QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Anschluss des QNAP NAS an ein LDAP Directory

Was ist LDAP?

LDAP steht für Lightweight Directory Access Protocol. Dabei handelt es sich um ein Directory (Verzeichnis), das die Informationen aller Benutzer und Gruppen in einem zentralen Server speichern kann. Mit LDAP kann der Administrator die Benutzer im LDAP Directory verwalten und ihnen gestatten, sich mit ein und demselben Benutzernamen und Passwort mit mehreren NAS-Servern zu verbinden.

Dieser Anwendungshinweis richtet sich an Administratoren und Benutzer, die sich mit Linux-Servern, LDAP-Servern und Samba auskennen. Ein konfigurierter, aktiver LDAP-Server ist Voraussetzung für die Nutzung der LDAP-Funktion des QNAP NAS.

Erforderliche Informationen/Einstellungen:

  • Die LDAP-Serververbindung und Authentifizierung
  • Die LDAP-Hierarchie, in der Benutzer und Gruppen gespeichert werden
  • Die Sicherheitseinstellungen des LDAP-Servers

Gehen Sie wie folgt vor, um den QNAP NAS mit einem LDAP Directory zu verbinden.

  1. Melden Sie sich als Administrator auf der Internetoberfläche des NAS an.
  2. Gehen Sie zu “Access Right Management” (Verwaltung Zugangsrechte) > “Domain Security” (Domänensicherheit). Die Option “No domain security” (Keine Domänensicherheit) ist standardmäßig aktiviert. Das bedeutet, dass lokale NAS-Benutzer sich mit dem NAS verbinden können.
  3. Wählen Sie “LDAP authentication” (LDAP Authentifizierung) und nehmen Sie die erforderlichen Einstellungen vor.
  • LDAP Server Host: Der Hostname oder die IP-Adresse des LDAP-Servers.
  • LDAP Security (LDAP Sicherheit): Legen Sie fest, wie der NAS mit dem LDAP-Server kommuniziert:
    1. ldap:// = Standard-LDAP-Verbindung (Standard-Port: 389).
    2. ldap:// (ldap + SSL) = Verschlüsselte Verbindung mit SSL (Standard-Port: 686).
      Dies wird in der Regel von älteren LDAP-Serverversionen verwendet.
    3. ldap:// (ldap + TLS) = Verschlüsselte Verbindung mit TLS (Standard-Port: 389).
      Dies wird in der Regel von neueren LDAP-Serverversionen verwendet.
  • BASE DN: Die LDAP-Domäne. Beispiel: dc=mydomain,dc=local
  • Root DN: Die LDAP-Root-Benutzer. Beispiel: cn=admin, dc=mydomain,dc=local
  • Password (Passwort): Das Passwort des Root-Benutzers.
  • Users Base DN (Base DN Benutzer): Die Organisationseinheit (OU), in der Benutzer gespeichert werden. Beispiel: ou=people,dc=mydomain,dc=local
  • Groups Base DN (Base DN Gruppen): Die Organisationseinheit (OU), in der Gruppen gespeichert werden. Beispiel: ou=group,dc=mydomain,dc=local
  • Password Encryption Type (Passwort-Verschlüsselungsart): Auswahl der Verschlüsselungsart, die der LDAP-Server für die Speicherung des Passwortes verwendet. Sie muss mit der der LDAP-Serverkonfiguration identisch sein.

Klicken Sie auf “APPLY” (Übernehmen), um die Einstellungen zu speichern. Wenn die Konfiguration erfolgreich war, kann der NAS eine Verbindung zum LDAP-Server herstellen.

Erlauben Sie LDAP-Benutzern und -Gruppen den Zugriff auf gemeinsame Ordner auf dem NAS.

Wenn der NAS mit einem LDAP-Server verbunden ist, hat der Administrator folgende Möglichkeiten:

  • Zu “Access Right Management” (Verwaltung Zugangsrechte) > “Users” (Benutzer) wechseln und “Domain Users” (Domänenbenutzer) im Dropdown-Menü auswählen. Der Liste der LDAP-Benutzer wird angezeigt.
  • Zu “Access Right Management” (Verwaltung Zugangsrechte) > “User Groups” (Benutzergruppen) wechseln und “Domain Groups” (Domänengruppen) im Dropdown-Menü auswählen. Der Liste der LDAP-Gruppen wird angezeigt.
  • Unter “Access Right Management” (Verwaltung Zugangsrechte) > “Shared Folders” (Gemeinsame Ordner) > “Folder Permissions” (Ordnerberechtigungen) .
    Zugriffsberechtigungen der LDAP Domänenbenutzer oder –gruppen für Ordner festlegen.


Technische Anforderungen der LDAP-Authentifizierung mit Microsoft Networking:

Erforderliche Objekte für die Authentifizierung der LDAP-Benutzer in Microsoft Networking (Samba):

  1. Eine Software von einem Drittanbieter für die Synchronisierung des Passwortes zwischen LDAP und Samba im LDAP-Server.
  2. Import des Samba-Struktur in das LDAP-Directory.

(1) Software von Drittanbietern:

Für die Verwaltung von LDAP-Benutzern inklusive Samba-Passwort ist Software erhältlich. Beispiel:

  • LDAP Account Manager (LAM), mit einer Bedienoberfläche im Internet, erhältlich unter: http://www.ldap-account-manager.org/
  • smbldap-tools (Befehlszeilen-Tool)
  • webmin-ldap-useradmin – LDAP-Benutzerverwaltungsmodul für Webmin.

(2) Samba-Struktur:

Für den Import der Samba-Struktur in den LDAP-Server informieren Sie sich bitte in der Dokumentation oder den FAQ des LDAP-Servers.

Die hierfür erforderliche Datei samba.schema befindet sich im Verzeichnis examples/LDAP in der Samba-Quellcodedistribution.

Beispiel für open-ldap im Linux-Server, wo der LDAP-Server ausgeführt wird (kann je nach Linux-Distribution unterschiedlich sein):

Kopieren Sie die Samba-Struktur:

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > 
/etc/ldap/schema/samba.schema

Bearbeiten Sie /etc/ldap/slapd.conf (openldap Serverkonfigurationsdatei) und versichern Sie sich, dass die Datei folgende Zeilen enthält:

include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema

Beispiele für eine Konfiguration:

Es folgen einige Beispiele für eine Konfiguration. Sie sind nicht bindend und müssen für die Konfiguration des jeweiligen LDAP-Servers angepasst werden:

  1. Linux OpenLDAP Server:

    Base DN: dc=qnap,dc=com
    Root DN: cn=admin,dc=qnap,dc=com
    Users Base DN (Base DN Benutzer): ou=people,dc=qnap,dc=com
    Groups Base DN (Base DN Gruppen): ou=group,dc=qnap,dc=com

  2. Mac Open Directory Server

    Base DN: dc=macserver,dc=qnap,dc=com
    Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
    Users Base DN (Base DN Benutzer): cn=users,dc=macserver,dc=qnap,dc=com
    Groups Base DN (Base DN Gruppen): cn=groups,dc=macserver,dc=qnap,dc=com

Veröffentlichungsdatum: 2013-07-01
War es hilfreich?
Vielen Dank für Ihre Rückmeldung.
Vielen Dank für Ihre Rückmeldung. Wenden Sie sich bei Fragen bitte an support@qnap.com
38% der Nutzer fanden es hilfreich.