Serwery NAS firmy QNAP - oficjalna strona w Polsce (NAS)

Language

Support

Łączenie serwera QNAP NAS z katalogiem LDAP

Co to jest LDAP?

LDAP (Lightweight Directory Access Protocol) to protokół dostępu do usług katalogowych. Umożliwia on przechowywanie informacji wszystkich użytkowników i grup na centralnym serwerze. Korzystając z protokołu LDAP, administrator może zarządzać użytkownikami w katalogu LDAP oraz zezwalać im na nawiązywanie połączeń z wieloma serwerami NAS przy użyciu tej samej nazwy i hasła.

Niniejsze uwagi są przeznaczone dla administratorów i użytkowników dysponujących wiedzą na temat serwerów Linux i LDAP oraz protokołu Samba. Do korzystania z funkcji LDAP serwera QNAP NAS wymagany jest działający serwer LDAP.

Wymagane informacje/ustawienia:

  • Połączenie z serwerem LDAP i dane uwierzytelniania
  • Struktura katalogu LDAP ze skonfigurowanymi użytkownikami i grupami
  • Ustawienia zabezpieczeń serwera LDAP

Aby połączyć serwer QNAP NAS z katalogiem LDAP, wykonaj poniższe czynności:

  1. Zaloguj się na serwerze NAS jako administrator (za pośrednictwem interfejsu WWW).
  2. Przejdź do pozycji „Prawa dostępu” > „Zabezpieczenia domeny”. Domyślnie włączona jest opcja „Brak zabezpieczenia domeny”. Oznacza to, że tylko lokalni użytkownicy serwera NAS mogą się łączyć z tym serwerem.
  3. Zaznacz opcję „Autoryzacja LDAP” i wprowadź odpowiednie ustawienia.

  • Host serwera LDAP: Nazwa hosta lub adres IP serwera LDAP
  • Zabezpieczenie LDAP: Podaj metodę komunikacji serwera NAS z serwerem LDAP:
    1. ldap:// = Użyj standardowego połączenia LDAP (port domyślny: 389).
    2. ldap:// (ldap + SSL) = Użyj szyfrowanego połączenia SSL (port domyślny: 686). Z tej metody korzystają zwykle starsze wersje serwerów LDAP.
    3. ldap:// (ldap + TLS) = Użyj szyfrowanego połączenia TLS (port domyślny: 389). Z tej metody korzystają zwykle nowsze wersje serwerów LDAP.
  • Bazowa nazwa wyróżniająca: Nazwa domeny LDAP. Na przykład: dc=mojadomena,dc=lokalna
  • Administrator bazy danych: Użytkownik z uprawnieniami administracyjnymi (root) na serwerze LDAP. Na przykład: cn=administrator, dc=mojadomena,dc=lokalna
  • Hasło: Hasło administratora.
  • Użytkownicy bazy DN: Jednostka organizacyjna, do której należą użytkownicy. Na przykład: ou=osoby,dc=mojadomena,dc=lokalna
  • Grupy bazy DN: Jednostka organizacyjna, do której należą grupy. Na przykład: ou=grupa,dc=mojadomena,dc=lokalna
  • Rodzaj szyfrowania hasła: Wybierz, jak serwer LDAP ma szyfrować przechowywane hasło. To ustawienie musi być zgodne z konfiguracją serwera LDAP.

Kliknij przycisk „ZAPISZ”, aby zapisać ustawienia. Po zakończeniu konfiguracji serwer NAS będzie mógł nawiązać połączenie z serwerem LDAP.
Przyznaj użytkownikom i grupom z katalogu LDAP uprawnienia dostępu do folderów współdzielonych na serwerze NAS.

Po nawiązaniu połączenia między serwerem NAS a serwerem LDAP administrator uzyskuje następujące możliwości:

  • Dostęp do opcji „Prawa dostępu” > „Użytkownicy” > (menu rozwijane) „Użytkownicy domen”. Zostanie wyświetlona lista użytkowników z katalogu LDAP.
  • Dostęp do opcji „Prawa dostępu” > „Grupy użytkowników” > (menu rozwijane) „Grupy domen”. Zostaną wyświetlone grupy z katalogu LDAP.
  • Określanie uprawnień użytkowników i grup domen LDAP do folderów w obszarze „Prawa dostępu” > „Foldery współdzielone” > „Uprawnienia folderów” .


Wymagania techniczne uwierzytelniania LDAP w protokole Microsoft Networking:

Uwierzytelnianie użytkowników LDAP w protokole Microsoft Networking (Samba) wymaga następujących elementów:

  1. Oprogramowanie zewnętrzne do synchronizacji haseł między protokołami LDAP i Samba na serwerze LDAP
  2. Zaimportowanie schematu protokołu Samba do katalogu LDAP

(1) Oprogramowanie zewnętrzne:

Programy umożliwiające zarządzanie użytkownikami w katalogu LDAP oraz obsługujące hasła w protokole Samba. Na przykład:

  • LDAP Account Manager (LAM) z interfejsem WWW, dostępny pod adresem:
    http://www.ldap-account-manager.org/
  • smbldap-tools (narzędzie wiersza polecenia)
  • webmin-ldap-useradmin — moduł narzędzia Webmin do administrowania użytkownikami w katalogu LDAP.

(2) Schemat protokołu Samba:

Instrukcje importowania schematu protokołu Samba na serwer LDAP można znaleźć w dokumentacji lub odpowiedziach na często zadawane pytania (FAQ) na temat serwera LDAP.

Wymagany jest plik samba.schema, który znajduje się w katalogu examples/LDAP w dystrybucji źródła Samba.

Przykład polecenia open-ldap na serwerze Linux z uruchomionym serwerem LDAP (mogą występować różnice w zależności od dystrybucji systemu Linux):

Skopiuj schemat protokołu Samba:

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema

Zmodyfikuj plik /etc/ldap/slapd.conf (plik konfiguracji serwera openldap), dodając do niego następujące wiersze:

include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema

Przykłady konfiguracji:

Poniżej przedstawiamy przykłady konfiguracji. Nie są one wymagane i można je dostosowywać zgodnie z konfiguracją serwera LDAP:

  1. Serwer Linux OpenLDAP:

    Bazowa nazwa wyróżniająca: dc=qnap,dc=com
    Administrator bazy danych: cn=admin,dc=qnap,dc=com
    Użytkownicy bazy DN: ou=people,dc=qnap,dc=com
    Grupy bazy DN: ou=group,dc=qnap,dc=com

  2. Serwer Mac Open Directory

    Bazowa nazwa wyróżniająca: dc=macserver,dc=qnap,dc=com
    Administrator bazy danych: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
    Użytkownicy bazy DN: cn=users,dc=macserver,dc=qnap,dc=com
    Grupy bazy DN: cn=groups,dc=macserver,dc=qnap,dc=com

Data wydania: 2013-07-01
Czy te informacje okazały się pomocne?
Dziękujemy za przekazanie opinii.
Dziękujemy za przekazanie opinii. Jeśli masz pytania, napisz na adres support@qnap.com
28% ludzi uważa, że to pomaga.