加入網域 / LDAP

本文章將引導您將 Synology NAS 加入目錄服務。

若要將 Synology NAS 加入網域：

前往控制台 > 網域 / LDAP > 網域 / LDAP。

按一下加入後，精靈將隨之開啟。

輸入下列伺服器資訊，然後按下一步。

伺服器類型：從下拉式選單中選擇網域或自動偵測。
伺服器位址：輸入完整網域名稱 (FQDN) 或任何網域控制站的 IP 位址，例如：「syno.local」或「192.168.1.1」。
DNS 伺服器：輸入可以解析網域控制站 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 Synology NAS 目前的 DNS 伺服器，此預設資訊會自動填入。
注意：您也可以在欄位中輸入多個 DNS 伺服器，每個 IP 位址應使用半形逗號 (,) 分隔，例如：「192.168.1.1,192.168.1.2」。

依您的需求進行下列設定，然後按下一步：

管理模式：此選項用來決定網域使用者 / 群組權限的管理方式。
- 所有受信任的網域：可管理 Synology NAS 加入的網域或是受信任的網域中的使用者及群組。您可以依照不同受信任的網域來篩選使用者及群組的清單。
  注意：若要管理受信任網域的使用者及群組，這些網域須和 Synology NAS 加入的網域建立雙向信任。
- 依組織單位管理的單一網域：這模式只顯示屬於加入網域中的使用者及群組。可讓您依照不同組織單位 (OU) 來篩選使用者及群組的清單。
網域帳號：輸入網域系統管理員帳號或權限足夠的使用者帳號。
網域密碼：輸入指定網域帳號的密碼。
註冊 DNS 介面：選擇要註冊 DNS 伺服器的網路介面卡 (NIC，Network Interface Card)。
注意：由於 DNS 無法使用底線 (_)，因此如果 Synology NAS 的主機名稱包含底線 (_)，則註冊會失敗。
在特定組織單位註冊電腦帳號：若要將 Synology NAS 註冊至一個組織單位 (OU)，請勾選此選項。
注意：啟用此選項並按下一步之後，您將在下一個頁面的下拉式選單中選擇一個組織單位。

按下一步後，精靈將檢查設定與環境條件，並將您的 Synology NAS 加入網域。檢測結果共有三種：

：測試項目通過。
：檢測出一個或多個次要問題須解決。這類型的問題可能會造成網域服務異常。按一下每個問題右側的詳情以了解更多資訊。接著，依照精靈指示來解決次要問題，並按一下套用 (或重新檢查) 以再次檢查。
注意：您亦可按一下直接略過來暫時略過測試，並繼續操作精靈。
：檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入網域失敗。針對各個嚴重問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

完成檢查並確認沒有任何嚴重問題後，按一下確定來開始使用網域用戶端服務。

若要將 Synology NAS 加入 LDAP 目錄：

前往控制台 > 網域 / LDAP > 網域 / LDAP。

按一下加入後，精靈將隨之開啟。

輸入下列伺服器資訊，然後按下一步。

伺服器類型：從下拉式選單中選擇 LDAP 或自動偵測。
伺服器位址：輸入完整網域名稱 (FQDN) 或 LDAP 伺服器的 IP 位址，例如：「ldap.synology.com」或「192.168.1.1」。
DNS 伺服器：輸入可以解析 LDAP 伺服器 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 Synology NAS 目前的 DNS 伺服器，此預設資訊會自動填入。
注意：您也可以在欄位中輸入多個 DNS 伺服器，每個 IP 位址應使用半形逗號 (,) 分隔，例如：「192.168.1.1,192.168.1.2」。

依您的需求進行下列設定，然後按下一步：

Bind DN 或 LDAP 管理者帳號：在此欄位輸入 LDAP 伺服器的 Bind DN 或 LDAP 管理者帳號。
注意：Bind DN 為 LDAP 根目錄之識別名稱。舉例來說，若 Base DN 為「dc=ldap,dc=synology,dc=com」，則 LDAP 目錄的 Bind DN 將會是「uid=root,cn=users,dc=ldap,dc=synology,dc=com」。
密碼：輸入 LDAP 管理者帳號的密碼。
加密：從下拉式選單中選擇加密類型，來加密與 LDAP 伺服器間的連線。
Base DN：從下拉式選單選擇 LDAP 伺服器的 Base DN。
注意：Base DN 為 LDAP 資料庫的識別名稱，其名稱由 LDAP 伺服器的指定 FQDN 產生。舉例來說，若 FQDN 為「ldap.synology.com」，其 Base DN 將會是「dc=ldap,dc=synology,dc=com」。

若有需要，您可以依照下方說明進行設定檔、UID / GID 位移或用戶端憑證等設定。

按下一步後，精靈將檢查設定與環境條件，並將您的 Synology NAS 加入 LDAP 目錄。檢測結果共有三種：

：測試項目通過。
：檢測出一個或多個次要問題須解決。這類型的問題可能會造成 LDAP 服務異常。按一下每個問題右側的詳情以了解更多資訊。接著，依照精靈指示來解決次要問題，並按一下套用 (或重新檢查) 以再次檢查。
注意：您亦可按一下直接略過來暫時略過測試，並繼續操作精靈。
：檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入 LDAP 目錄失敗。針對各個嚴重問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

完成檢查並確認沒有任何嚴重問題後，按一下確定來開始使用 LDAP 用戶端服務。

注意：

Synology NAS 的 LDAP 用戶端功能其支援的 LDAP 標準為 LDAP 第 3 版 (RFC 2251)。

關於設定檔

LDAP 屬性可能依 LDAP 伺服器而有所不同。設定檔選項可讓您指定或自訂使用者及群組資訊如何對應至 LDAP 伺服器所用的屬性。您可以為您的 LDAP 服務選擇以下任一設定檔：

標準：適用於執行 Synology LDAP Server 或 Mac Open Directory 的伺服器
IBM Lotus Domino：適用於執行 IBM Lotus Domino 8.5 的伺服器
自訂：用於自訂 LDAP 屬性的對應關係

若您選擇自訂，想要自行安排 LDAP 屬性的對應關係，請參考以下資訊：

Synology 的 DiskStation Manager (DSM) 遵循 RFC 2307 的規範，而其設定檔編輯器也遵循相同的原則。例如，您可以指定 filter 裡的 passwd 為 userFilter，Synology NAS 便會將您 LDAP 伺服器裡符合 objectClass=userFilter 的資料視為 LDAP 帳號。如果指定 passwd 裡的 uid 為 username，Synology NAS 便會將您 LDAP 伺服器上的 username 視為帳號名稱。

Synology NAS 需要一個固定的整數作為 LDAP 帳號的識別碼 (uidNumber) 或群組的識別碼 (gidNumber)，但並非所有 LDAP 伺服器都使用整數來表示這些屬性。因此，我們提供關鍵字 HASH() 來將其轉為整數。例如，您的 LDAP 伺服器可能使用一個 16 進位的屬性 userid 作為 LDAP 帳號的唯一識別碼。在此情況下，您可以將 passwd 的 uidNumber 設為 HASH(userid) 來讓 Synology NAS 將其轉為整數。

若對應目標欄位保持空白，RFC 2307 規範將套用至您的 LDAP 服務。

以下列出可自訂的屬性和其簡要說明：

filter
- passwd：使用者應有的 objectClass
- group：群組應有的 objectClass
group
- cn：群組名稱
- gidNumber：群組的群組識別碼 (GID)
- memberUid：群組成員
passwd
- uidNumber：使用者的使用者識別碼 (UID)
- uid：使用者名稱
- userPassword：使用者密碼
- gidNumber：使用者的主要群組識別碼 (GID)

關於 UID / GID 位移

為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突，您可以啟用此選項來將 LDAP 使用者 / 群組的 UID / GID 加上 1000000。UID / GID 位移僅適用於非 Synology 的 LDAP 伺服器，且該伺服器針對每個使用者 / 群組提供獨一無二，並由數字組成的 ID 屬性。

關於用戶端憑證

DSM 支援用戶端憑證。部分 LDAP 伺服器 (例如：Google 的 LDAP 服務) 可透過用戶端憑證來進行身份驗證。您可以勾選啟用用戶端憑證，啟用後上傳用戶端憑證。