如何將 QNAP QTS NAS 上的 LDAP 資料同步到 Google Apps Directory Sync

簡介

LDAP（輕量級目錄存取協定）將使用者和群組的資訊儲存在集中式伺服器。 系統管理員可使用 QNAP NAS 的內建 LDAP 伺服器，在 LDAP 目錄中管理使用者，並允許使用者以相同的使用者名稱和密碼連接至多台 QNAP NAS。 QNAP NAS 現在也支援從 NAS LDAP 伺服器同步資料到 Google Apps Directory Sync (GADS)，並運用雲端型的集中式 Google 應用程式，簡化使用者帳戶的新增、刪除和編輯作業，省去在不同 NAS 上管理帳戶的不便。 如此一來，NAS 管理員和使用者只需使用一組登入認證資料，就可存取多個 QNAP NAS 與 Google 應用程式，整體來說方便許多。

透過本產品應用說明，您將瞭解如何從 NAS LDAP 伺服器同步 LDAP 使用者和群組資料到 GADS。 雖然 GADS 支援許多選項（包括行事曆資源、組織單元、使用者帳戶及使用者設定檔），QNAP NAS 目前僅「使用者帳戶」和「群組」可與 GADS 同步。 本產品應用說明主要介紹這兩個選項的相關資訊。

使用需求：

1. 啟用 QNAP QTS NAS 中的 LDAP 伺服器。 請前往下列連結查看詳細資訊：
   https://www.qnap.com/en/how-to/tutorial/article/how-to-use-the-built-in-ldap-server-of-qnap-nas-for-user-management
2. 在 NAS LDAP 伺服器中建立使用者和群組。
3. 需有 Google Apps 帳戶。 請前往下列連結查看詳細資訊： http://www.google.com/intl/en/enterprise/apps/business/
4. 在您的裝置上安裝 Google Apps Directory Sync。 請前往下列連結查看詳細資訊： http://support.google.com/a/bin/answer.py?hl=en&answer=106368

啟用 Google Apps API 存取權：

您必須登入 Google Apps 管理主控台並啟用 API 存取權，才可使用 GADS：

1. 從 http://www.google.com/enterprise/apps/business/ 登入您的 Google Apps 管理員帳戶
2. 前往安全性設定頁面。 在 API 參考資料區段勾選啟用 API 存取權，然後點擊儲存變更。
   

設定 Google Cloud Directory Sync：

啟用 Google Apps API 存取權之後，您就可以啟動 GADS 應用程式，並執行以下步驟來設置「設定管理員」。

請前往下列連結查看如何設定 GADS 的詳細資訊：  https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280

1. 啟動 Google Cloud Directory Sync
2. 前往一般設定標籤，確定僅勾選使用者帳戶和群組。
   
3. 前往 Google 網域設定標籤。 輸入主要網域名稱，之後將在此同步 Google Apps 帳戶網域的資料。
4. 勾選使用此網域名稱取代（使用者與群組的）LDAP 電子郵件地址的網域名稱。 如此將變更所有 LDAP 帳戶的使用者名稱，使其符合主要網域的名稱（樣式如下： [Username]@[Google_Apps_Primary_Domain_Name]）。 舉例來說，如果 Directory Server 使用者的原始使用者名稱為 user01@qnap，而 Google Apps 的網域名稱為 myqnapcloud.com，則該使用者的 Google Apps 帳號將變更為 user01@ myqnapcloud.com。如果您不想啟用這個選項，則 LDAP 電子郵件地址的網域名稱將保持不變。
5. 點擊立即授權。
6. 此應用程式將要求您輸入管理員帳號和密碼以登入系統。
   
7. 依序前往 LDAP 設定標籤和連線設定，設置與 QNAP NAS 的連線設定。
   伺服器類型： 選擇 OpenLDAP。
   連線類型： 選擇標準 LDAP。
   主機名稱： 輸入您 QNAP NAS 的 IP 位址。
   通訊埠： 預設設定為 389。
   驗證類型： NAS LDAP 伺服器使用簡單驗證類型。
   授權使用者： 參考您的 NAS 設定，輸入將存取伺服器的使用者詳細資訊（例如： "cn=admin,dc=mydomain,dc=com"）。
   密碼： 輸入管理員帳戶的密碼。
   基準 DN： LDAP 網域（例如： "dc=mydomain,dc=com"）。
   點擊測試連線以確定您的設定正確無誤。
   
8. 前往 GADS 的使用者帳戶標籤，建立 LDAP 使用者名單：
   前往下列連結查看群組名稱、使用者名稱和密碼的命名規則：  https://support.google.com/a/answer/33386
   。
   8.1 在使用者屬性中： 輸入 GADS 屬性。
   
   電子郵件地址屬性： 代表 Google Apps 帳戶的使用者名稱。 建議使用 "mail"。
   
   唯一識別碼屬性： 由 QNAP NAS 目錄伺服器上每位使用者專屬識別碼構成的 LDAP 屬性。 此屬性有助於 GADS 注意使用者是否在 NAS 目錄伺服器上重新命名，以及是否開始同步變更到 Google Apps。 建議使用 "uidNumber"。
   
   地址別名屬性： 選填。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
   Google Apps 使用者刪除 / 停權政策： 此政策適用於將 Google Apps 的使用者刪除或停權，但不適用於您 QNAP 目錄伺服器上的使用者。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。 請注意，您必須針對您可維持的使用者人數取得授權。 請前往下列連結查看詳細資訊： http://support.google.com/a/bin/answer.py?hl=en&answer=33387&topic=14586&ctx=topic
   
   
   8.2 其他使用者屬性： 此標籤允許在 Google Apps 使用者帳戶中導入更多可選的 LDAP 屬性。
   名字屬性與姓氏屬性： 選填。 建議使用 "uid" 或留空白。
   同步密碼： 建議使用僅限新使用者。
   強制新使用者變更密碼： 新使用者必須變更密碼。
   新使用者的預設密碼： 為新使用者預先設定初始密碼。 新使用者初次登入時，必須變更密碼。
   
   
   
   8.3 搜尋結果： 此標籤管理用於建立 LDAP 使用者名單的規則集。 符合搜尋規則的使用者會被加入 Google Apps 使用者名單，不符合搜尋規則的使用者會被排除在外。
   點擊新增搜尋規則。 隨即顯示新視窗。
   在視窗的規則區段中，輸入 "objectClass=inetOrgPerson" 以取得目錄伺服器的全部 LDAP 使用者，然後點擊確定。
   
   新增的規則隨即會顯示於搜尋規則中。
   
   
   8.4 排除規則： 運用這些規則來排除符合搜尋規則的 QNAP 目錄伺服器使用者。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
9. 群組： 為企業的 Google 網上論壇設定同步處理。 使用者可用單一電子郵件地址傳送多封電子郵件給群組中的多位收件者，功用類似於 LDAP 郵寄清單。 可使用群組標籤，設定 GADS 建立 LDAP 目錄伺服器的群組清單。 請參考 LDAP 目錄伺服器的設定資訊，以設定此標籤中的選項。
   
   9.1 搜尋結果： QNAP 目錄伺服器的郵寄清單可與 Google 網上論壇同步。 可在此頁面設定 LDAP 群組清單的建立規則。
   
   點擊新增搜尋規則以新增群組搜尋的規則。
   
   在新視窗的 LDAP 標籤中輸入下列資訊：
   
   範圍： 選擇要套用郵寄清單規則的層級，可以是子樹狀結構或一層。
   
   規則： 指定群組同步所套用的 LDAP 查詢規則。 例如，使用 "objectClass=posixGroup" 查詢目錄伺服器的所有 LDAP 使用者。
   
   基準 DN： 選填。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
   群組電子郵件地址屬性： 指定包含群組電子郵件地址的 LDAP 屬性，之後將成為 Google Apps 中的群組電子郵件地址。 請使用 "cn"。
   
   群組顯示名稱屬性： 輸入群組顯示名稱的 LDAP 屬性。 將顯示此名稱屬性來代表群組。 不一定要用有效的電子郵件地址。 例如，可使用 "displayName"。
   
   群組說明屬性： 選填。 輸入群組說明的 LDAP 屬性。 此屬性將用作 Google Apps 中的群組說明。 例如，使用 "description"。
   
   使用者電子郵件地址屬性： 輸入包含使用者電子郵件地址的 LDAP 屬性。 此屬性將用於獲取群組成員的電子郵件地址。 例如，使用 "uid"。
   
   成員文字屬性： 請輸入 "memberUid"。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   動態群組基準 DN 屬性與擁有者： 選填。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   完成時請點擊確定。
   
   
   9.2 排除規則： 指定規則以在您的目錄伺服器中排除電子郵件清單，即使其符合郵寄清單規則也不例外。 請前往下列連結查看詳細資訊： https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   由於 QNAP NAS 不支援使用者設定檔、共用聯絡人和行事曆資源，系統將予以忽略。


10. 通知： 設定 GADS 在執行同步時通知使用者。
    SMTP 轉送主機： 選擇傳送通知的 SMTP 電子郵件伺服器。 請使用 "aspmx.l.google.com"。
    寄件人地址： 通知電子郵件中顯示的寄件人地址。
    收件人地址： 在空白欄位中輸入通知電子郵件收件人的電子郵件地址，然後點擊新增。
    測試通知： 透過傳送測試電子郵件，檢查您的通知設定是否正確。 
    
11. 記錄： 可在此處設定記錄檔的檔案名稱、儲存檔案的路徑以及其他資訊。
12. 同步： 在進行實際變更前，執行模擬同步測試。 您將看見驗證結果以及遺漏資訊或錯誤的提醒通知。 若未顯示任何錯誤，則點擊同步並套用。
    
13. 同步完成後，可以從設定管理員的控制台查看同步後的使用者和群組。