Gestire gli utenti
Nella pagina Gestisci utenti, è possibile gestire utenti LDAP e le impostazioni relative alle credenziali e agli accessi agli account.
Utente
La scheda Utente fornisce le opzioni per gestire gli utenti nella directory LDAP.
Per creare un utente:
- Fare clic su Crea > Crea utente.
- Specificare le seguenti informazioni per utente LDAP, quindi fare clic su Avanti:
- Nome: il nome utente memorizzato come attributo uid nel database LDAP.
- Descrizione (opzionale): la descrizione dell'utente memorizzata come attributo gecos.
- E-mail (opzionale): l'indirizzo e-mail dell'utente memorizzato come attributo mail.
- Password: la password dell'utente archiviata come attributo userPassword.
- Inviare un'e-mail di notifica all'utente appena creato: spuntare questa opzione per inviare un messaggio di notifica all'utente il cui account è stato creato di recente. Quest'opzione richiede l'abilitazione delle notifiche e-mail del sistema su Pannello di controllo > Notifica > E-mail. Per impostazione predefinita, la password dell'utente non è visualizzata nel messaggio di notifica. Tuttavia, per visualizzare la password nel messaggio di notifica, spuntare la casella di controllo Visualizza password utente nell’e-mail di notifica.
- Non consentire all'utente di modificare la password account: se questa opzione è attivata, l'utente non sarà in grado di modificare la propria password. Questa informazione è memorizzata come attributo shadowMin.
- Disabilita questo account: questa informazione è memorizzata come attributo shadowExpire.
- Selezionare i gruppi a cui appartiene l'utente nella pagina Partecipa a gruppi, quindi fare clic su Avanti.
- Se necessario, aggiungere ulteriori attributi per l'utente nella pagina Altri attributi e fare clic su Avanti.
- Fare clic su Fine per completare la configurazione. Il nome distinto (DN) dell'utente nel database LDAP è "uid=username,cn=users,Base DN".
Per importare utenti:
- Fare clic su Crea > Importa utenti.
- Spuntare le opzioni seguenti in base alle proprie esigenze:
- Sovrascrivere gli account duplicati: selezionare questa opzione per sostituire gli account duplicati con quelli presenti nell'elenco utenti.
- Inviare un'e-mail di notifica all'utente appena creato: spuntare questa opzione per inviare un messaggio di notifica all'utente il cui account è stato creato di recente. Quest'opzione richiede l'abilitazione delle notifiche e-mail del sistema su Pannello di controllo > Notifica > E-mail.
- Visualizza password utente nell’e-mail di notifica: questa opzione è disponibile quando Invia messaggio di notifica all'utente appena creato è selezionata. Selezionare questa opzione se si desidera visualizzare la password nel messaggio di notifica.
- Forzare la modifica della password per gli utenti importati al momento dell'accesso iniziale: selezionare questa opzione per forzare gli utenti importati a modificare la password al momento dell'accesso iniziale. Questa opzione aggiunge un'ulteriore protezione agli account importati.
- Selezionare il tipo di delimitatore utilizzato per separare i campi nell'elenco dal menu a discesa Delimitatore.
- Fare clic su Sfoglia per selezionare un file .txt o .csv da caricare.
- Confermare la correttezza dell'anteprima e fare clic su OK per importare.
Nota:
quando si prepara un file da importare, posizionare ciascun account utente su una singola riga. Ogni informazione deve essere separata da un delimitatore nel seguente ordine (scegliere scheda, virgola o punto e virgola dal menu a discesa Delimitatore):
- Nome utente
- Password
- Descrizione
- E-mail
- Numero dipendente
- Reparto
- Tipo dipendente
- Titolo
- Telefono lavoro
- Telefono casa
- Telefono cellulare
- Indirizzo
- Data di nascita (il formato deve essere AAAA/MM/GG come 2000/1/1)
- Nome gruppo
Il formato di un file di importazione deve soddisfare i seguenti requisiti:
- Il file di importazione deve essere in formato UTF-8.
- L'ordine delle colonne deve essere corretto (da sinistra a destra).
- Ogni riga di informazioni deve contenere 13 delimitatori. Per ignorare un'informazione (ad esempio, Descrizione), è comunque necessario immettere un delimitatore per separare il valore vuoto dal valore successivo (ad esempio, e-mail).
- Telefono lavoro, Telefono casa e Cellulare possono includere cifre, trattini (-), segni più (+) e parentesi, mentre la lunghezza massima è 32 caratteri.
- Per aggiungere un utente a più gruppi, inserire una virgola (,) tra i gruppi e racchiudere i gruppi con una coppia di virgolette ("), ad esempio "Group_A,Group_B,Group_C".
Per modificare le proprietà utente:
- Selezionare l'utente da modificare nella scheda Utente e fare clic su Modifica.
- Modificare le proprietà utente nelle schede corrispondenti.
- Fare clic su OK per salvare le impostazioni.
Nota:
- è possibile modificare un utente anche con i metodi seguenti:
- Fare doppio clic su un utente.
- Con il pulsante destro del mouse, fare clic su un utente e poi su Modifica.
Per eliminare un utente:
- Selezionare l'utente da eliminare nella scheda Utente e fare clic su Elimina.
- Fare di nuovo clic su Elimina nel messaggio a comparsa per confermare l'eliminazione.
Nota:
- è possibile eliminare un account utente anche facendo clic con il pulsante destro del mouse su un utente, quindi su Elimina.
- È possibile selezionare più utenti tenendo premuto il tasto Ctrl o Maiusc.
- l'eliminazione degli utenti è irreversibile.
Per attivare un utente:
Selezionare un account attualmente bloccato, disabilitato o scaduto e fare clic su Attiva per modificare lo stato in Normale.
Nota:
- è possibile eliminare un account utente anche facendo clic con il pulsante destro del mouse su un utente, quindi su Attiva.
- È possibile selezionare più utenti tenendo premuto il tasto Ctrl o Maiusc.
Avanzate
Nella scheda Avanzate sono fornite le opzioni per modificare le impostazioni utente avanzate.
Per configurare le impostazioni utente avanzate:
Spuntare le caselle corrispondenti in base alle proprie esigenze:
- Mostra altre informazioni quando l'accesso ha esito negativo: abilitare quest'opzione per consentire all'utente di vedere gli errori di accesso a causa dei quali l'account è stato disabilitato.
- Non consentire agli utenti di modificare le impostazioni personali tranne la password: abilitare quest'opzione per non consentire all'utente di modificare le informazioni (quali indirizzo e-mail e descrizione), tranne la password.
- Forza gli utenti a cambiare la password dopo che l’amministratore l’ha reimpostata: abilitare quest'opzione per forzare l'utente alla modifica della password dopo la reimpostazione da parte dell'amministratore.
- Applica regole di complessità della password: abilitare quest'opzione per configurare le regole di resistenza della password per l'utente. È possibile selezionare più di una limitazione della password fra le seguenti:
- Escludere il nome e la descrizione dell'utente dalla password: la password non deve contenere il nome utente o la descrizione dell'utente. Sono esclusi i caratteri codificati UTF-8.
- Includi maiuscole e minuscole: la password deve contenere maiuscole e minuscole.
- Includi carattere numerico: la password deve contenere almeno un carattere numerico (0 - 9).
- Includi carattere speciale: la password deve contenere almeno un carattere speciale ASCII (i.e., ~ ` ! @ # $ % ^ & * ( ) - _ = + [ { ] } \ | ; : ' " < > / ? , .).
- Escludi password comune: impedire agli utenti di impostare password comuni, come "123456", "password", "qwerty", etc.
- Lunghezza minima della password: è necessario specificare almeno un valore per la lunghezza della password nel campo di testo. La lunghezza deve essere un numero compreso tra 6 e 127.
- Cronologia password (ore): la password deve essere diversa da quelle impostate in precedenza, il cui numero deve essere specificato qui.
Nota:
- le regole di complessità della nuova password si applicano solo quando si crea un nuovo account utente o quando un utente esistente modifica la propria password. Le password esistenti e quelle relative ad account utenti importati sono escluse dalle regole della nuova password.
- Quando vengono modificate le regole di complessità della password, è possibile scegliere se imporre a tutti gli utenti di modificare le password al successivo accesso. Questa azione viene applicata a tutti gli utenti, inclusi gli amministratori e l'utente.
- Le opzioni Escludere il nome e la descrizione dell'utente dalla password, Includi maiuscole e minuscole, Includi caratteri numerici e Lunghezza minima della password (impostata su 8 per impostazione predefinita) sono selezionate per impostazione predefinita.
- Se l'opzione Applica regole di complessità della password è selezionata, agli utenti viene richiesto di impostare una password non vuota anche se la Lunghezza minima della password non è selezionata.
- Per migliorare la complessità delle password, si consiglia di impostare una Lunghezza minima della password su 8 e di abilitare almeno tre delle prime cinque opzioni.
Per abilitare la scadenza password:
Per rafforzare la protezione degli account utente, è possibile selezionare Attiva scadenza password, impostando i seguenti criteri di scadenza password per applicare modifiche periodiche e regolari alle password.
- Periodo massimo scadenza password (giorni): specificare il numero di giorni dopo il quale la password scade.
- Intervallo minimo per modifica password (giorni): spuntare la casella di controllo per abilitare questa funzione e specificare il numero di giorni prima del quale gli utenti non potranno modificare le proprie password.
- Richiedere agli utenti di modificare la password all'accesso prima della scadenza (giorni): selezionare la casella di controllo per consentire a DSM di richiedere le richieste di aggiornamento della password quando gli utenti effettuano l'accesso. È necessario specificare il numero di giorni prima della data di scadenza per l'entrata in vigore.
- Consenti agli utenti di modificare la password dopo la scadenza: spuntare questa casella di controllo per consentire agli utenti di modificare la password dopo la scadenza; in caso contrario, l'utente non potrà più accedere ai client LDAP (es., DSM).
- Invia e-mail di notifica password: spuntare questa casella di controllo per inviare un'e-mail di notifica della scadenza alla data specificata. È possibile inserire più giorni separati con una virgola.
Nota:
dopo avere abilitato la scadenza della password, tutte le password precedenti al periodo specificato scadranno.
Blocco automatico
La funzione di blocco automatico migliora la sicurezza di Synology NAS bloccando gli account con troppi tentativi di accesso non riusciti. Questa funzione contribuisce a ridurre il rischio di account danneggiati da attacchi forzati.
Per abilitare il blocco automatico:
- Spuntare Attiva blocco automatico.
- Immettere un numero di tentativi di accesso falliti nel campo Tentativi di accesso e un numero di minuti nel campo Entro (minuti). Un account sarà bloccato se raggiunge il numero di tentativi di accesso non riusciti entro il numero di minuti specificato.
- Spuntare Attiva scadenza blocco e inserire un numero per sbloccare un account bloccato dopo il numero di minuti indicato.
- Fare clic su Applica per salvare le impostazioni.