加入網域 / LDAP

本文章將引導您將 $_DSPRODUCTNAME_$ 加入目錄服務。

若要將 $_DSPRODUCTNAME_$ 加入網域：

前往控制台 > 網域 / LDAP > 網域 / LDAP。

按一下加入後，精靈將隨之開啟。

輸入下列伺服器資訊，然後按下一步。

伺服器類型：從下拉式選單中選擇網域或自動偵測。
伺服器位址：輸入完整網域名稱 (FQDN) 或任何網域控制站的 IP 位址，例如：「syno.local」或「192.168.1.1」。
DNS 伺服器：輸入可以解析網域控制站 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 $_DSPRODUCTNAME_$ 目前的 DNS 伺服器，此預設資訊會自動填入。
注意：您也可以在欄位中輸入多個 DNS 伺服器，每個 IP 位址應使用半形逗號 (,) 分隔，例如：「192.168.1.1,192.168.1.2」。

依您的需求進行下列設定，然後按下一步：

管理模式：此選項用來決定網域使用者 / 群組權限的管理方式。
- 所有受信任的網域：可管理 $_DSPRODUCTNAME_$ 加入的網域或是受信任的網域中的使用者及群組。您可以依照不同受信任的網域來篩選使用者及群組的清單。
  注意：若要管理受信任網域的使用者及群組，這些網域須和 $_DSPRODUCTNAME_$ 加入的網域建立雙向信任。
- 依組織單位管理的單一網域：這模式只顯示屬於加入網域中的使用者及群組。可讓您依照不同組織單位 (OU) 來篩選使用者及群組的清單。
網域帳號：輸入網域系統管理員帳號或權限足夠的使用者帳號。
網域密碼：輸入指定網域帳號的密碼。
註冊 DNS 介面：選擇要註冊 DNS 伺服器的網路介面卡 (NIC，Network Interface Card)。
注意：由於 DNS 無法使用底線 (_)，因此如果 $_DSPRODUCTNAME_$ 的主機名稱包含底線 (_)，則註冊會失敗。
在特定組織單位註冊電腦帳號：若要將 $_DSPRODUCTNAME_$ 註冊至一個組織單位 (OU)，請勾選此選項。
注意：啟用此選項並按下一步之後，您將在下一個頁面的下拉式選單中選擇一個組織單位。

按下一步後，精靈將檢查設定與環境條件，並將您的 $_DSPRODUCTNAME_$ 加入網域。檢測結果共有三種：

：測試項目通過。
：檢測出一個或多個次要問題須解決。這類型的問題可能會造成網域服務異常。按一下每個問題右側的詳情以了解更多資訊。接著，依照精靈指示來解決次要問題，並按一下套用 (或重新檢查) 以再次檢查。
注意：您亦可按一下直接略過來暫時略過測試，並繼續操作精靈。
：檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入網域失敗。針對各個嚴重問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

完成檢查並確認沒有任何嚴重問題後，按一下確定來開始使用網域用戶端服務。

若要將 $_DSPRODUCTNAME_$ 加入 LDAP 目錄：

前往控制台 > 網域 / LDAP > 網域 / LDAP。

按一下加入後，精靈將隨之開啟。

輸入下列伺服器資訊，然後按下一步。

伺服器類型：從下拉式選單中選擇 LDAP 或自動偵測。
伺服器位址：輸入完整網域名稱 (FQDN) 或 LDAP 伺服器的 IP 位址，例如：「ldap.synology.com」或「192.168.1.1」。
DNS 伺服器：輸入可以解析 LDAP 伺服器 IP 位址的 DNS 伺服器其 IP 位址。您亦可採用 $_DSPRODUCTNAME_$ 目前的 DNS 伺服器，此預設資訊會自動填入。
注意：您也可以在欄位中輸入多個 DNS 伺服器，每個 IP 位址應使用半形逗號 (,) 分隔，例如：「192.168.1.1,192.168.1.2」。

依您的需求進行下列設定，然後按下一步：

Bind DN 或 LDAP 管理者帳號：在此欄位輸入 LDAP 伺服器的 Bind DN 或 LDAP 管理者帳號。
注意：Bind DN 為 LDAP 根目錄之識別名稱。舉例來說，若 Base DN 為「dc=ldap,dc=synology,dc=com」，則 LDAP 目錄的 Bind DN 將會是「uid=root,cn=users,dc=ldap,dc=synology,dc=com」。
密碼：輸入 LDAP 管理者帳號的密碼。
加密：從下拉式選單中選擇加密類型，來加密與 LDAP 伺服器間的連線。
Base DN：從下拉式選單選擇 LDAP 伺服器的 Base DN。
注意：Base DN 為 LDAP 資料庫的識別名稱，其名稱由 LDAP 伺服器的指定 FQDN 產生。舉例來說，若 FQDN 為「ldap.synology.com」，其 Base DN 將會是「dc=ldap,dc=synology,dc=com」。

若有需要，您可以依照下方說明進行設定檔、UID / GID 位移或用戶端憑證等設定。

按下一步後，精靈將檢查設定與環境條件，並將您的 $_DSPRODUCTNAME_$ 加入 LDAP 目錄。檢測結果共有三種：

：測試項目通過。
：檢測出一個或多個次要問題須解決。這類型的問題可能會造成 LDAP 服務異常。按一下每個問題右側的詳情以了解更多資訊。接著，依照精靈指示來解決次要問題，並按一下套用 (或重新檢查) 以再次檢查。
注意：您亦可按一下直接略過來暫時略過測試，並繼續操作精靈。
：檢測出一個或多個嚴重問題須立即解決。這些問題可能會造成加入 LDAP 目錄失敗。針對各個嚴重問題，請進行以下操作：
1. 按一下每個問題右側的詳情。
2. 依據彈出視窗的指示解決問題。
3. 按一下套用 (或重新檢查) 以再次檢查。

完成檢查並確認沒有任何嚴重問題後，按一下確定來開始使用 LDAP 用戶端服務。

注意：

$_DSPRODUCTNAME_$ 的 LDAP 用戶端功能其支援的 LDAP 標準為 LDAP 第 3 版 (RFC 2251)。

關於設定檔

LDAP 屬性可能依 LDAP 伺服器而有所不同。設定檔選項可讓您指定或自訂使用者及群組資訊如何對應至 LDAP 伺服器所用的屬性。您可以為您的 LDAP 服務選擇以下任一設定檔：

標準：適用於執行 Synology LDAP Server 或 Mac Open Directory 的伺服器
IBM Lotus Domino：適用於執行 IBM Lotus Domino 8.5 的伺服器
自訂：用於自訂 LDAP 屬性的對應關係

若您選擇自訂，想要自行安排 LDAP 屬性的對應關係，請參考以下資訊：

Synology 的 DiskStation Manager (DSM) 遵循 RFC 2307 的規範，而其設定檔編輯器也遵循相同的原則。例如，您可以指定 filter 裡的 passwd 為 userFilter，$_DSPRODUCTNAME_$ 便會將您 LDAP 伺服器裡符合 objectClass=userFilter 的資料視為 LDAP 帳號。如果指定 passwd 裡的 uid 為 username，$_DSPRODUCTNAME_$ 便會將您 LDAP 伺服器上的 username 視為帳號名稱。

$_DSPRODUCTNAME_$ 需要一個固定的整數作為 LDAP 帳號的識別碼 (uidNumber) 或群組的識別碼 (gidNumber)，但並非所有 LDAP 伺服器都使用整數來表示這些屬性。因此，我們提供關鍵字 HASH() 來將其轉為整數。例如，您的 LDAP 伺服器可能使用一個 16 進位的屬性 userid 作為 LDAP 帳號的唯一識別碼。在此情況下，您可以將 passwd 的 uidNumber 設為 HASH(userid) 來讓 $_DSPRODUCTNAME_$ 將其轉為整數。

若對應目標欄位保持空白，RFC 2307 規範將套用至您的 LDAP 服務。

以下列出可自訂的屬性和其簡要說明：

filter
- passwd：使用者應有的 objectClass
- group：群組應有的 objectClass
group
- cn：群組名稱
- gidNumber：群組的群組識別碼 (GID)
- memberUid：群組成員
passwd
- uidNumber：使用者的使用者識別碼 (UID)
- uid：使用者名稱
- userPassword：使用者密碼
- gidNumber：使用者的主要群組識別碼 (GID)

關於 UID / GID 位移

為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突，您可以啟用此選項來將 LDAP 使用者 / 群組的 UID / GID 加上 1000000。UID / GID 位移僅適用於非 Synology 的 LDAP 伺服器，且該伺服器針對每個使用者 / 群組提供獨一無二，並由數字組成的 ID 屬性。

關於用戶端憑證

DSM 支援用戶端憑證。部分 LDAP 伺服器 (例如：Google 的 LDAP 服務) 可透過用戶端憑證來進行身份驗證。您可以勾選啟用用戶端憑證，啟用後上傳用戶端憑證。