LDAP Server Einstellungen
Richten Sie die Synology NAS als LDAP-Server ein, um einen Kontoauthentifizierungsdienst bereitzustellen.
Gehen Sie, nachdem das Paket LDAP Server installiert und auf Ihrer Synology NAS gestartet wurde, zu Hauptmenü > LDAP Server, um den Dienst zu aktivieren.
LDAP Server aktivieren
Die Provider-Consumer-Architektur ist eine ideale Lösung, wenn Sie mehrere Clients in unterschiedlichen physischen Bereichen haben. Alle Consumer-Server replizieren regelmäßig Daten vom Provider-Server und fungieren als Haupt-LDAP-Server für lokale Clients. Auch wenn der Provider-Server ausgefallen oder die Verbindung zwischen den Provider-/Consumer-Server unterbrochen ist, sind lokale Clients nicht beeinträchtigt, solange die Consumer-Server funktionsfähig bleiben.
LDAP Server umfasst zwei Arten von Servern:
- Den Provider-Server: Wählen Sie diese Option aus, wenn Ihr Server der Master-Server sein soll. Alle Consumer-Server replizieren Daten vom Provider-Server.
- Den Consumer-Server: Der Consumer-Server synchronisiert in Echtzeit mit seinem Provider-Server, um einen LDAP-Server zu klonen. Wenn Sie Einstellungen des Consumer-Servers ändern möchten, müssen Sie sich an den Administrator des Provider-Servers wenden.
Um Ihr Synology NAS als Provider-Server zu konfigurieren, gehen Sie wie folgt vor:
- Gehen Sie zur Registerkarte Einstellungen. Setzen Sie ein Häkchen bei LDAP Server aktivieren.
- Setzen Sie ein Häkchen bei Als Provider-Server.
- Geben Sie in das Feld FQDN (Fully Qualified Domain Name) einen Domainnamen für die LDAP-Datenbank ein.
- Geben Sie das Kennwort von Bind DN (siehe unten) in das Feld Kennwort ein.
- Bestätigen Sie das Kennwort.
- Klicken Sie auf Übernehmen.
Um Ihr Synology NAS als Consumer-Server zu konfigurieren, gehen Sie wie folgt vor:
- Gehen Sie zur Registerkarte Einstellungen. Setzen Sie ein Häkchen bei LDAP Server aktivieren.
- Setzen Sie ein Häkchen bei Als Consumer-Server.
- Geben Sie in das Feld Provider-Adresse den Domainnamen oder die IP-Adresse der LDAP-Datenbank des Provider-Servers ein.
- Geben Sie im Feld Verschlüsselung die Verbindungsverschlüsselung an. Standardmäßig ist die Verschlüsselung SSL/TLS.
- Geben Sie in das Feld Bind DN die Bind DN (siehe unten) der LDAP-Datenbank des Provider-Servers ein.
- Geben Sie das Kennwort von Bind DN (siehe unten) in das Feld Kennwort ein.
- Wenn LDAP Server als Consumer-Server fungiert, wird sein Verbindungsstatus mit dem Provider-Server angezeigt.
- Klicken Sie auf Übernehmen.
Nach Abschluss der Einrichtung werden unter Authentifizierungsinformationen folgende Informationen angezeigt:
- Base DN: Der eindeutige Name der LDAP-Datenbank von LDAP Server. Er wird aus dem angegebenen FQDN erzeugt. Lautet der FQDN beispielsweise „ldap.synology.com“, ist seine Base DN „dc=ldap,dc=synology,dc=com“.
- Bind DN: Der eindeutige Name für den Root von LDAP. Ist beispielsweise die Base DN der LDAP-Datenbank „dc=ldap,dc=synology,dc=com“, lautet die Bind DN ihres Root „uid=root,cn=users,dc=ldap,dc=synology,dc=com“.
Wenn Client-Geräte an das LDAP-Verzeichnis gebunden werden müssen, müssen sie die Base DN angeben, um die Verbindung zur LDAP-Datenbank herzustellen, und sich dann mit der Bind DN von Root oder einem LDAP-Administratorkonto authentifizieren.
Anmerkung:
- Eine Root DN und eine Base DN müssen für die Clients zur Bindung an das LDAP-Verzeichnis bereitgestellt werden.
- Weitere Informationen über FQDN finden Sie hier.
- Wenn Sie Portweiterleitungs- oder Firewall-Regeln für Ihre Synology NAS eingerichtet haben, achten Sie darauf, dass die Ports 389 (für LDAP-Verbindungen) und 636 (für LDAP-SSL-Verbindungen) unter Systemsteuerung > Externer Zugriff > Routerkonfiguration bzw. unter Systemsteuerung > Sicherheit > Firewall richtig konfiguriert sind.
Verbindungseinstellungen konfigurieren
Klicken Sie auf die Schaltfläche Verbindungseinstellungen, um folgende Einstellungen zu verwalten:
- Anonyme Bindungen untersagen: Aktivieren Sie diese Option, wenn Sie nicht möchten, dass anonyme Benutzer die Verbindung zu Ihrem LDAP-Server herstellen. Für alle Verbindungen sind Konten/Kennwörter erforderlich.
- Nur verschlüsselte eingehende Verbindungen zulassen: Aktivieren Sie diese Option, um es nur Clients mit verschlüsselten Verbindungen zu erlauben, die Verbindung zu Ihrem Server herzustellen.
- Inaktive Verbindungen trennen (Minuten): Trennt inaktive Clients nach der angegebenen Zeit.
Anmerkung:
- Verbindungseinstellungen sind nur für Synology NAS verfügbar, die als Provider-Server fungieren.
- Manche LDAP-Clients (z. B. macOS-Rechner) können nicht an das LDAP-Verzeichnis gebunden werden, wenn die Option Anonyme Bindungen untersagen aktiviert ist.