管理使用者
您可於 LDAP Server > 使用者管理使用者及帳號 / 密碼相關的設定。
使用者帳號
使用者帳號頁籤提供了管理 LDAP Server 使用者的選項。
若要建立使用者:
請依照下列步驟來建立使用者帳號。
- 按一下新增。此動作會開啟新增使用者精靈視窗。
- 為 LDAP 使用者指定下列資訊,然後按下一步:
- 名稱:使用者名稱將在 LDAP 資料庫中儲存為 uid 屬性。
- 描述 (選擇性):使用者描述將儲存為 gecos 屬性。
- 電子郵件 (選擇性):使用者電子郵件將儲存為 mail 屬性。
- 密碼:使用者密碼將儲存為 userPassword 屬性。
- 不允許此使用者修改密碼 (選擇性):此資訊將儲存為 shadowMin 屬性。
- 停用此使用者帳號 (選擇性):此資訊將儲存為 shadowExpire 屬性。
- 勾選來加入使用者至下列內建群組並按一下下一步:
- Users:此為所有 LDAP 使用者預設群組。若此群組的使用者並未加入 administrators 群組,其將不具有 DSM 或 LDAP 管理權限。
- Directory Operators:加入此群組的使用者具有 LDAP 資料庫的管理權限。
- Administrators:加入此群組的使用者與 DSM admin 有相同的管理權限。
- 如有需要,請編輯額外使用者屬性,然後按一下下一步。
- 按一下套用來完成設定。LDAP 資料庫中的使用者識別名稱為 uid=[username],cn=[users],[Base_DN]。
注意:
您可以設定帳號到期日,或是禁止使用者更改密碼。
若要匯入清單:
請依照下列步驟匯入使用者帳號。
- 按一下新增按鈕旁的箭頭。選擇匯入使用者。
- 選擇要上傳的檔案。檔案需包含使用者資訊,格式為 CSV,並以 tab 鍵分隔各值。
- 確認預覽內容正確之後,按一下確定來匯入使用者。
檔案格式:
準備用來匯入的檔案時,使用者帳號須分別記錄在不同列,且文字值須依照下列順序以 tab 鍵分隔 (從左到右排列):
- 使用者名稱
- 密碼
- 描述
- 電子郵件
- 員工編號
- 部門
- 員工類別
- 職稱
- 辦公室電話 (可包含數字、破折號「-」、加號「+」及括號「()」,最多可輸入 32 個字元)
- 住家電話 (可包含數字、破折號「-」、加號「+」及括號「()」,最多可輸入 32 個字元)
- 行動電話 (可包含數字、破折號「-」、加號「+」及括號「()」,最多可輸入 32 個字元)
- 住址
- 生日 (格式應為年/月/日,如 2000/1/1)
若要編輯使用者:
選擇一個使用者帳號,在上面連按兩下滑鼠,或按一下編輯來修改其帳號設定。
若要移除使用者:
選擇一個使用者,並按一下刪除來移除該使用者。
若要啟動使用者:
選擇一個狀態為鎖定、停用或過期的使用者帳號,並按一下啟動來將其狀態變更為正常。
進階設定
進階設定頁籤提供了修改使用者進階設定的選項。
若要進行使用者進階設定:
依您需求勾選相對應的核取方塊:
- 登入失敗時,顯示更多資訊:啟動此選項來在使用者登入失敗時告知其帳號已被停用。
- 禁止使用者修改密碼以外的個人資訊:啟動此選項來禁止使用者修改密碼以外的資訊 (例如電子郵件位址和描述)。
- 管理者重設密碼後,強制使用者進行密碼變更:啟動此選項來在管理者重設使用者密碼後,強制該使用者進行密碼變更。
- 啟動密碼強度限制規則:啟動此選項來為使用者設定密碼強度規則。若要執行此操作,請從下列選出要套用的密碼限制規則。
- 排除使用者名稱及描述:密碼中不包含用戶名稱或描述。若用戶名稱或描述為 UTF-8 字元則不檢查。
- 包含混合大小寫:密碼必須包含大寫及小寫字母。
- 包含數字:密碼至少要有一個數字 (0~9)。
- 包含特殊字元:密碼至少要包含一個特殊字元 (例如,~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ", <, >, /, ?)。
- 最短密碼長度:密碼長度不可小於此值,且最短密碼長度為介於 6 到 127 之間的數字。
- 密碼歷史 (次數):系統會依指定次數紀錄密碼。使用者將無法重覆使用記錄中的舊密碼。
注意:
- 設定密碼強度限制規則後,只有建立新的使用者帳號或現有使用者變更密碼時,才會套用新的密碼強度限制規則,既有的密碼及透過匯入方式建立的使用者帳號則不適用。
- 若變更密碼強度規則,您可以選擇是否要強制所有使用者在下次登入時變更密碼。此設定將會套用至所有使用者,包含管理員及您的帳號。
- 密碼強度限制規則預設勾選以下四個選項:在密碼中排除使用者名稱及描述、包含混合大小寫、包含數字、最短密碼長度 (預設值為 8)。
- 若已勾選啟動密碼強度限制規則,即使未啟動最短密碼長度規則,使用者仍須設定密碼,無法將密碼設為空值。
- 若要提升密碼強度,我們建議將最短密碼長度設為 8,並至少啟動前五個選項中的三個選項。
若要啟動密碼過期:
您可以設定密碼過期規則來強制使用者定期變更密碼,以提升 DSM 使用者帳號的安全性。
- 密碼最長有效期限 (天):設定密碼最長可使用多久,使用者便須再次變更密碼。
- 密碼最短有效期限 (天):設定密碼最短須使用多久,使用者才能再次變更密碼。
- 在密碼過期前,於登入時提醒使用者變更密碼 (天):啟動此選項來在密碼過期前要求使用者變更密碼。
- 允許使用者在密碼過期後變更密碼:啟動此選項來允許使用者在密碼過期後變更密碼;否則,使用者將無法再登入 DSM。
- 寄送過期通知電子郵件:啟動此選項來在指定的時間寄送過期通知電子郵件。您可以以逗號區隔多組天數。
注意:
一旦您啟動密碼過期,任何舊於指定期限的密碼將會直接過期。
自動鎖定
自動鎖定功能可透過鎖定嘗試登入失敗多次的帳號,協助改善 Synology NAS 的安全性。此功能可降低使用暴力密碼對帳號進行破解的攻擊風險。
若要啟動自動鎖定:
- 勾選啟動自動鎖定。
- 在嘗試登入次數欄位和幾分鐘內欄位分別輸入可嘗試登入的失敗次數和時間。系統將會鎖定在設定分鐘內登入失敗超過嘗試登入次數的帳號。
- 勾選啟動鎖定過期並輸入數字來在指定分鐘後移除鎖定的帳號。
- 按一下套用來儲存設定。