Ustawienia serwera katalogów
Skonfiguruj Synology NAS jako „directory server”, aby zapewnić usługę autoryzacji kont.
Po zainstalowaniu pakietu Directory Server i uruchomieniu go na serwerze Synology NAS wybierz Menu główne > Directory Server, aby włączyć tę aplikację.
Włączanie pakietu Directory Server
Architektura dostawca-konsument stanowi idealne rozwiązanie w przypadku wielu klientów znajdujących się w różnych obszarach fizycznych. Wszystkie serwery konsumentów okresowo replikują dane z serwera dostawcy i pełnią rolę głównych serwerów LDAP dla klientów lokalnych. Nawet jeśli dojdzie do awarii serwera dostawy lub utraty połączenia pomiędzy serwerami dostawcy/konsumenta, nie ma to wpływu na lokalnych klientów, gdy tylko działa serwer konsumenta.
W serwerze Directory Server istnieją dwa rodzaje serwerów:
- Serwer dostawcy: Wybierz tę opcję, jeśli serwer ma być serwerem głównym. Wszystkie serwery konsumentów będą replikowały dane z serwera dostawcy,
- Serwer konsumenta: Serwer konsumenta synchronizuje w czasie rzeczywistym dane ze swoim serwerem dostawcy, aby klonować serwer Directory Server. Aby zmodyfikować ustawienia na serwerze konsumenta, należy skontaktować się z administratorem serwera dostawcy.
Aby włączyć pakiet Directory Server jako serwer dostawcy i udostępnić usługę LDAP, wykonaj następujące czynności:
- Przejdź do karty Ustawienia. Zaznacz opcję Włącz serwer LDAP.
- Zaznacz opcję Jako serwer dostawcy.
- W polu FQDN (w pełni kwalifikowana nazwa domeny) wpisz nazwę domeny dla bazy danych LDAP.
- Wprowadź hasło Bind DN (patrz poniżej) w polu Hasło.
- Potwierdź hasło.
- Kliknij przycisk Zastosuj.
Aby włączyć serwer Directory Server jako serwer konsumenta, który będzie replikował dane z serwera dostawcy, wykonaj następujące czynności:
- Przejdź do karty Ustawienia. Zaznacz opcję Włącz serwer LDAP.
- Zaznacz opcję Jako serwer konsumenta.
- W polu Adres dostawcy wprowadź nazwę domenową lub adres IP bazy danych LDAP serwera dostawcy.
- W polu Szyfrowanie określ szyfrowanie połączenia. Domyślnie stosowane jest szyfrowanie SSL/TLS.
- W polu Bind DN wprowadź opcję Bind DN (patrz poniżej) bazy danych LDAP serwera dostawcy.
- Wprowadź hasło Bind DN (patrz poniżej) w polu Hasło.
- Gdy serwer Directory Server pełni rolę serwera konsumenta, zostanie przedstawiony stan jego połączenia z serwerem dostawcy.
- Kliknij przycisk Zastosuj.
Po zakończeniu konfiguracji następujące informacje zostaną wyświetlone w części Dane uwierzytelniania:
- Base DN: Nazwa wyróżniająca (distinguished name, DN) bazy danych LDAP pakietu Directory Server. Jest ona generowana z określonej nazwy FQDN. Jeśli na przykład FQDN to „ldap.synology.com”, Base DN będzie mieć postać dc=ldap,dc=synology,dc=com”
- Bind DN: Nazwa wyróżniająca użytkownika root LDAP. Jeśli na przykład Base DN bazy danych LDAP to „dc=ldap,dc=sinology,dc=com,”, Bind DN użytkownika root będzie mieć postać „uid=root,cn=users,dc=ldap,dc=sinology,dc=com”
Aby powiązać klientów LDAP z serwerem Directory Server, należy określić na nich parametr Base DN w celu połączenia z bazą danych LDAP, a następnie dokonać uwierzytelniania przy użyciu parametru Bind DN konta root lub administratora LDAP.
Uwaga:
- W celu nawiązania połączenia z serwerem LDAP wymagane jest podanie klientom wartości Root DN oraz Base DN.
- Więcej informacji na temat uwierzytelniania FQDN można znaleźć tutaj.
- Jeśli skonfigurowano przekierowanie portów lub reguły zapory sieciowej serwera Synology NAS, porty 389 (w przypadku połączeń LDAP) i 636 (w przypadku połączeń LDAP (SSL) muszą być prawidłowo skonfigurowane w części Panel sterowania > Dostęp zewnętrzny > Konfiguracja routera lub w części Panel sterowania > Bezpieczeństwo > Zapora sieciowa.
Konfiguracja ustawień połączenia
Kliknij przycisk Ustawienia połączenia, aby zarządzać następującymi ustawieniami:
- Nie zezwalaj na anonimowe dołączenia: Włącz tę opcję, aby nie zezwalać anonimowym użytkownikom na połączenie z serwerem LDAP. Do wszystkich połączeń będą wymagane konta/hasła.
- Zezwalaj tylko na szyfrowane połączenia przychodzące: Włącz tę opcję, aby zezwalać na łączenie ze swoim serwerem tylko klientom korzystającym z szyfrowanych połączeń.
- Zablokuj bezczynne połączenia (minuty): Wyłączenie bezczynnych klientów po określonym czasie.
Uwaga:
- Ustawienia połączenia są dostępne wyłącznie dla serwerów LDAP pełniących rolę serwerów dostawców.