設定網域 / LDAP

若將 Synology NAS 加入目錄，您將可以管理目錄用戶端環境各類型的設定。

管理網域用戶端設定

將 Synology NAS 加入網域後，您可以在控制台 > 網域 / LDAP > 網域 / LDAP 查看 Synology NAS 與網域的基本資訊。若您想要修改基本資訊或其他進階設定，請按一下編輯以檢視設定：

一般
前往一般頁籤以修改 Synology NAS 的基本網域用戶端設定：
- DNS 伺服器：編輯可以解析網域控制站 IP 位址的 DNS 伺服器其 IP 位址。
- DC IP / FQDN：您可以指定網域控制站 (DC) 的 IP 位址或完整網域名稱 (FQDN)，Synology NAS 將嘗試與其通訊。
  注意：如果您想要輸入多個 IP 位址或 FQDN，請使用半形逗號 (,) 隔開。您也可以在最後一個 IP 位址 / FQDN 的後面加上星號 (*)，Synology NAS 將會在與您指定的網域控制站溝通失敗時，自動嘗試和其他的網域控制站溝通。請注意，最後一個 IP 位址 / FQDN 與星號之間也必須加上逗號。
- 管理模式：此選項用來決定網域使用者 / 群組權限的管理方式。
  - 所有受信任的網域：可管理 Synology NAS 加入的網域或是受信任的網域中的使用者及群組。您可以依照不同受信任的網域來篩選使用者及群組的清單。
    注意：若要管理受信任網域的使用者及群組，這些網域須和 Synology NAS 加入的網域建立雙向信任。
  - 依組織單位管理的單一網域：這模式只顯示屬於加入網域中的使用者及群組。可讓您依照不同組織單位 (OU) 來篩選使用者及群組的清單。
- 更新使用者 / 群組清單：指定 Synology NAS 自動更新網域使用者 / 群組清單的頻率。若要手動更新清單，您可以在網域使用者或網域群組頁籤內按一下更新網域資料。請注意，自動更新會影響系統休眠狀態。
- IWA (整合式 Windows 驗證)：啟用此選項能夠讓已透過網域帳號登入電腦的使用者，無須再次輸入帳號密碼即可透過網頁瀏覽器登入 DSM (請參閱此文章，以取得更多 IWA 的相關資訊)。
使用 IWA
- 用戶端電腦須運行 Windows 7 或以上版本。
- 用戶端電腦須和 Synology NAS 位於相同的網域內。
- 請前往 Windows 的控制台 > 網際網路選項 > 進階，並確認安全性區塊下的 IWA 核取方塊已勾選。
- IWA 適用於所有瀏覽器。針對 FireFox，須進行以下額外設定。
  1. 開啟 FireFox 瀏覽器，請在 URL 欄位中輸入「about:config」。
  2. 搜尋「network.automatic-ntlm-auth.trusted-uris」。
  3. 連按兩下值的欄位，並輸入網域的 IP 位址。
進階設定
在進階設定頁籤將可設定下列選項：
- 網域使用者登入時，與 NTP 伺服器對時：啟用此選項將強制同步 Synology NAS 與 NTP 伺服器的時間。
- 直接向受信任的網域取得對應的網域資料：若啟用此選項，Synology NAS 將直接向受信任的網域取得儲存在該受信任網域的資料。當網域使用者、網域群組頁籤內出現無法修改權限的使用者或群組時，請勾選此核取方塊以解決問題。
- LDAP 加密：選擇 Synology NAS 透過 LDAP 協定連線至網域時所採用的加密方式，目前支援 SASL 及 SSL / TLS。
- 巢狀群組層級數：指定可以展開巢狀網域群組成員的層級數目。請參閱此章節以了解更多資訊。
- 網域管理者：指定至多十個群組，群組中的使用者將具有管理者權限。具管理者權限的使用者可完全控制您的 Synology NAS 及儲存於其上的檔案。
  注意：兩個系統預設網域群組 (Domain Admins 及 Enterprise Admins)，會自動加到本地的 administrators 群組。因此，這些群組的網域使用者都會擁有 Synology NAS 的管理權限，包含存取 SMB、FTP、AFP、WebDAV 等檔案服務及其他 DSM 套件。

若要檢測網域的用戶端服務：

如果您的網域服務無法正常運作，您可以依照以下步驟操作，以解決問題：

前往控制台> 網域 / LDAP > 網域 / LDAP。
按一下測試。環境檢測將會自動執行。檢測結果共有三種：
- ：測試項目通過。
- ：檢測出一個或多個次要問題須解決。這類型的問題可能會造成網域服務異常。
- ：檢測出一個或多個嚴重問題須立即解決。這些問題將造成網域服務異常。
針對各項問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

若要重新讓 Synology NAS 加入網域：

在大多數的情況下，您不會需要重新加入網域。只有在異常狀況發生時 (如：Synology NAS 的電腦帳號過期時)，才需要此操作。若要重新加入網域，請進行以下步驟：

前往控制台 > 網域 / LDAP > 網域 / LDAP，然後按一下編輯。
前往一般頁籤並按一下重新加入網域。
在跳出視窗中輸入所需資訊。
- 網域帳號：輸入網域系統管理員帳號或權限足夠的使用者帳號。
- 密碼：輸入此網域帳號的密碼。
按一下確定。您的 Synology NAS 將開始重新加入指定的網域。

注意：

如果您的網域使用者名稱包含「%」或「$」，則將無法存取您的家目錄。請向網域管理員要求一個新的使用者名稱。
您也可以設定網域使用者對 Synology NAS 共用資料夾的存取權限。請參閱此文章來了解更多資訊。

管理 LDAP 用戶端設定

將 Synology NAS 加入 LDAP 目錄後，您可以在控制台 > 網域 / LDAP > 網域 / LDAP 查看 Synology NAS 與 LDAP 目錄的基本資訊。若您想要修改基本資訊或其他進階設定，請按一下編輯以檢視設定：

一般資訊
前往一般頁籤以修改 Synology NAS 的基本 LDAP 用戶端設定：
- 加密：您可以從下拉式選單中選擇加密方式。
- Base DN：您可以在此欄位編輯 LDAP 伺服器的 Base DN。
  注意：Base DN 為 LDAP 資料庫的識別名稱，其名稱由 LDAP 伺服器的指定 FQDN 產生。舉例來說，若 FQDN 為「ldap.synology.com」，其 Base DN 將會是「dc=ldap,dc=synology,dc=com」。
- 設定檔：您可以選取一個設定檔，規範使用者及群組資訊對應至 LDAP 屬性的方式。請參閱此文章以了解更多如何編輯設定檔的資訊。
進階設定
在進階設定頁籤將可設定下列選項：
- 更新使用者 / 群組清單 (分鐘)：指定 Synology NAS 自動更新 LDAP 使用者 / 群組清單的頻率。若要手動更新清單，您可以在 LDAP 使用者或 LDAP 群組頁籤內按一下更新 LDAP 資料。請注意，自動更新會影響系統休眠狀態。
- 啟用 CIFS 明文密碼驗證：若要允許 LDAP 使用者透過 CIFS 存取 Synology NAS 檔案，請勾選此選項，並啟用電腦的 PAM 設定 (參閱此章節以了解詳細步驟)。
  注意：此功能僅適用於不支援 Samba Schema 的 LDAP 伺服器。
- 啟用 UID / GID 位移：為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突，您可以啟用此選項來將 LDAP 使用者 / 群組的 UID / GID 加上 1000000。UID / GID 位移僅適用於非 Synology 的 LDAP 伺服器，且該伺服器針對每個使用者 / 群組提供獨一無二，並由數字組成的 ID 屬性。
- 展開巢狀群組：勾選此核取方塊即可展開巢狀群組，為巢狀的 LDAP 群組設定層級數。請參閱此章節以了解更多資訊。
- 啟用用戶端憑證：您可以勾選核取方塊以更新用戶端憑證。詳情請參閱此文章。

若要檢測 LDAP 的用戶端服務：

如果您的 LDAP 服務無法正常運作，您可以依照以下步驟操作，以解決問題：

前往控制台> 網域 / LDAP > 網域 / LDAP。
按一下測試。環境檢測將會自動執行。檢測結果共有三種：
- ：測試項目通過。
- ：檢測出一個或多個次要問題須解決。這類型的問題可能會造成 LDAP 服務異常。
- ：檢測出一個或多個嚴重問題須立即解決。這些問題將造成 LDAP 服務異常。
針對各項問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

若要重新讓 Synology NAS 加入 LDAP 目錄：

在大多數的情況下，您不會需要重新加入 LDAP 目錄。只有在異常狀況發生時 (如：無效的認證資訊)，才需要此操作。若要重新加入 LDAP 目錄，請進行以下步驟：

前往控制台 > 網域 / LDAP > 網域 / LDAP，然後按一下編輯。
前往一般頁籤並按一下重新加入 LDAP。
在跳出視窗中輸入所需資訊。
- Bind DN 或 LDAP 管理者帳號：輸入 LDAP Bind DN 或管理者帳號。
- 密碼：輸入此 LDAP 帳號的密碼。
按一下確定。您的 Synology NAS 將開始重新加入指定的 LDAP 目錄。

關於 CIFPS 支援及用戶端電腦的設定

藉由 CIFS 明文密碼驗證，即使 LDAP 伺服器不支援 Samba Schema，使用者也能夠透過 CIFS 來存取 Synology NAS 上的檔案。若要了解更多 CIFS 的相關資訊，可參閱此文章。

若您的 LDAP 目錄非由支援 Samba 的伺服器所提供，請勾選啟用 CIFS 明文密碼驗證，並在電腦上執行以下操作。

注意：此選項允許密碼以未加密的純文字格式傳輸，因此可能會降低系統安全性。

若要修改 Windows 設定：
1. 前往開始 > 執行，在欄位中輸入「regedit」，然後按一下確定來開啟登錄編輯程式。
2. 視您使用的 Windows 版本而定，請尋找或建立下列登錄機碼：
  - Windows 2000、Windows XP、Windows Vista、Windows 7：
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
  - Windows NT：
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
  - Windows 95 (SP1)、Windows 98、Windows Me：
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. 建立或修改 DWORD 值 EnablePlainTextPassword，並將其數值資料從 0 變更為 1。
4. 重新啟動 Windows 來讓變更生效。
若要修改 macOS 設定：
1. 前往應用程式 > 工具程式來開啟終端機。
2. 建立空檔案 /etc/nsmb.conf：
  sudo touch /etc/nsmb.conf
3. 使用「vi」開啟 /etc/nsmb.conf：
  sudo vi /etc/nsmb.conf
4. 輸入「i」來插入文字，並貼上下列文字：
  [default]
  minauth=none
5. 按下 Esc 鍵然後按下「ZZ」來儲存變更並離開 vi。
若要修改 Linux 設定：
- 若您使用 smbclient，請在 smb.conf 的 [global] 區塊中新增下列機碼：
  encrypt passwords = no
  client plaintext auth = yes
  client lanman auth = yes
  client ntlmv2 auth = no
- 若您使用 mount.cifs，請執行下列指令：
  echo 0x30030 > /proc/fs/cifs/SecurityFlags

關於巢狀群組及展開群組

在巢狀群組架構下，可將一個群組加入另一個群組，讓您在套用存取控制清單 (ACL) 至 Synology NAS 上的服務時能更有彈性。

若設定了巢狀群組，「展開群組」的功能也須一併啟用。當巢狀群組的成員請求存取檔案或服務時，Synology NAS 將展開巢狀群組的母群組，以確認該成員是否具備必要的存取權限。

在 Synology NAS，巢狀群組的展開程度是由巢狀群組層級數來決定。舉例來說，若層級數為 2，一個群組的 ACL 將會套用至其使用者、子群組 (第一層)，以及子群組下的子群組 (第二層)。

注意：在特定情況下，巢狀群組的展開可能會相當耗時。例如，LDAP 伺服器未對 member 屬性建立索引，或是複雜的群組巢狀結構，皆可能造成群組的展開花費大量的時間。因此，您可以選擇不展開巢狀群組來避免這些問題。