Ustawienia serwera LDAP Server
Skonfiguruj Synology NAS jako serwer LDAP Server, aby zapewnić usługę autoryzacji kont.
Po zainstalowaniu pakietu LDAP Server i uruchomieniu go na serwerze Synology NAS wybierz Menu główne > LDAP Server, aby włączyć tę aplikację.
Włącz serwer LDAP Server
Architektura dostawca-konsument stanowi idealne rozwiązanie w przypadku wielu klientów znajdujących się w różnych obszarach fizycznych. Wszystkie serwery konsumentów okresowo replikują dane z serwera dostawcy i pełnią rolę głównych serwerów LDAP dla klientów lokalnych. Nawet jeśli dojdzie do awarii serwera dostawy lub utraty połączenia pomiędzy serwerami dostawcy/konsumenta, nie ma to wpływu na lokalnych klientów, gdy tylko działa serwer konsumenta.
W pakiecie LDAP Server istnieją dwa rodzaje serwerów:
- Serwer dostawcy: Wybierz tę opcję, jeśli serwer ma być serwerem głównym. Wszystkie serwery konsumentów będą replikowały dane z serwera dostawcy,
- Serwer konsumenta: Serwer konsumenta synchronizuje w czasie rzeczywistym dane ze swoim serwerem dostawcy, aby klonować serwer LDAP Server. Aby zmodyfikować ustawienia na serwerze konsumenta, należy skontaktować się z administratorem serwera dostawcy.
Aby włączyć pakiet LDAP Server jako serwer dostawcy i udostępnić usługę LDAP, wykonaj następujące czynności:
- Przejdź do karty Ustawienia. Zaznacz opcję Włącz serwer LDAP Server.
- Zaznacz opcję Jako serwer dostawcy.
- W polu FQDN (w pełni kwalifikowana nazwa domeny) wpisz nazwę domeny dla bazy danych LDAP.
- Wprowadź hasło Bind DN (patrz poniżej) w polu Hasło.
- Potwierdź hasło.
- Kliknij Zastosuj.
Aby włączyć serwer LDAP Server jako serwer konsumenta, który będzie replikował dane z serwera dostawcy, wykonaj następujące czynności:
- Przejdź do karty Ustawienia. Zaznacz opcję Włącz serwer LDAP Server.
- Zaznacz opcję Jako serwer konsumenta.
- W polu Adres dostawcy wprowadź nazwę domenową lub adres IP bazy danych LDAP serwera dostawcy.
- W polu Szyfrowanie określ szyfrowanie połączenia. Domyślnie stosowane jest szyfrowanie SSL/TLS.
- W polu Bind DN wprowadź opcję Bind DN (patrz poniżej) bazy danych LDAP serwera dostawcy.
- Wprowadź hasło Bind DN (patrz poniżej) w polu Hasło.
- Gdy serwer LDAP Server pełni rolę serwera konsumenta, zostanie przedstawiony stan jego połączenia z serwerem dostawcy.
- Kliknij Zastosuj.
Po zakończeniu konfiguracji następujące informacje zostaną wyświetlone w części Dane uwierzytelniania:
- Base DN: Nazwa wyróżniająca (distinguished name, DN) bazy danych LDAP pakietu LDAP Server. Jest ona generowana z określonej nazwy FQDN. Jeśli na przykład FQDN to „ldap.synology.com”, Base DN będzie mieć postać dc=ldap,dc=synology,dc=com”
- Bind DN: Nazwa wyróżniająca użytkownika root LDAP. Jeśli na przykład Base DN bazy danych LDAP to „dc=ldap,dc=sinology,dc=com,”, Bind DN użytkownika root będzie mieć postać „uid=root,cn=users,dc=ldap,dc=sinology,dc=com”
Aby powiązać klientów LDAP z serwerem LDAP Server, należy określić na nich parametr Base DN w celu połączenia z bazą danych LDAP, a następnie dokonać uwierzytelniania przy użyciu parametru Bind DN konta root lub administratora LDAP.
Uwaga:
- W celu nawiązania połączenia z serwerem LDAP Server wymagane jest podanie klientom wartości Root DN oraz Base DN.
- Więcej informacji na temat uwierzytelniania FQDN można znaleźć tutaj.
- Jeśli skonfigurowano przekierowanie portów lub reguły zapory sieciowej serwera Synology NAS, porty 389 (w przypadku połączeń LDAP) i 636 (w przypadku połączeń LDAP (SSL) muszą być prawidłowo skonfigurowane w części Panel sterowania > Dostęp zewnętrzny > Konfiguracja routera lub w części Panel sterowania > Bezpieczeństwo > Zapora sieciowa.
Konfiguracja ustawień połączenia
Kliknij przycisk Ustawienia połączenia, aby zarządzać następującymi ustawieniami:
- Nie zezwalaj na anonimowe dołączenia: Włącz tę opcję, aby nie zezwalać anonimowym użytkownikom na połączenie z serwerem LDAP Server. Do wszystkich połączeń będą wymagane konta/hasła.
- Zezwalaj tylko na szyfrowane połączenia przychodzące: Włącz tę opcję, aby zezwalać na łączenie ze swoim serwerem tylko klientom korzystającym z szyfrowanych połączeń.
- Zablokuj bezczynne połączenia (minuty): Wyłączenie bezczynnych klientów po określonym czasie.
Uwaga:
- Ustawienia połączenia są dostępne wyłącznie dla serwerów LDAP pełniących rolę serwerów dostawców.
- W zależności od metody połączenia klientów LDAP, niektóre klienty LDAP (np. Mac) wyświetlają nieprawidłowy stan połączenia, gdy włączona jest opcja Nie zezwalaj na anonimowe dołączenia. Niezależnie od wyświetlanego stanu połączenie powinno działać normalnie.