Conexão de um QNAP NAS a um Diretório do LDAP
O que é um LDAP?
O protocolo LDAP (Lightweight Directory Access Protocol) é um diretório que armazena informações para usuários e grupos em um servidor central. Os administradores podem usar o LDAP para gerenciar usuários em um diretório do LDAP e permitir que os usuários se conectem a vários servidores NAS usando o mesmo nome de usuário e senha.
Esta nota de aplicação é destinada a administradores e usuários com conhecimento de servidores Linux, servidores do LDAP e Samba. O recurso do LDAP nos dispositivos QNAP NAS requer um servidor LDAP em funcionamento.
Requisitos:
- Conexão do servidor LDAP e informações de autenticação
- Estrutura do LDAP (onde usuários e grupos são armazenados)
- Configurações de segurança do servidor LDAP
Siga os passos abaixo para conectar um QNAP NAS a um diretório do LDAP.
- Faça o login no NAS como administrador.
- Vá para Painel de Controle > Privilégio > Segurança de Domínio.
Observação: Por padrão, "Nenhuma segurança de domínio" está ativada e somente usuários NAS locais podem se conectar ao NAS. - Selecione Autenticação no LDAP.
- Especifique as informações seguintes:
| Campo | Descrição |
|---|---|
| Host do servidor LDAP | Especifique o nome do host ou o endereço IP do servidor LDAP. |
| Segurança do LDAP | Especifique a forma de comunicação do NAS com o servidor LDAP:
|
| DN de base | Especifique o domínio do LDAP. Exemplo: dc=mydomain,dc=local |
| DN da raiz | Especifique o usuário da raiz LDAP. Exemplo: cn=admin,dc=mydomain,dc=local |
| Senha | Especifique a senha do usuário raiz. |
| DN de base dos usuários | Especifique a unidade organizacional (UO) onde os usuários são armazenados. Exemplo: ou=people,dc=mydomain,dc=local |
| DN de base dos grupos | Especifique a unidade organizacional (UO) onde os grupos são armazenados. Exemplo: ou=group,dc=mydomain,dc=local |
- Clique em Aplicar.
- Opcional: Configure as opções de autenticação do LDAP.
Se a Rede Microsoft estiver habilitada antes de conectar o NAS ao diretório do LDAP, a janela Opções de autenticação do LDAP será exibida.- Selecione os usuários a autenticar.
- Somente usuários locais: Somente usuários do NAS podem acessar o NAS através da Rede Microsoft.
- Somente usuários do LDAP: Somente os usuários do LDAP podem acessar o NAS através da Rede Microsoft.
- Selecione os usuários a autenticar.
- Clique em Finalizar.
Autenticação de Usuários e Grupos do LDAP depois de conectar o NAS a um Diretório do LDAP
Observação:
- Se a Rede Microsoft não está habilitada antes da conexão do NAS ao diretório do LDAP, você deve autenticar os usuários do LDAP antes de conectar o NAS ao diretório do LDAP.
- Os usuários do LDAP podem acessar as pastas compartilhadas de SMB, FTP e AFP.
- Vá para Painel de Controle > Serviços de Rede e Arquivos > Win/Mac/NFS.
- Selecione Habilitar serviço de arquivos para Rede Microsoft.
- Selecione o tipo de autenticação.
- Servidor Autônomo: Somente usuários locais do NAS
- Autenticação de domínio do LDAP: Somente usuários do LDAP
- Clique em Aplicar.
Dica (somente administrador):
- Vá para Painel de Controle > Privilégio > Usuários e selecione Usuários do Domínio, a partir do menu de lista suspensa, para visualizar os usuários do LDAP.
- Vá para Painel de Controle > Privilégio > Grupos de Usuários e selecione Grupos do Domínio, a partir do menu de lista suspensa, para visualizar os grupos do LDAP.
- Vá para Painel de Controle > Privilégio > Pastas Compartilhadas > Editar Permissões da Pasta Compartilhada (
) para especificar as permissões da pasta compartilhada para os usuários de domínio do LDAP.
Requisitos técnicos para a Autenticação do LDAP na Rede Microsoft
A autenticação de usuários do LDAP na Rede Microsoft (Samba) requer o seguinte:
- Software de empresa terceira para a sincronização de senhas do LDAP e Samba no servidor LDAP.
- Importação do esquema do Samba para o diretório do LDAP.
(1) Software de empresa terceira:
As soluções de software estão disponíveis para a gestão de usuários do LDAP e da senha do Samba. Por exemplo:
- Gerenciador de Conta do LDAP (LAM): Fornece uma interface da web. Para mais informações, acesse http://www.ldap-account-manager.org/.
- smbldap-tools: Ferramenta de linha de comando
- webmin-ldap-useradmin: Módulo de administração de usuários do LDAP
(2) Esquema do Samba:
Para detalhes sobre como importar o esquema do Samba para o servidor LDAP, consulte a documentação de suporte ou Perguntas Frequentes para o servidor LDAP.
O arquivo de esquema do Samba é obrigatório para a importação e pode ser encontrado em exemplos/LDAP do diretório, na distribuição de origem do Samba.
Exemplo: Para open-ldap no servidor Linux, onde o servidor LDAP está executando (dependendo da distribuição do Linux), siga essas etapas:
- Copie o esquema do Samba:
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema - Faça a edição de /etc/ldap/slapd.conf (arquivo de configuração do servidor openldap) e certifique-se de que as linhas seguintes estejam no arquivo:
- inclua /etc/ldap/schema/samba.schema
- inclua /etc/ldap/schema/cosine.schema
- inclua /etc/ldap/schema/inetorgperson.schema
- inclua /etc/ldap/schema/nis.schema
Exemplos de configurações
Observação: As configurações seguintes podem ser adaptadas para corresponder à configuração específica de seu servidor LDAP.
- Servidor Linux OpenLDAP:
DN de base: dc=qnap,dc=com
DN da raiz: cn=admin,dc=qnap,dc=com
DN de base de usuários: ou=people,dc=qnap,dc=com
DN de base de grupos: ou=group,dc=qnap,dc=com - Servidor de Diretório Aberto Mac
DN de base: dc=macserver,dc=qnap,dc=com
DN da raiz: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
DN de base de usuários: cn=users,dc=macserver,dc=qnap,dc=com
DN de base de grupos: cn=groups,dc=macserver,dc=qnap,dc=com
