加入網域 / LDAP
本文章將引導您將 Synology NAS 加入目錄服務。
若要將 Synology NAS 加入網域:
- 前往控制台 > 網域 / LDAP > 網域 / LDAP。
- 按一下加入後,精靈將隨之開啟。
- 輸入下列伺服器資訊,然後按下一步。
- 伺服器類型:從下拉式選單中選擇網域或自動偵測。
- 伺服器位址:輸入完整網域名稱 (FQDN) 或任何網域控制站的 IP 位址,例如:「syno.local」或「192.168.1.1」。
- DNS 伺服器:輸入可以解析網域控制站 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 Synology NAS 目前的 DNS 伺服器,此預設資訊會自動填入。
注意:您也可以在欄位中輸入多個 DNS 伺服器,每個 IP 位址應使用半形逗號 (,) 分隔,例如:「192.168.1.1,192.168.1.2」。
- 依您的需求進行下列設定,然後按下一步:
- 管理模式:此選項用來決定網域使用者 / 群組權限的管理方式。
- 所有受信任的網域:可管理 Synology NAS 加入的網域或是受信任的網域中的使用者及群組。您可以依照不同受信任的網域來篩選使用者及群組的清單。
注意:若要管理受信任網域的使用者及群組,這些網域須和 Synology NAS 加入的網域建立雙向信任。 - 依組織單位管理的單一網域:這模式只顯示屬於加入網域中的使用者及群組。可讓您依照不同組織單位 (OU) 來篩選使用者及群組的清單。
- 所有受信任的網域:可管理 Synology NAS 加入的網域或是受信任的網域中的使用者及群組。您可以依照不同受信任的網域來篩選使用者及群組的清單。
- 網域帳號:輸入網域系統管理員帳號或權限足夠的使用者帳號。
- 網域密碼:輸入指定網域帳號的密碼。
- 註冊 DNS 介面:選擇要註冊 DNS 伺服器的網路介面卡 (NIC,Network Interface Card)。
注意:由於 DNS 無法使用底線 (_),因此如果 Synology NAS 的主機名稱包含底線 (_),則註冊會失敗。 - 在特定組織單位註冊電腦帳號:若要將 Synology NAS 註冊至一個組織單位 (OU),請勾選此選項。
注意:啟用此選項並按下一步之後,您將在下一個頁面的下拉式選單中選擇一個組織單位。
- 管理模式:此選項用來決定網域使用者 / 群組權限的管理方式。
- 按下一步後,精靈將檢查設定與環境條件,並將您的 Synology NAS 加入網域。檢測結果共有三種:
:測試項目通過。
:檢測出一個或多個次要問題須解決。這類型的問題可能會造成網域服務異常。按一下每個問題右側的詳情以了解更多資訊。接著,依照精靈指示來解決次要問題,並按一下套用 (或重新檢查) 以再次檢查。
注意:您亦可按一下直接略過來暫時略過測試,並繼續操作精靈。
:檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入網域失敗。針對各個嚴重問題,請進行以下操作:
- 按一下每個問題右側的詳情。
- 依據彈出視窗的指示解決問題。
- 按一下套用 (或重新檢查) 以再次檢查。
- 完成檢查並確認沒有任何嚴重問題後,按一下確定來開始使用網域用戶端服務。
若要將 Synology NAS 加入 LDAP 目錄:
- 前往控制台 > 網域 / LDAP > 網域 / LDAP。
- 按一下加入後,精靈將隨之開啟。
- 輸入下列伺服器資訊,然後按下一步。
- 伺服器類型:從下拉式選單中選擇 LDAP 或自動偵測。
- 伺服器位址:輸入完整網域名稱 (FQDN) 或 LDAP 伺服器的 IP 位址,例如:「ldap.synology.com」或「192.168.1.1」。
- DNS 伺服器:輸入可以解析 LDAP 伺服器 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 Synology NAS 目前的 DNS 伺服器,此預設資訊會自動填入。
注意:您也可以在欄位中輸入多個 DNS 伺服器,每個 IP 位址應使用半形逗號 (,) 分隔,例如:「192.168.1.1,192.168.1.2」。
- 依您的需求進行下列設定,然後按下一步:
- Bind DN 或 LDAP 管理者帳號:在此欄位輸入 LDAP 伺服器的 Bind DN 或 LDAP 管理者帳號。
注意:Bind DN 為 LDAP 根目錄之識別名稱。舉例來說,若 Base DN 為「dc=ldap,dc=synology,dc=com」,則 LDAP 目錄的 Bind DN 將會是「uid=root,cn=users,dc=ldap,dc=synology,dc=com」。 - 密碼:輸入 LDAP 管理者帳號的密碼。
- 加密:從下拉式選單中選擇加密類型,來加密與 LDAP 伺服器間的連線。
- Base DN:從下拉式選單選擇 LDAP 伺服器的 Base DN。
注意:Base DN 為 LDAP 資料庫的識別名稱,其名稱由 LDAP 伺服器的指定 FQDN 產生。舉例來說,若 FQDN 為「ldap.synology.com」,其 Base DN 將會是「dc=ldap,dc=synology,dc=com」。
- Bind DN 或 LDAP 管理者帳號:在此欄位輸入 LDAP 伺服器的 Bind DN 或 LDAP 管理者帳號。
- 若有需要,您可以依照下方說明進行設定檔、UID / GID 位移或用戶端憑證等設定。
- 按下一步後,精靈將檢查設定與環境條件,並將您的 Synology NAS 加入 LDAP 目錄。檢測結果共有三種:
- :測試項目通過。
- :檢測出一個或多個次要問題須解決。這類型的問題可能會造成 LDAP 服務異常。按一下每個問題右側的詳情以了解更多資訊。接著,依照精靈指示來解決次要問題,並按一下套用 (或重新檢查) 以再次檢查。
注意:您亦可按一下直接略過來暫時略過測試,並繼續操作精靈。 - :檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入 LDAP 目錄失敗。針對各個嚴重問題,請進行以下操作:
- 按一下每個問題右側的詳情。
- 依據彈出視窗的指示解決問題。
- 按一下套用 (或重新檢查) 以再次檢查。
- 完成檢查並確認沒有任何嚴重問題後,按一下確定來開始使用 LDAP 用戶端服務。
注意:
- Synology NAS 的 LDAP 用戶端功能其支援的 LDAP 標準為 LDAP 第 3 版 (RFC 2251)。
關於設定檔
LDAP 屬性可能依 LDAP 伺服器而有所不同。設定檔選項可讓您指定或自訂使用者及群組資訊如何對應至 LDAP 伺服器所用的屬性。您可以為您的 LDAP 服務選擇以下任一設定檔:
- 標準:適用於執行 Synology LDAP Server 或 Mac Open Directory 的伺服器
- IBM Lotus Domino:適用於執行 IBM Lotus Domino 8.5 的伺服器
- 自訂:用於自訂 LDAP 屬性的對應關係
若您選擇自訂,想要自行安排 LDAP 屬性的對應關係,請參考以下資訊:
Synology 的 DiskStation Manager (DSM) 遵循 RFC 2307 的規範,而其設定檔編輯器也遵循相同的原則。例如,您可以指定 filter 裡的 passwd 為 userFilter,Synology NAS 便會將您 LDAP 伺服器裡符合 objectClass=userFilter 的資料視為 LDAP 帳號。如果指定 passwd 裡的 uid 為 username,Synology NAS 便會將您 LDAP 伺服器上的 username 視為帳號名稱。
Synology NAS 需要一個固定的整數作為 LDAP 帳號的識別碼 (uidNumber) 或群組的識別碼 (gidNumber),但並非所有 LDAP 伺服器都使用整數來表示這些屬性。因此,我們提供關鍵字 HASH() 來將其轉為整數。例如,您的 LDAP 伺服器可能使用一個 16 進位的屬性 userid 作為 LDAP 帳號的唯一識別碼。在此情況下,您可以將 passwd 的 uidNumber 設為 HASH(userid) 來讓 Synology NAS 將其轉為整數。
若對應目標欄位保持空白,RFC 2307 規範將套用至您的 LDAP 服務。
以下列出可自訂的屬性和其簡要說明:
- filter
- passwd:使用者應有的 objectClass
- group:群組應有的 objectClass
- group
- cn:群組名稱
- gidNumber:群組的群組識別碼 (GID)
- memberUid:群組成員
- passwd
- uidNumber:使用者的使用者識別碼 (UID)
- uid:使用者名稱
- userPassword:使用者密碼
- gidNumber:使用者的主要群組識別碼 (GID)
關於 UID / GID 位移
為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突,您可以啟用此選項來將 LDAP 使用者 / 群組的 UID / GID 加上 1000000。UID / GID 位移僅適用於非 Synology 的 LDAP 伺服器,且該伺服器針對每個使用者 / 群組提供獨一無二,並由數字組成的 ID 屬性。