将 QNAP NAS 连接到 LDAP 目录
最后修订日期:
2020-08-07
什么是 LDAP?
轻量级目录访问协议 (LDAP) 是指在中央服务器中存储用户和组信息的目录。管理员可以使用 LDAP 管理 LDAP 目录中的用户,并允许用户使用相同的用户名和密码连接到多个 NAS 服务器。
此应用程序说明的目标读者是了解 Linux 服务器、LDAP 服务器和 Samba 的管理员和用户。QNAP NAS 设备上的 LDAP 功能需要一台可正常工作的 LDAP 服务器。
要求:
- LDAP 服务器连接和身份验证信息
- LDAP 结构(用于存储用户和组)
- LDAP 服务器安全设置
按照以下步骤将 QNAP NAS 连接到 LDAP 目录。
- 以管理员身份登录 NAS。
- 转到“Control Panel > Privilege > Domain Security”(控制台 > 权限 > 域安全认证)。
注意:默认情况下,将启用“No domain security”(没有网域认证),只有本地 NAS 用户才能连接到 NAS。 - 选择“LDAP authentication”(LDAP 认证)。
- 指定以下信息:
| 字段 | 描述 |
|---|---|
| LDAP server host(LDAP 服务器主机) | 指定 LDAP 服务器的主机名或 IP 地址。 |
| LDAP security(LDAP 安全) | 指定 NAS 与 LDAP 服务器通信的方式:
|
| Base DN(基本 DN) | 指定 LDAP 域。 示例:dc=mydomain,dc=local |
| Root DN(根 DN) | 指定 LDAP 根用户。 示例:cn=admin,dc=mydomain,dc=local |
| Password(密码) | 指定根用户密码。 |
| Users base DN(用户 base DN) | 指定用户所在的组织单位 (OU)。示例:ou=people,dc=mydomain,dc=local |
| Groups base DN(群组 base DN) | 指定群组所在的组织单位 (OU)。 示例:ou=group,dc=mydomain,dc=local |
- 单击“Apply”(应用)。
- 可选:配置 LDAP 认证选项。
如果 NAS 连接到 LDAP 目录之前启用了微软网络,将出现“LDAP authentication options”(LDAP 认证选项)窗口。- 选择要认证的用户。
- 只限本机用户:只有本机 NAS 用户可以通过微软网络访问 NAS。
- 只限 LDAP 用户:只有 LDAP 用户可以通过微软网络访问 NAS。
- 选择要认证的用户。
- 单击“Finish”(完成)。
NAS 连接到 LDAP 目录后认证 LDAP 用户和组
注意:
- 如果 NAS 连接到 LDAP 目录之前未启用微软网络,则必须在 NAS 连接到 LDAP 目录之后认证 LDAP 用户。
- LDAP 用户可以访问 SMB 共享文件夹、FTP 和 AFP。
- 转到“Control Panel > Network & File Services > Win/Mac/NFS”(控制台 > 网络 & 文件服务 > Win/Mac/NFS)。
- 选择“Enable file service for Microsoft Networking”(启用微软网络服务以支持使用视窗操作系统的客户端)。
- 选择认证类型。
- Standalone server(独立服务器):只限本机 NAS 用户
- LDAP domain authentication(LDAP 网域认证):只限 LDAP 用户
- 单击“Apply”(应用)。
提示(只适用于管理员):
- 转到“Control Panel > Privilege > Users”(控制台 > 权限 > 用户),然后从下拉菜单中选择“Domain Users”(域用户)以查看 LDAP 用户。
- 转到“Control Panel > Privilege > User Groups”(控制台 > 权限 > 用户群组),然后从下拉菜单中选择“Domain Groups”(域用户群组)以查看 LDAP 组。
- 转到“Control Panel > Privilege > Shared Folders > Edit Shared Folder Permissions”(控制台 > 权限)> 共享文件夹 > 编辑共享文件夹权限)(
) 以指定 LDAP 域用户的共享文件夹权限。
微软网络 LDAP 认证的技术要求
在微软网络 (Samba) 上认证 LDAP 用户需要满足以下条件:
- 用于在 LDAP 服务器上同步 LDAP 和 Samba 密码的第三方软件。
- 将 Samba 架构导入 LDAP 目录。
(1) 第三方软件:
有些软件解决方案可用于管理 LDAP 用户和 Samba 密码。例如:
- LDAP Account Manager (LAM):提供 Web 界面。有关详细信息,请转到 http://www.ldap-account-manager.org/。
- smbldap-tools:命令行工具
- webmin-ldap-useradmin:Webmin LDAP 用户管理模块
(2) Samba 架构:
有关将 Samba 架构导入 LDAP 服务器的详细信息,请参考 LDAP 服务器的支持文档或常见问题。
导入操作需要 Samba 架构文件,此文件可在 Samba 源分发版的目录 examples/LDAP 中找到。
示例:对于运行 LDAP 服务器的 Linux 服务器上的 open-ldap(具体取决于 Linux 分发版),请按照以下步骤操作:
- 复制 Samba 架构:
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema - 编辑 /etc/ldap/slapd.conf (openldap 服务器配置文件),并确保文件中包含以下行:
- include /etc/ldap/schema/samba.schema
- include /etc/ldap/schema/cosine.schema
- include /etc/ldap/schema/inetorgperson.schema
- include /etc/ldap/schema/nis.schema
示例配置
注意:可以根据您的 LDAP 服务器的具体配置修改以下配置。
- Linux OpenLDAP 服务器:
基本 DN:dc=qnap,dc=com
根 DN:cn=admin,dc=qnap,dc=com
用户 Base DN:ou=people,dc=qnap,dc=com
群组 Base DN:ou=group,dc=qnap,dc=com - Mac Open Directory 服务器
基本 DN:dc=macserver,dc=qnap,dc=com
根 DN:uid=root,cn=users,dc=macserver,dc=qnap,dc=com
用户 Base DN:cn=users,dc=macserver,dc=qnap,dc=com
群组 Base DN:cn=groups,dc=macserver,dc=qnap,dc=com
