管理用户
在管理用户页面中,可以管理 LDAP 用户以及与帐户凭据和登录相关的设置。
用户
用户选项卡中提供了管理 LDAP 目录中的用户的选项。
若要创建用户:
- 单击创建 > 创建用户。
- 为 LDAP 用户指定以下信息,然后单击下一步:
- 名称:用户名,作为 uid 属性存储在 LDAP 数据库中。
- 描述(可选):用户描述,存储为 gecos 属性。
- 电子邮件(可选):用户电子邮件地址,存储为 mail 属性。
- 密码:用户密码,存储为 userPassword 属性。
- 将通知邮件发送到新创建的用户:勾选此选项可向新创建了帐户的用户发送通知邮件。此选项需要启用系统电子邮件通知(在控制面板 > 通知 > 电子邮件中)。默认情况下,通知消息中不会显示用户的密码。但如果您要在通知消息中显示密码,请勾选在通知邮件中显示用户密码复选框。
- 不允许用户更改帐户密码:如果启用此选项,用户将无法更改其密码。此信息存储为 shadowMin 属性。
- 禁用此帐户:此信息存储为 shadowExpire 属性。
- 在加入群组页面中选择用户所属的群组,然后单击下一步。
- 如有需要,请在更多属性页面中为用户添加其他属性,然后单击下一步。
- 单击完成以完成设置。LDAP 数据库中用户的识别名 (DN) 为“uid=username,cn=users,Base DN”。
若要导入用户:
- 单击创建 > 导入用户。
- 根据需要勾选以下选项:
- 覆盖重复帐户:如果您想使用用户列表中的帐户来替换重复帐户,请勾选此选项。
- 将通知邮件发送到新创建的用户:勾选此选项可向新创建了帐户的用户发送通知邮件。此选项需要启用系统电子邮件通知(在控制面板 > 通知 > 电子邮件中)。
- 在通知邮件中显示用户密码:此选项在勾选了将通知邮件发送到新创建的用户时可用。如果您希望在通知消息中显示密码,请勾选此选项。
- 首次登录时强制更改导入用户的密码:如果您希望强制导入的用户在首次登录时更改其密码,请勾选此选项。此选项可为导入的帐户添加额外保护。
- 从分隔符下拉菜单中选择用于在列表中分隔字段的分隔符类型。
- 单击浏览以选择要上传的 .txt 或 .csv 文件。
- 确认预览正确并单击确定以导入。
注:
准备要导入的文件时,请将每个用户帐户置于不同行。每条信息应按以下顺序由分隔符进行分隔(从分隔符下拉菜单中选择制表符、逗号或分号):
- 用户名
- 密码
- 描述
- 电子邮件
- 员工编号
- 部门
- 员工类型
- 职称
- 工作电话
- 住宅电话
- 移动电话
- 地址
- 生日(格式应为 YYYY/MM/DD,如 2000/1/1)
- 群组名称
导入文件的格式应满足以下要求:
- 导入文件必须采用 UTF-8 格式。
- 列的顺序必须正确(从左到右)。
- 每行信息必须包含 13 个分隔符。如果您要跳过某条信息(例如描述),您仍需要输入分隔符以将此空白值与下一个值(例如电子邮件)分隔。
- 工作电话、住宅电话和移动电话可以包含数字、破折号 (-)、加号 (+) 以及圆括号,长度上限为 32 个字符。
- 如果要将用户添加到多个群组,请在群组之间插入逗号 (,),并用一对引号 (") 将它们括起来,例如 "Group_A,Group_B,Group_C"。
若要编辑用户属性:
- 在用户选项卡中选择要编辑的用户,然后单击编辑。
- 在对应选项卡中编辑用户属性。
- 单击确定以保存设置。
若要删除用户:
- 在用户选项卡中选择要删除的用户,然后单击删除。
- 在弹出消息中再次单击删除以确认删除。
注:
- 还可以通过右键单击用户,然后单击删除来删除用户帐户。
- 可以按住 Ctrl 或 Shift 键来选择多个用户。
- 用户的删除操作无法还原。
若要激活用户:
选择当前锁定、禁用或到期的用户帐户,然后单击激活以将其状态更改为正常。
注:
- 还可以通过右键单击用户,然后单击激活来激活用户帐户。
- 可以按住 Ctrl 或 Shift 键来选择多个用户。
高级
高级选项卡提供选项以修改高级用户设置。
若要配置高级用户设置:
根据需要勾选相应的复选框:
- 登录失败时显示更多信息:启用此选项可让用户在登录失败时知道该帐户已被禁用。
- 请勿让用户更改除密码外的个人设置:如果您不想让用户修改除密码外的信息(如电子邮件地址和描述),则启用此选项。
- 管理员重置密码后,强制用户更改密码:如果您想在管理员重置其密码后强制用户更改密码,则启用此选项。
- 应用密码强度规则:如果您想为用户设置密码强度规则,则启用此选项。可以选择以下多个密码限制:
- 在密码中排除用户名称及描述:密码中不能包含用户名或用户描述。UTF-8 编码字符不在此限制中。
- 包括混合大小写:密码须包含大小写字母。
- 包含数字:密码必须至少包含一个数字字符 (0 - 9)。
- 包含特殊字符:密码必须至少包含一个 ASCII 特殊字符(即 ~ ` ! @ # $ % ^ & * ( ) - _ = + [ { ] } \ | ; : ' " < > / ? , .)。
- 排除常用密码:禁止用户设置常用密码,例如“123456”、“password”、“qwerty”等。
- 最短密码长度:密码长度不可小于文本字段中指定的值。密码长度必须介于 6 到 127 个字符之间。
- 密码历史(次数):密码必须不同于之前设置的密码,可在此处指定密码须相异的次数。
注:
- 只有在创建新用户帐户或现有用户更改其密码时,才会应用新密码强度规则。新密码强度规则不适用于现有用户帐户密码以及属于导入用户帐户的密码。
- 修改密码强度规则时,您可以选择是否强制所有用户在下次登录时更改密码。此设置会应用于所有用户,包括管理员和您自己。
- 在密码中排除用户名称及描述、包括混合大小写、包含数字和最短密码长度(默认情况下设置为 8)选项在默认情况下处于勾选状态。
- 如果勾选了应用密码强度规则,则即使未勾选最短密码长度,用户也需要设置非空密码。
- 为了增强密码强度,建议将最短密码长度设置为 8,并至少启用前五个选项中的三个。
若要启用密码期限:
若要加强用户帐户的安全性,您可以勾选启用密码到期,设置以下密码到期策略以强制执行定期密码更改。
- 密码期限上限(天数):指定密码将于多少天后到期。
- 密码更改的最短时间间隔(天数):勾选复选框可启用此功能,并指定在多少天之后才允许用户更改其密码。
- 在密码到期前,于登录时提示用户更改密码(天数):勾选此复选框可让 DSM 在用户登录时提示密码更新请求。您需要指定到期日期之前的天数,以使其生效。
- 允许用户在密码到期后更改密码:勾选此复选框可让用户在密码到期后更改密码;否则用户便无法再登录到 LDAP 客户端(例如 DSM)。
- 发送到期通知电子邮件:勾选此复选框可在指定的时间发送到期通知电子邮件。您可输入多个天数,用逗号分隔。
注:
密码到期启用后,早于指定时间段的所有密码都将到期。
自动锁定
自动锁定功能通过锁定登录尝试失败次数过多的帐户来提高Synology NAS的安全性。此功能可降低他人以暴力攻击方式入侵帐户的风险。
若要启用自动锁定:
- 请勾选启用自动锁定。
- 在尝试登录次数字段中输入可尝试登录失败的次数,并在几(分钟)内字段内输入时间。如果在指定分钟数内登录失败次数超出该数字,则该帐户将被锁定。
- 勾选启用锁定期限并输入数字,在指定分钟数后解锁被锁定的帐户。
- 单击应用以保存设置。