Instrukcja obsługi Podłączanie serwera QNAP NAS do katalogu LDAP

Czym jest LDAP?​

Lightweight Directory Access Protocol (LDAP) to katalog przechowujący informacje o użytkownikach i grupach na centralnym serwerze. Administratorzy mogą używać LDAP do zarządzania użytkownikami w katalogu LDAP i umożliwiać użytkownikom łączenie się z wieloma serwerami NAS przy użyciu tej samej nazwy użytkownika i hasła.

Niniejsza nota aplikacyjna jest przeznaczona dla administratorów i użytkowników posiadających wiedzę na temat serwerów Linux, serwerów LDAP oraz Samby. Funkcja LDAP w urządzeniach QNAP NAS wymaga działającego serwera LDAP.

Wymagania:

• Informacje o połączeniu i uwierzytelnianiu serwera LDAP
• Struktura LDAP (gdzie przechowywani są użytkownicy i grupy)
• Ustawienia zabezpieczeń serwera LDAP

Aby podłączyć serwer QNAP NAS do katalogu LDAP, wykonaj poniższe kroki.

1. Zaloguj się do serwera NAS jako administrator.
2. Przejdź do Panel sterowania > Uprawnienia > Zabezpieczenia domeny.
   Uwaga: Domyślnie włączona jest opcja „Brak zabezpieczeń domeny” i tylko lokalni użytkownicy NAS mogą łączyć się z serwerem NAS.
3. Wybierz Uwierzytelnianie LDAP.
   
   
   
4. Określ następujące informacje:

Pole	Opis
Host serwera LDAP	Określ nazwę hosta lub adres IP serwera LDAP.
Zabezpieczenia LDAP	Określ sposób komunikacji serwera NAS z serwerem LDAP: ldap:// = Użyj standardowego połączenia LDAP (port domyślny: 389) ldap:// (ldap + SSL) = Użyj szyfrowanego połączenia z SSL (port domyślny: 686) Uwaga: Zazwyczaj używane przez starsze wersje serwerów LDAP. ldap:// (ldap + TLS) = Użyj szyfrowanego połączenia z TLS (port domyślny: 389) Uwaga: Zazwyczaj używane przez nowsze wersje serwerów LDAP.
Base DN	Określ domenę LDAP. Przykład: dc=mydomain,dc=local
Root DN	Określ użytkownika root LDAP. Przykład: cn=admin,dc=mydomain,dc=local
Hasło	Określ hasło użytkownika root.
Users base DN	Określ jednostkę organizacyjną (OU), w której przechowywani są użytkownicy. Przykład: ou=people,dc=mydomain,dc=local
Groups base DN	Określ jednostkę organizacyjną (OU), w której przechowywane są grupy. Przykład: ou=group,dc=mydomain,dc=local

1. Kliknij Zastosuj.
2. Opcjonalnie: Skonfiguruj opcje uwierzytelniania LDAP.
   Jeśli przed podłączeniem serwera NAS do katalogu LDAP włączono Sieć Microsoft Networking, pojawi się okno Opcje uwierzytelniania LDAP.
   1. Wybierz użytkowników do uwierzytelnienia.
      • Tylko użytkownicy lokalni: Tylko lokalni użytkownicy NAS mogą uzyskać dostęp do serwera NAS przez Microsoft Networking.
      • Tylko użytkownicy LDAP: Tylko użytkownicy LDAP mogą uzyskać dostęp do serwera NAS przez Microsoft Networking.
        
        
        
3. Kliknij Zakończ.

Uwierzytelnianie użytkowników i grup LDAP po podłączeniu serwera NAS do katalogu LDAP​

Uwaga:

• Jeśli przed podłączeniem serwera NAS do katalogu LDAP Sieć Microsoft Networking nie była włączona, należy uwierzytelnić użytkowników LDAP po podłączeniu serwera NAS do katalogu LDAP.
• Użytkownicy LDAP mogą uzyskać dostęp do folderów współdzielonych SMB, FTP oraz AFP.

1. Przejdź do Panel sterowania > Sieć i usługi plików > Win/Mac/NFS.
2. Wybierz Włącz usługę plików dla Microsoft Networking.
3. Wybierz typ uwierzytelniania.
   • Serwer samodzielny: Tylko lokalni użytkownicy NAS
   • Uwierzytelnianie domenowe LDAP: Tylko użytkownicy LDAP
     
     
     
4. Kliknij Zastosuj.

Wskazówka (tylko dla administratora):​

• Przejdź do Panel sterowania > Uprawnienia > Użytkownicy i wybierz Użytkownicy domeny z menu rozwijanego, aby wyświetlić użytkowników LDAP.
• Przejdź do Panel sterowania > Uprawnienia > Grupy użytkowników i wybierz Grupy domeny z menu rozwijanego, aby wyświetlić grupy LDAP.
  
  
  
• Przejdź do Panel sterowania > Uprawnienia > Foldery współdzielone > Edytuj uprawnienia folderu współdzielonego (
  
  
  
  ), aby określić uprawnienia folderu współdzielonego dla użytkowników domeny LDAP.
  
  
  

Wymagania techniczne dotyczące uwierzytelniania LDAP z Microsoft Networking​

Uwierzytelnianie użytkowników LDAP w Sieci Microsoft Networking (Samba) wymaga następujących elementów:

1. Oprogramowania innej firmy do synchronizacji hasła LDAP i Samby na serwerze LDAP.
2. Zaimportowania schematu Samby do katalogu LDAP.

(1) Oprogramowanie innej firmy:

Dostępne są rozwiązania programowe do zarządzania użytkownikami LDAP i hasłem Samby. Na przykład:

• LDAP Account Manager (LAM): Zapewnia interfejs sieciowy. Szczegółowe informacje znajdują się na stronie http://www.ldap-account-manager.org/.
• smbldap-tools: Narzędzie wiersza poleceń
• webmin-ldap-useradmin: Moduł administrowania użytkownikami LDAP dla Webmin

(2) Schemat Samby:

Szczegółowe informacje dotyczące importowania schematu Samby do serwera LDAP znajdują się w dokumentacji pomocniczej lub w często zadawanych pytaniach (FAQ) dotyczących serwera LDAP.

Plik schematu Samby wymagany do importu można znaleźć w katalogu examples/LDAP w dystrybucji źródłowej Samby.

Przykład: Dla open-ldap na serwerze Linux, na którym działa serwer LDAP (w zależności od dystrybucji Linux), wykonaj następujące kroki:

1. Skopiuj schemat Samby:
   zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
   /etc/ldap/schema/samba.schema
2. Edytuj /etc/ldap/slapd.conf (plik konfiguracyjny serwera openldap) i upewnij się, że w pliku znajdują się następujące wiersze:
   • include /etc/ldap/schema/samba.schema
   • include /etc/ldap/schema/cosine.schema
   • include /etc/ldap/schema/inetorgperson.schema
   • include /etc/ldap/schema/nis.schema

Przykładowe konfiguracje​

Uwaga: Poniższe konfiguracje można dostosować do specyficznej konfiguracji własnego serwera LDAP.

1. Serwer Linux OpenLDAP:
   Base DN: dc=qnap,dc=com
   Root DN: cn=admin,dc=qnap,dc=com
   Users Base DN: ou=people,dc=qnap,dc=com
   Groups Base DN: ou=group,dc=qnap,dc=com
2. Serwer Mac Open Directory
   Base DN: dc=macserver,dc=qnap,dc=com
   Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
   Users Base DN: cn=users,dc=macserver,dc=qnap,dc=com
   Groups Base DN: cn=groups,dc=macserver,dc=qnap,dc=com