QNAP Turbo NAS Software User Manual

Включение сетевого накопителя в каталог LDAP

Включение сетевого накопителя в каталог LDAP

Previous topic Next topic  

Включение сетевого накопителя в каталог LDAP

Previous topic Next topic  

LDAP расшифровывается как Lightweight Directory Access Protocol (облегченный протокол службы каталогов). Он представляет собой каталог, который может хранить информацию обо всех пользователях и группах на централизованном сервере. Используя функцию LDAP, администратор может управлять учетными записями пользователей в каталоге LDAP и предоставлять им доступ к различным серверам сетевых накопителей под одним именем и паролем. Данная функция предназначена для администраторов и пользователей, которые обладают некоторыми знаниями о серверах Linux, серверах LDAP и протоколе Samba. Для использования функции LDAP сетевого накопителя необходим работающий сервер LDAP.

 

Требования

 

Необходимые сведения/настройки:

Информация о подключении к серверу LDAP и аутентификации на нем
Структура LDAP, в которой хранятся сведения о пользователях и группах
Настройки безопасности сервера LDAP

 

Включение сетевого накопителя QNAP Turbo NAS в каталог LDAP

 

Для подключения сетевого накопителя QNAP к серверу LDAP выполните следующие действия:

1.Войдите в веб-интерфейс сетевого накопителя в качестве администратора.
2.Перейдите на страницу "Настройка привилегий" > "Безопасность домена". По умолчанию выбрана опция "Без проверки базы домена (только локальные пользователи)". Это означает, что к сетевому накопителю могут подключаться только его локальные пользователи.
3.Выберите опцию "Аутентификация LDAP" и завершите настройку.
oАдрес LDAP-сервера: Имя хоста или IP-адрес сервера LDAP.
oНастройки безопасности: Выберите, каким образом будет осуществляться взаимодействие устройства с сервером LDAP:
ldap:// = С использованием стандартного соединения LDAP (порт по умолчанию: 389).
ldap:// (ldap + SSL) = С использованием зашифрованного соединения на основе SSL (порт по умолчанию: 686). Этот вариант, как правило, используют серверы LDAP более старых версий.
Ldap:// (ldap + TLS) = С использованием зашифрованного соединения на основе TLS (порт по умолчанию: 389). Этот вариант, как правило, используют серверы LDAP более новых версий.
oBASE DN: Домен LDAP. Например: dc=mydomain,dc=local
oRoot DN: Пользователь root в LDAP. Например, cn=admin, dc=mydomain,dc=local
oПароль: Пароль для пользователя root.
oBase DN пользователя: Организационная единица (OU), в которой сохраняется пользователь. Например: ou=people,dc=mydomain,dc=local
oBase DN группы: Организационная единица (OU), в которой сохраняется группа. Например, ou=group,dc=mydomain,dc=local
4.Нажмите на "Применить", чтобы сохранить настройки. После успешного завершения настроек сетевой накопитель сможет подключиться к серверу LDAP.
5.Настройте параметры аутентификации LDAP.
oЕсли включена сеть Microsoft (на странице Сетевые службы > Win/Mac/NFS > Сеть Microsoft), то после применения настроек LDAP укажите пользователей, которые могут подключаться к сетевому накопителю по сети Microsoft (Samba).
Только локальные пользователи: Только локальные пользователи сетевого накопителя смогут получать доступ к нему с использованием сети Microsoft.
Только пользователи LDAP: Только пользователи LDAP смогут получать доступ к сетевому накопителю с использованием сети Microsoft.
oЕсли поддержка сети Microsoft была включена после подключения сетевого накопителя к серверу LDAP, выберите способ аутентификации для сети Microsoft.
Автономный сервер: Только локальные пользователи сетевого накопителя смогут получать доступ к нему с использованием сети Microsoft.
Аутентификация LDAP: Только пользователи LDAP смогут получать доступ к сетевому накопителю с использованием сети Microsoft.
6.После подключения сетевого накопителя к серверу LDAP администратор может:
oПерейти на страницу "Настройка привилегий" > "Пользователь" и выбрать в выпадающем меню "Пользователи домена". Появится список пользователей LDAP.
oПерейти на страницу "Настройка привилегий" > "Группы" и выбрать в выпадающем меню "Группы домена". Появится список групп LDAP.
oУказать права доступа к папкам для пользователей и групп домена LDAP на странице "Настройка привилегий" > "Общие папки", щелкнув на кнопке "Права доступа" у соответствующей папки.

 

Примечание: Как пользователи LDAP, так и локальные пользователи сетевого накопителя могут получать доступ к нему с помощью Менеджера файлов, FTP и AFP.

 

Технические требования для аутентификации LDAP в сети Microsoft

 

Условия, которые необходимы для аутентификации пользователей LDAP в сети Microsoft (Samba):

1.Программное обеспечение от стороннего производителя, выполняющее синхронизацию пароля между LDAP и Samba на сервере LDAP.
2.Импорт схемы Samba в каталог LDAP.

 

A.Программное обеспечение от стороннего производителя

Некоторые представленные на рынке программные продукты позволяют управлять учетными записями пользователей LDAP, в том числе паролем для Samba. Например:

LDAP Account Manager (LAM), с веб-интерфейсом, доступен по ссылке: http://www.ldap-account-manager.org/
smbldap-tools (инструмент командной строки)
webmin-ldap-useradmin – модуль администрирования пользователей LDAP для Webmin.

 

B.Схема Samba

Чтобы импортировать схему Samba на сервер LDAP, обратитесь к документации или ответам на наиболее часто задаваемые вопросы для сервера LDAP. Для импорта необходим файл samba.schema. Он находится в каталоге examples/LDAP дистрибутива Samba. Примером может служить каталог open-ldap на сервере Linux, в котором работает сервер LDAP (имя каталога может различаться в зависимости от дистрибутива Linux):

 

Скопируйте схему samba:

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

 

Отредактируйте файл /etc/ldap/slapd.conf (файл конфигурации сервера openldap) и убедитесь, что в файле присутствуют следующие строки:

include /etc/ldap/schema/samba.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/nis.schema

 

Примеры конфигураций

Ниже приведено несколько примеров конфигураций. Они не являются обязательными; их необходимо привести в соответствие с конфигурацией сервера LDAP:

 

1.Linux OpenLDAP Server
oBase DN: dc=qnap,dc=com
oRoot DN: cn=admin,dc=qnap,dc=com
oBase DN пользователя: ou=people,dc=qnap,dc=com
oBase DN группы: ou=group,dc=qnap,dc=com

 

2.Mac Open Directory Server
oBase DN: dc=macserver,dc=qnap,dc=com
oRoot DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
oBase DN пользователя: cn=users,dc=macserver,dc=qnap,dc=com
oBase DN группы: cn=groups,dc=macserver,dc=qnap,dc=com

 


© 2015 QNAP Systems, Inc.