Conexión de un QNAP NAS a un directorio LDAP
¿Qué es LDAP?
El Protocolo Ligero de Acceso a Directorios (LDAP) es un directorio que almacena información para usuarios y grupos en un servidor central. Los administradores pueden usar LDAP para administrar a usuarios en un directorio LDAP y permitirles conectarse a varios servidores NAS usando el mismo nombre de usuario y contraseña.
Esta nota de aplicación está dirigida a administradores y usuarios con conocimientos de servidores Linux, servidores LDAP y Samba. La característica LDAP de los dispositivos QNAP NAS precisa un servidor LDAP en funcionamiento.
Requisitos:
- Conexión al servidor LDAP e información de autenticación
- Estructura de LDAP (donde se almacenan usuarios y grupos)
- Configuración de seguridad del servidor LDAP
Siga estos pasos para la conexión de un QNAP NAS a un directorio LDAP.
- Inicie sesión en el NAS como administrador.
- Vaya a Panel de control > Privilegios > Seguridad de dominios.
Nota: De forma predeterminada está activado "Sin seguridad de dominio" y solo los usuarios de NAS locales pueden conectarse al NAS. - Seleccione Autenticación LDAP.
- Especifique la siguiente información:
| Campo | Descripción |
|---|---|
| Host del servidor LDAP | Especifique el nombre del host o la dirección IP del servidor LDAP. |
| Seguridad de LDAP | Especifique de qué forma se va a comunicar el NAS con el servidor LDAP:
|
| Base DN | Especifique el dominio de LDAP. Ejemplo: dc=midominio,dc=local |
| Raíz DN | Especifique el usuario raíz LDAP. Ejemplo: cn=admin,dc=midominio,dc=local |
| Contraseña | Especifique la contraseña del usuario raíz. |
| Base de usuarios DN | Especifique la unidad organizacional (OU) donde se almacenan los usuarios. Ejemplo: ou=personas,dc=midominio,dc=local |
| Base de grupos DN | Especifique la unidad organizacional (OU) donde se almacenan los grupos. Ejemplo: ou=grupo,dc=midominio,dc=local |
- Haga clic en Aplicar.
- Opcional: Configure las opciones de autenticación de LDAP.
Si está habilitado Conexiones de red de Microsoft antes conectar el NAS al directorio de LDAP, aparecerá la ventana Opciones de autenticación de LDAP.
- Seleccione los usuarios que desea autenticar.
- Solo usuarios locales: Solo los usuarios de NAS locales pueden acceder al NAS mediante Conexiones de red de Microsoft.
- Solo usuarios de LDAP Solo los usuarios de LDAP pueden acceder al NAS mediante Conexiones de red de Microsoft.
- Seleccione los usuarios que desea autenticar.
- Haga clic en Finalizar.
Autenticación de usuarios y grupos de LDAP después de conectar el NAS a un directorio LDAP
Nota:
- Si no está habilitado Conexiones de red de Microsoft antes de conectar el NAS al directorio de LDAP, deberá autenticar a los usuarios de LDAP después de conectar el NAS al directorio LDAP.
- Los usuarios de LDAP pueden acceder a las carpetas compartidas de SMB, a FTP y a AFP.
- Vaya a Panel de control > Servicios de red y de archivos > Win/Mac/NFS.
- Seleccione Habilitar servicio de archivo para redes Microsoft.
- Seleccione el tipo de autenticación.
- Servidor autónomo: Solo usuarios locales de NAS
- Autenticación en el dominio LDAP: Solo usuarios de LDAP
- Haga clic en Aplicar.
Sugerencia (solo para administradores):
- Vaya a Panel de control > Privilegio > Usuarios y seleccione Usuarios del dominio en el menú desplegable para ver los usuarios de LDAP.
- Vaya a Panel de control > Privilegio > Grupos de usuarios y seleccione Grupos del dominio en el menú desplegable para ver los grupos de LDAP.
- Vaya a Panel de control > Privilegio > Carpetas compartidas > Editar permisos de carpetas compartidas (
) para especificar los permisos de carpetas compartidas para los usuarios del dominio de LDAP.
Requisitos técnicos para la autenticación de LDAP con Conexiones de red de Microsoft
La autenticación de los usuarios de LDAP en Conexiones de red de Microsoft (Samba) requiere lo siguiente:
- Software de terceros para sincronizar la contraseña de LDAP y de Samba en el servidor de LDAP.
- Importar el esquema de Samba al directorio de LDAP.
(1) Software de terceros:
Están disponibles soluciones de software para administrar a los usuarios de LDAP y a la contraseña de Samba. Por ejemplo:
- Administrador de cuentas de LDAP (LAM): proporciona una interfaz web. Para más detalles, visite http://www.ldap-account-manager.org/.
- smbldap-tools: herramienta de la línea de comandos
- webmin-ldap-useradmin: módulo de administración de usuarios para Webmin
(2) Esquema de Samba:
Para obtener información sobre la importación del esquema de Samba al servidor LDAP, consulte la documentación de apoyo o las preguntas frecuentes para el servidor LDAP.
El archivo del esquema de Samba es necesario para la importación y se puede encontrar en el directorio examples/LDAP en la distribución del código fuente de Samba.
Ejemplo: para open-ldap en el servidor Linux donde funciona el servidor de LDAP (en función de la distribución de Linux), siga estos pasos:
- Copie el esquema de Samba:
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema - Edite /etc/ldap/slapd.conf (el archivo de configuración del servidor openldap) y asegúrese de que en el archivo se encuentren las siguientes líneas:
- include /etc/ldap/schema/samba.schema
- include /etc/ldap/schema/cosine.schema
- include /etc/ldap/schema/inetorgperson.schema
- include /etc/ldap/schema/nis.schema
Configuraciones de ejemplo
Nota: Las siguientes configuraciones se pueden adaptar para que coincidan con la configuración específica de su servidor LDAP.
- Servidor OpenLDAP de Linux:
Base DN: dc=qnap,dc=com
Raíz DN: cn=admin,dc=qnap,dc=com
Base de usuarios DN: ou=personas,dc=qnap,dc=com
Base de grupos DN: ou=grupo,dc=qnap,dc=com - Servidor Open Directory de Mac
Base DN: dc=macserver,dc=qnap,dc=com
Raíz DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
Base de usuarios DN: cn=users,dc=macserver,dc=qnap,dc=com
Base de grupos DN: cn=groups,dc=macserver,dc=qnap,dc=com
