Správa uživatelů
Nastavení související s uživateli a účtem/heslem je možné spravovat v části LDAP Server > Uživatel.
Uživatel
Karta Uživatel nabízí možnosti pro správu uživatelů ve službě LDAP Server.
Vytvoření uživatele:
Uživatelský účet můžete vytvořit podle následujících pokynů:
- Klikněte na možnost Vytvořit. Tímto se spustí okno Průvodce vytvořením uživatele.
- Zadejte následující údaje o uživateli LDAP a poté klikněte na možnost Další:
- Název: Jméno uživatele je uložen jako atribut uid v databázi LDAP.
- Popis (volitelný): Popis uživatele bude uložen jako atribut gecos.
- E-mailová adresa (volitelná): E-mailová adresa bude uložena jako atribut e-mail.
- Heslo: Heslo uživatele bude uloženo jako atribut userPassword.
- Zakázat uživateli změnit heslo účtu (volitelné): Tento údaj bude uložen jako atribut shadowMin.
- Deaktivovat tento účet (volitelné): Tento údaj bude uložen jako atribut shadowExpire.
- Pokud chcete přidat uživatele do následujících integrovaných skupin, zaškrtněte příslušná políčka a klikněte na možnost Další:
- Uživatelé: Toto je výchozí skupina pro všechny uživatele LDAP. Pokud uživatelé této skupiny nebudou přidáni do skupiny administrators, nebudou mít přístupová oprávnění k systému DSM nebo protokolu LDAP.
- Directory Operators: Uživatelé této skupiny budou mít oprávnění správce k databázi LDAP.
- Administrators: Uživatelé této skupiny budou mít stejná oprávnění správce jako uživatelé admin systému DSM.
- V případě potřeby upravte další atributy uživatele a poté klikněte na možnost Další.
- Nastavení dokončíte kliknutím na možnost Použít. Rozlišující název uživatele v databázi LDAP má formát uid=[username],cn=[users],[Base_DN]
Poznámka:
Můžete nastavit datum vypršení platnosti účtu nebo zakázat změnu hesla uživatele.
Import uživatelů:
Uživatelské účty můžete importovat podle následujících pokynů.
- Klikněte na šipku vedle možnosti Vytvořit. Vyberte možnost Importovat uživatele.
- Vyberte soubor, který chcete odeslat. Soubor by měl obsahovat informace o uživateli ve formátu CSV s hodnotami oddělenými tabelátory.
- Potvrďte, že je náhled správný, a kliknutím na možnost OK importujte uživatele.
Formátování souboru:
Při připravě souboru na import by se měli účty jednotlivých uživatelů nahrát na samostatné řádky a jednotlivé hodnoty by měly být oddělené tabelátorem v následujícím pořadí (zleva doprava):
- Uživatelské jméno
- Heslo
- Popis
- E-mail
- Číslo zaměstnance
- Oddělení
- Typ zaměstnance
- Titul
- Pracovní telefon (může obsahovat číslice, pomlčky „-“, znaménka plus „+“ a závorky „(“ a „)“, maximální délka je 32 znaků)
- Domácí telefon (může obsahovat číslice, pomlčky „-“, znaménka plus „+“ a závorky „(“ a „)“, maximální délka je 32 znaků)
- Mobilní telefon (může obsahovat číslice, pomlčky „-“, znaménka plus „+“ a závorky „(“ a „)“, maximální délka je 32 znaků)
- Adresa
- Narozeniny (formát musí být RRRR/MM/DD, např. 2000/1/1)
Úprava uživatele:
Vyberte uživatelský účet a dvakrát na něj klikněte nebo kliknutím na možnost Upravit upravte nastavení účtu.
Odstranění uživatele:
Vyberte uživatele a kliknutím na možnost Odstranit odeberte uživatele.
Aktivace uživatele:
Vyberte účet uživatele, který je v danou chvíli zamčený, zakázaný nebo mu vypršela platnost, a kliknutím na možnost Aktivovat změňte jeho stav na hodnotu Normální.
Rozšířená nastavení
Karta Rozšířené nabízí možnosti upravovat rozšířená nastavení uživatele.
Konfigurace rozšířených nastavení uživatele:
Zaškrtněte políčka odpovídající vašim potřebám:
- V případě neúspěšného přihlášení zobrazit další informace: Povolením této možnosti uživateli dáte při nezdařených přihlášeních vědět, že byl účet zakázán.
- Nepovolit uživatelům měnit osobní nastavení kromě hesla: Tuto možnost povolte, jestliže uživateli nechcete dovolit upravovat údaje (například e-mailovou adresu a popis) s výjimkou hesla.
- Vynutit změnu hesla u uživatelů poté, co správce heslo obnoví: Tuto možnost povolte, pokud chcete uživatele přinutit změnit heslo poté, co mu uživatel administrator heslo obnoví.
- Použít pravidla pro sílu hesla: Tuto možnost povolte, jestliže chcete uživatelům nastavit pravidla pro sílu hesla. Učiníte tak volbou více než jednoho omezení hesla z pravidel uvedených níže.
- Heslo nesmí obsahovat jméno ani popis uživatele: Součástí hesla nesmí být uživatelské jméno ani popis uživatele. Znaky ve formátu UTF-8 jsou vyloučeny.
- Povolit různou velikost písmen: Heslo musí obsahovat velká i malá písmena.
- Obsahuje číslice: Heslo musí obsahovat alespoň jednu číslici (0–9).
- Obsahuje speciální znaky: Heslo musí obsahovat alespoň jeden speciální znak ASCII (tj., ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ", <, >, /, ?).
- Minimální délka hesla: Heslo musí být dlouhé minimálně jako hodnota stanovená v textovém poli. Délka musí být v rozmezí od 6 do 127.
- Historie hesla (kolikrát): Heslo se zaznamená ve stanoveném počtu případů. Uživateli nebude povoleno použít znovu staré heslo nacházející se v historii.
Poznámka:
- Nová pravidla pro sílu hesla se použijí pouze v případě, že dojde k vytvoření nového uživatelského účtu nebo pokud stávající uživatel svoje heslo změní. Stávající hesla a hesla patřící k importovaným uživatelským účtům jsou z pravidel pro nová hesla vyňata.
- Když se změní pravidla pro sílu hesla, můžete všechny uživatele přinutit ke změně hesla při dalším přihlášení. Platí to pro všechny uživatele, včetně správců a vás.
- Možnosti Heslo nesmí obsahovat jméno ani popis uživatele, Povolit různou velikost písmen, Obsahuje číslice a Minimální délka hesla (podle výchozího nastavení nastaveno na 8) jsou podle výchozího nastavení zaškrtnuté.
- Je-li zaškrtnutá možnost Použít pravidla pro sílu hesla, musí uživatelé nastavit neprázdné heslo i v případě, že není zaškrtnutá možnost Minimální délka hesla.
- Chcete-li zvýšit sílu hesel, doporučujeme nastavit hodnotu Minimální délka hesla na 8 a povolit minimálně tři z prvních pěti možností.
Povolit vypršení platnosti hesla:
Pokud chcete posílit zabezpečení uživatelských účtů systému DSM, je možné nastavit zásady vypršení platnosti hesel a vynutit tak u uživatelů pravidelné změny hesel.
- Maximální doba vypršení platnosti hesla (ve dnech): Nastaví maximální dobu, po kterou je možné heslo používat, než bude systém po uživateli vyžadovat jeho změnu.
- Minimální doba vypršení končení platnosti hesla (ve dnech): Nastaví minimální dobu, po kterou je nutné heslo používat, než systém uživateli povolí jeho změnu.
- Vyzvat uživatele ke změně hesla při přihlášení před vypršením platnosti (ve dnech): Při povolení této možnosti bude uživatel před vypršením platnosti vyzván, aby heslo změnil.
- Povolit uživatelům změnit heslo po vypršení jeho platnosti: Při povolení této možnosti bude uživatelům povoleno změnit heslo po vypršení platnosti. Jinak se uživatel nebude moci do systému DSM přihlásit.
- Posílat e-maily s upozorněním na vypršení platnosti: Při povolení této možnosti se ve stanovenou dobu odešle e-mail s upozorněním na vypršení platnosti. Zadat je možné více dní oddělených čárkami.
Poznámka:
Poté, co bylo povoleno vypršení platnosti hesla, vyprší platnost všech hesel, která jsou starší než stanovené období.
Automatický zámek
Funkce automatického zámku pomáhá zlepšit zabezpečení zařízení Synology NAS uzamčením účtů s příliš mnoha neúspěšnými pokusy o přihlášení. Tím se snižuje riziko napadení účtu pomocí útoků hrubou silou.
Povolení automatického zámku:
- Zaškrtněte možnost Povolit automatický zámek.
- Do pole Pokusy o přihlášení zadejte počet nezdařených pokusů o přihlášení a do pole Během (minuty) počet minut. Když dojde k překročení počtu neúspěšných pokusů o přihlášení během zadaného počtu minut, účet se uzamkne.
- Zaškrtněte možnost Povolit vypršení platnosti zámku a zadejte, za kolik minut se zámek účtu odebere.
- Nastavení uložíte kliknutím na možnost Použít.