如何将 QNAP QTS NAS 上的 LDAP 数据同步到 Google Apps Directory Sync

简介

LDAP（轻量级目录访问协议）在中央服务器中存储用户和组信息。使用 QNAP NAS 内置的 LDAP 服务器，管理员可以管理 LDAP 目录中的用户，用户也可以使用同一用户名和密码连接到多个 QNAP NAS。QNAP NAS 现在还支持将数据从 NAS LDAP 服务器同步到 Google Apps Directory Sync (GADS)，不必在不同 NAS 上管理用户帐户，而是使用集中在云中的 Google Apps 来管理，从而简化了添加、删除和编辑用户帐户的操作。NAS 管理员和用户只需使用一组登录凭据即可登录多个 QNAP NAS 和 Google Apps，因此更为便利。

这篇应用说明介绍了如何将 LDAP 用户和组数据从 NAS LDAP 服务器同步到 GADS。尽管 GADS 支持多个选项（包括日历资源、组织单位、用户帐户和用户配置文件），但 QNAP NAS 目前只能将“用户帐户”和“组”与 GADS 同步。这篇应用说明将重点介绍这两个选项。

要求：

1. 在 QNAP QTS NAS 中启用 LDAP 服务器。有关更多信息，请参见以下链接：
   如何使用 QNAP NAS 的内置 LDAP 服务器进行用户管理？
2. 在 NAS LDAP 服务器中创建用户和组。
3. 需要一个 Google Apps 帐户。有关更多信息，请参见以下链接：http://www.google.com/intl/en/enterprise/apps/business/
4. 在常用设备上安装 Google Apps Directory Sync。有关更多信息，请参见以下链接：http://support.google.com/a/bin/answer.py?hl=en&answer=106368

启用 Google Apps API 访问：

必须登录到 Google Apps 管理控制台并启用 API 访问以使用 GADS：

1. 访问 http://www.google.com/enterprise/apps/business/，登录到 Google Apps 管理员帐户
2. 转到“Security”（安全性）设置页面。在“API reference”（API 参考）部分，选中“Enable API access”（启用 API 访问），然后单击“Save Changes”（保存更改）。
   

设置 Google Cloud Directory Sync：

启用 Google Apps API 访问后，可以启动 GADS 应用程序，并按照以下步骤设置配置管理器：

有关配置 GADS 的更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280

1. 启动 Google Cloud Directory Sync
2. 转到“General Settings”（常规设置）选项卡，并确保仅选中“User Accounts”（用户帐户）和“Groups”（组）。
   
3. 转到“Google Domain Configuration”（Google 域配置）选项卡。输入要同步的数据所在的 Google Apps 帐户域的“Primary Domain Name”（主域名）。
4. 选中“Replace domain names in LDAP email addresses (of users and groups) with this domain name”（将(用户和组的) LDAP 电子邮件地址中的域名替换为此域名）。此操作会按“Primary Domain Name”（主域名）更改所有 LDAP 帐户用户名（样式如下：[用户名]@[Google Apps 主域名]）。例如，如果目录服务器用户的原始用户名为 user01@qnap，Google Apps 的域名为 myqnapcloud.com，则用户的 Google Apps 帐户将更改为 user01@ myqnapcloud.com。如果您决定不启用此选项，LDAP 电子邮件地址的域名将保持不变。
5. 单击“Authorize Now”（立即授权）。
6. 应用将要求您输入管理员帐户和密码以便登录。
   
7. 转到“LDAP Configuration”（LDAP 配置）选项卡，然后单击“Connection Settings”（连接设置），配置与 QNAP NAS 的连接设置。
   Server Type（服务器类型）：选择“OpenLDAP”。
   Connection Type（连接类型）：选择“Standard LDAP”（标准 LDAP）。
   Host Name（主机名）：键入 QNAP NAS 的 IP 地址。
   Port（端口）：默认设置为 389。
   Authentication Type（身份验证类型）：NAS LDAP 服务器使用“Simple”（简单）身份验证类型。
   Authorized User（授权用户）：请参考 NAS 设置，输入有关服务器访问者的用户详细信息（例如：“cn=admin,dc=mydomain,dc=com”）。
   Password（密码）：输入管理员帐户的密码。
   Base DN（基本 DN）：LDAP 域名（例如：“dc=mydomain,dc=com”）。
   单击“Test connection”（测试连接）确认设置是否正确。
   
8. 转到“User Accounts”（用户帐户）选项卡，以便 GADS 创建 LDAP 用户列表：
   有关创建组名、用户名和密码的命名规则，请参见以下链接：https://support.google.com/a/answer/33386
   
   8.1 在“User Attributes”（用户属性）中：输入 GADS 属性。
   
   Email Address Attribute（电子邮件地址属性）：Google Apps 帐户的用户名的帐户。建议使用“mail”。
   
   Unique identifier Attribute（唯一标识符属性）：由 QNAP NAS 目录服务器上每个用户的独占标识符组成的 LDAP 属性。通过使用此属性，GADS 可以注意到用户是否在 NAS 目录服务器上重命名，并开始将更改同步到 Google Apps。建议使用“uidNumber”。
   
   Alias Address Attributes（别名地址属性）：可选。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
   Google Apps User Deletion / Suspension Policy（Google Apps 用户删除/挂起策略）：针对在 Google Apps 上能找到但在 QNAP 目录服务器上找不到的用户的删除或挂起策略。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。请注意，您需要获得与您能够维护的用户人数对应的许可证。有关更多信息，请参见以下链接：http://support.google.com/a/bin/answer.py?hl=en&answer=33387&topic=14586&ctx=topic
   
   
   8.2 Additional User Attributes（其他用户属性）：此选项卡可用于对 Google Apps 用户帐户实施更多可选 LDAP 属性：
   Given Name Attributes（给定名称属性）和 Family Name Attribute（系列名称属性）：可选。建议使用“uid”或保留空白。
   Synchronize Passwords（同步密码）：建议使用“Only for new users”（仅针对新用户）。
   Force new users to change password（强制新用户更改密码）：新用户必须更改自己的密码。
   Default password for new users（新用户的默认密码）：为新用户设置预定义初始密码。新用户首次登录时，必须更改自己的密码。
   
   8.3 Search Rules（搜索规则）：此选项卡管理用于创建 LDAP 用户列表的一组规则。符合搜索规则的用户将包含在 Google Apps 用户列表中，而不符合搜索规则的用户将被排除在外。
   单击“Add Search Rule”（添加搜索规则）。将显示一个新窗口。
   在窗口的“Rule”（规则）部分，输入“objectClass=inetOrgPerson”以便从目录服务器获取所有 LDAP 用户，然后单击“OK”（确定）。
   
   新增的规则现在将显示在“Search Rules”（搜索规则）中。
   
   8.4 Exclusion Rules（排除规则）：这些规则用于排除 QNAP 目录服务器上符合搜索规则的用户。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
9. Groups（组）：为 Google Groups for Enterprise 配置同步。与 LDAP 邮件列表类似，用户可以只使用一个电子邮件地址向组中的多个收件人发送多封电子邮件。“Group”（组）选项卡可用于将 GADS 设置为从 LDAP 目录服务器创建组列表。请参考 LDAP 目录服务器的设置信息，配置此选项卡中的选项。
   
   9.1 Search Rules（搜索规则）：QNAP 目录服务器的邮件列表可以与“Google Group”（Google 组）同步。在此页面上，可以设置 LDAP 组列表的创建规则。
   
   单击“Add Search Rule”（添加搜索规则）以添加组搜索规则。
   
   在新窗口中，在“LDAP”选项卡中输入以下信息：
   
   Scope（范围）：选择要应用邮件列表规则的级别：“Sub-tree”（子树）或“one-level”（一级）。
   
   Rule（规则）: 指定组同步要应用的 LDAP 查询规则。例如，使用“objectClass=posixGroup”查询所有 LDAP 用户的目录服务器。
   
   Base DN（基本 DN）：可选。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280
   
   Group Email Address Attribute（组电子邮件地址属性）：指定包含组电子邮件地址的 LDAP 属性，其将成为 Google Apps 中的组电子邮件地址。使用“cn”。
   
   Group Display Name Attribute（组显示名称属性）：输入组显示名称的 LDAP 属性。显示的该属性用于代表组。无需使用有效的电子邮件地址。例如，使用“displayName”。
   
   Group Description Attribute（组描述属性）：可选。输入组描述的 LDAP 属性。此属性将用作 Google Apps 中的组描述。例如，使用“description”。
   
   User Email Address Attribute（用户电子邮件地址属性）：输入包含用户电子邮件地址的 LDAP 属性。此属性将用于获取组成员的电子邮件地址。例如，使用“uid”。
   
   Member Literal Attribute（成员字面属性）：输入“memberUid”。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   Dynamic group Base DN attribute（动态组基本 DN 属性）和 Owners（所有者）：可选。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   完成后单击“OK”（确定）。
   
   
   9.2 Exclusion Rules（排除规则）：指定的规则用于排除目录服务器中符合邮件列表规则的电子邮件列表。有关更多信息，请参见以下链接：https://support.google.com/a/topic/2679497?hl=en&ref_topic=4511280。
   
   QNAP NAS 不支持“User Profiles”（用户配置文件）、“Shared Contacts”（共享联系人）和“Calendar Resources”（日历资源），请忽略这些属性。


10. Notifications（通知）：将 GADS 设置为在发生同步时通知用户。
    SMTP Relay Host（SMTP 中继主机）：选择用于发送通知的 SMTP 电子邮件服务器。使用“aspmx.l.google.com”。
    From address（发件人地址）：显示在通知电子邮件中的发件人地址。
    To addresses (recipients)（收件人地址(收件人)）：在空白字段中输入通知电子邮件的收件人电子邮件地址，然后单击“Add”（添加）。
    Test Notification（测试通知）：通过发送测试电子邮件检查通知设置是否正确。
    
11. Logging（日志记录）：可以在此处设置日志文件的文件名、文件存储路径和其他信息。
12. Sync（同步）：在执行实际更改之前运行模拟同步测试。将显示“Validation Result”（验证结果），如果出现信息缺失或错误，将向您发出警告。如果没有出现任何错误，请单击“Sync & apply”（同步并应用）。
    
13. 同步完成后，可以通过配置管理器的控制面板检查同步的用户和组：