QNAP Turbo NAS Software User Manual

將QNAP NAS加入LDAP Directory

將QNAP NAS加入LDAP Directory

Previous topic Next topic helpdesk  

將QNAP NAS加入LDAP Directory

Previous topic Next topic helpdesk  

輕量型目錄存取通訊協定(Lightweight Directory Access Protocol,LDAP)是一種可以儲存所有使用者和群組的集中式目錄服務。管理者可以使用LDAP管理LDAP目錄內的使用者,並設定是否允許使用者以相同使用者名稱和密碼存取多台NAS伺服器。本功能專供具備Linux、LDAP、與Samba知識的管理者及使用者使用,應用環境至少需要一台運作中的LDAP伺服器,以使用QNAP NAS的LDAP功能。

 

系統需求

 

必備資訊與設定:

LDAP伺服器連線及認證資訊
LDAP架構,包含使用者及群組存取位置
LDAP伺服器安全性設定

 

將QNAP NAS連線至LDAP目錄

 

請參照以下步驟將QNAP NAS加入LDAP目錄。

1.以管理者身分登入NAS的網頁管理介面。
2.前往[權限設定]>[網域安全認證]。[沒有網域安全認證]選項預設為啟用,表示只有本機NAS使用者能夠連線至NAS。
3.選擇[LDAP認證]並完成所需設定。
oLDAP伺服器主機:LDAP伺服器的主機名稱或IP位址。
oLDAP安全:指定NAS如何與LDAP伺服器連線:
ldap://=使用標準LDAP連線(預設連接埠:389)。
ldap://(ldap+SSL)=使用SSL加密連線(預設連接埠:686)。此設定通常用於舊版本的LDAP伺服器。
Ldap://(ldap+TLS)=使用TLS加密連線(預設連接埠:389)。此設定通常用於新版本的LDAP伺服器。
oBASEDN:LDAP網域。例如:dc=mydomain,dc=local
oRootDN:LDAProot使用者。例如:cn=admin,dc=mydomain,dc=local
o密碼:root使用者的密碼。
o使用者BaseDN:儲存使用者資訊的組織單元(OU)。例如:ou=people,dc=mydomain,dc=local
o群組BASEDN:儲存群組資訊的組織單元(OU)。例如:ou=group,dc=mydomain,dc=local
4.按[套用]儲存設定,完成設定後,NAS就能夠連線到LDAP伺服器。
5.設定LDAP認證選項。
o如套用LDAP設定時已啟用Microsoft網路服務([網路服務]>[Win/Mac/NFS]>[Microsoft網路]頁面),請選擇可以透過Microsoft網路(Samba)存取NAS的使用者。
本機使用者:只有NAS本機使用者可透過Microsoft網路存取NAS。
LDAP使用者:只有LDAP使用者可透過Microsoft網路存取NAS。
o如在NAS連線至LDAP伺服器後,才啟用Microsoft網路服務,請於[Microsoft網路]頁面選擇認證類型。
獨立伺服器:只有NAS本機使用者可透過Microsoft網路存取NAS。
LDAP網域認證:只有LDAP使用者可透過Microsoft網路存取NAS。
6.NAS連線至LDAP伺服器時,管理者可以:
o前往[權限設定]>[使用者]頁面,從下拉式選單選擇[網域使用者],列表會顯示LDAP使用者。
o前往[權限設定]>[使用者群組]頁面,從下拉式選單選擇[網域群組],列表會顯示LDAP群組。
o在[權限設定]>[共用資料夾]中,指定LDAP網域使用者或群組的資料夾權限,按下所要設定資料夾旁邊的[存取權限]按鈕。

 

注意:LDAP及NAS本機使用者皆可透過File Station、FTP、及AFP存取NAS。

 

使用Microsoft網路的LDAP認證技術需求

 

透過Microsoft網路(Samba)認證LDAP使用者所需的項目:

1.第三方軟體,用於同步LDAP伺服器和Samba的密碼。
2.匯入Samba schema到LDAP目錄。

 

A.第三方軟體:

使用者可以從網路下載管理LDAP使用者和Samba密碼的軟體應用程式,例如:

LDAPAccountManager(LAM),使用網頁介面管理,可由此下載:http://www.ldap-account-manager.org/
smbldap-tools(命令列工具)
webmin-ldap-useradmin–Webmin的LDAP使用者管理模組。

 

B.Samba schema:

要將Samba schema匯入LDAP伺服器,請參考LDAP伺服器文件及FAQ說明。使用者可以在Samba發布來源套件的example/LDAP目錄找到samba.schema這個檔案。假設LDAP伺服器在一台使用open-ldap的Linux伺服器運作(實際狀況可能因不同的Linux套件而有所差異):

 

複製samba schema:

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

 

編輯/etc/ldap/slapd.conf(openldap伺服器設定檔)並將下列設定填入設定檔:

include /etc/ldap/schema/samba.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/nis.schema

 

設定範例:

以下是一些設定參考範例。這些設定並非必要選項,請根據實際LDAP伺服器設定修改:

 

1.Linux OpenLDAP伺服器
oBase DN: dc=qnap,dc=com
oRoot DN: cn=admin,dc=qnap,dc=com
oUsers Base DN: ou=people,dc=qnap,dc=com
oGroups Base DN: ou=group,dc=qnap,dc=com

 

2.Mac Open Directory伺服器
oBase DN: dc=macserver,dc=qnap,dc=com
oRoot DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
oUsers Base DN: cn=users,dc=macserver,dc=qnap,dc=com
oGroups Base DN: cn=groups,dc=macserver,dc=qnap,dc=com

 


© 2018 QNAP Systems, Inc.