portal.

Aktivirani 2FA
2FA status vidljiv sa glavnog C2 Identity portala

Prijava na računalo putem C2 Identity računa u kombinaciji sa 2FA

Sada kada imate aktivan 2FA, prijava u računalo će tražiti i unos jednokratnog 2FA kôda.

Do sada moram priznati, C2 Identity nije razočarao. Sinkronizacija je trenutna, te korisničke račune i uređaja možete koristiti odmah.

Aplikacije i SSO

Platforma također pruža SSO integraciju sa specifičnim aplikacijama kao što su Google Workspace ili Microsoft 365. U komercijalnoj pretplati, imati ćete dodatno i opciju korištenja SAML 2.0 ili OpenID Connect protokola.

Ove značajke još nisu dostupne.

Za sada, što se tiče ove besplatne pretplate, može se izvesti integracija sa Google Workspace i Microsoft 365.

S obzirom da nemam service na time platformama, neću raditi demonstraciju kako Identity radi sa istima.

Edge poslužitelji

Na kraju, C2 Identity nudi jedan (1) ili do dvadesetpet (25) lokalnih LDAP nodova-a, točnije, lokalnih verzija C2 Identity replika servera. Primarna svrha je autorizacija i pristup prema on-premise (lokalnim) resursima u vašoj mreži.

🗒️
NAPOMENA: Edge poslužitelj može i hoće autorizirati vaše lokalne zahtjeve ako nema internetske veze, ali se neće moći sinkronizirati s C2 Identity dok se veza ne uspostavi! Također, vaš klijent mora biti registriran/pridružen edge poslužitelju. Više detalja ovdje: What is C2 Identity Edge Server? - Synology Knowledge Center

Ovisno o pretplati, imati ćete mogućnost dodati više ili manje edge servera koristeći glavnu kontrolnu ploču.

Edge server može biti Synology NAS ili neka 3rd party Docker okolina

U nastavku su službeni mehanizmi po kojima C2 Identity Edge server funkcionira:

  • Retrieve user and group data from C2 Identity: The agent keeps its directory up to date via LDAP communications. Any changes to C2 Identity's directory will be immediately synchronized with the agent.
  • Update information to C2 Identity: The agent sends information about the edge server to C2 Identity every 5 minutes (available on Synology NAS only).
  • Authenticate user access to LDAP clients: The agent provides offline LDAP authentication for devices that are joined to the edge server.

U nastavku je zaključak prepiske sa Synology podrškom na ovu temu:

Međutim, nadovezujući se na to, pisane informacije temeljem Q&A Synology 2022 workshop radionice navode:

While a C2 Identity Edge Server can authenticate devices without an internet connection, synchronization tasks between C2 Identity and the Edge Server will need that connection. Here’s a little more detail about the mechanisms of C2 Identity Edge Servers.

Kao što poveznica navodi, svaki klijent spojen na edge poslužitelj će se autorizirati putem njega.

Synology C2 Identity Edge server

Preduvjeti kako bi Edge server mogli koristiti na svojem Synology NAS su slijedeći.

Prvo, konkretni podržani Synology NAS modeli. U trenutku pisanja ovog članka podržani modeli su slijedeći:

  • FS series: FS6400, FS3600, FS3400, FS3017, FS2017, FS1018
  • SA series: SA3600, SA3400, SA3200D
  • 21 series: RS4021xs+, RS3621xs+, RS3621RPxs, RS2821RP+, RS2421RP+, RS2421+, RS1221RP+, RS1221+, DS1821+, DS1621xs+, DS1621+, DVA3221
  • 20 series: RS820RP+, RS820+, DS1520+, DS920+, DS720+, DS620slim, DS420+, DS220+
  • 19 series: RS1619xs+, RS1219+, DS2419+II, DS2419+, DS1819+, DS1019+, DVA3219
  • 18 series: RS3618xs, RS2818RP+, RS2418RP+, RS2418+, RS818RP+, RS818+, DS3018xs, DS1618+, DS918+, DS718+, DS418play, DS218+
  • 17 series: RS18017xs+, RS4017xs+, RS3617xs+, RS3617RPxs, RS3617xs, DS3617xsII, DS3617xs, DS1817+, DS1517+
  • 16 series: RS18016xs+, RS2416RP+, RS2416+, DS916+, DS716+II, DS716+, DS416play, DS216+II, DS216+
  • 15 series: RS815RP+, RS815+, RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, DS415+
  • 14 series: RS3614xs+, RS3614RPxs, RS3614xs, RS2414RP+, RS2414+, RS814RP+, RS814+
  • 13 series: RS10613xs+, RS3413xs+, DS2413+, DS1813+, DS1513+, DS713+

Drugo, NAS DSM verzija mora biti 7.0.x ili novija.

Povrh toga, ako već koristite na navedenom NAS-u ili Synology Directory Server ili LDAP server pakete, iste ćete morati ukloniti ako želite koristiti NAS kao edge server. Razlog ovoga je što će edge server konfigurirati LDAP 389 port i biti će onda u direktnoj koliziji.

Za početak, prijavite se u svoj NAS, otvorite Package Center aplikaciju te instalirajte C2 Identity Edge Server paket.

Instalirajte Edge Server paket
Ovaj proces uključuje i instalaciju Docker paketa (ako ga prethodno nemate) jer se cjelokupno rješenje vrti pod tom platformom.

Prva stvar koju ćete morati konfigurirati ili samo potvrditi jest edge server port broj koji će koristiti vaša lokalna instanca.

Konfiguracija edge porta

Početak instalacije

C2 Identity Edge Server running

S obzirom na rečeno, očekivano cijelo rješenje se pokreće i radi kao Docker kontejner (točnije njih dvoje). Ukoliko otvorite Docker aplikaciju na NAS-u trebali bi vidjeti oba kontejnera (što kod mene nije bilo slučaj), no preko SSH i komandne linije sve je uredno vidljivo.

Edge server se vrti u Docker-u
Prikaz Docker kontejnera preko komandne linije 

Dakle kao što je vidljivo sa slike, sam edge server je u biti kontejner nastao temeljem synology/ldap-agent imege-a (slike) na dva porta. 389 (ldap port) i 7712 (glavni instalacijski port) koji je u biti web UI-a portal port. Drugi container je watchtowerb varijanta koja ima za zadaću raditi nadogradnju ldap kontejnera.

Slijedeći korak je povezati edge server sa C2 Identity domenom. Ako otvorite C2 Identity edge server ikonu iz glavnog DSM izbornika, učitati će se stranica koja će vam omogućiti spajanje vašeg edge servera sa Identity domenom.

Povežite svoj Edge server sa C2 Identity domenom

Pripazite da unesete točan connect key (ključ za povezivanje) vašeg edge servera koji možete očitati putem C2 Identity portala.

Kopirajte vrijednost vašeg ključa iz 2. koraka
Jednom kada se povežete, obavezno odobrite edge server putem Identity portala

Otvaranjem Identity web portala trebali bi vidjeti vaš edge server na popisu sa njegovim trenutnim statusom.

Server je potrebno dodatno odobriti

Iskoristite padajući izbornik na desnoj strani kako bi odobrili dodavanje servera u vašu C2 Identity domenu. Za potvrdu ovog koraka biti će potrebno upisati vaš C2 Encryption Key (enkripcijski ključ) koji ste kreirali prilikom otvaranja Synology Account/C2 profila.

Po uspješnom završetku odobravanja, procedura dodavanja edge servera je završena. Edge server servisna stranica kao i Identity portal prikazati će promjenu statusa.

Odobren edge server

Kao što sam i prije napomenuo, sa ovakvom konfiguracijom imati ćete mogućnost autorizacije bilo kakvog lokalnog resursa prema vašoj C2 Identity domeni. Kao primjer, to može biti neki drugi Synology NAS ili bilo koji drugi LDAP sustav.

🗒️
NAPOMENA: Svako imajte na umu da prijava korisnika će i dalje tražiti aktivnu Internet vezu! Edge je tu kako bi se sinkronizirao sa C2 Identity cloud instancom i pružio mogućnost prijave samo za one uređaje koji koriste isti preko LDAP konfiguracijskih parametara tog konkretnog edge servera!

Zaključak

Osobno moram priznati da sam jako zadovoljan sa Identity platformom za sada. Radi kako je i obećano, a sama instalacija i konfiguracija su bile jednostavne i popraćene bez ikakvih problema.

Jedino što bi možda prigovorio kao neki nedostatak su logovi. Osim nekih skromnih Docker container logova, drugi realno ne postoje i ne može ih se dobiti putem web UI. Opet, ruku na srce, nisu mi ni trebali, ali bilo bi dobro imati neke logove makar za glavne administratore koji se bave generalnom administracijom domene.

Sve u svemu, za sada je ovo solidna platforma koju će vjerujem Synology i dalje razvijati sa sve više funkcija, tako da ostaje samo vidjeti što će budućnost donijeti. Trenutno u ovim vremenima cloudifikacije, besplatna platforma koja radi i nije komplicirana za održavanje je izuzetno dobrodošla.