[分享] Synology 讓DSM 3.2和LDAP在一起了～[整合你的NAS和帳號]

公司目前手上有眾多Server，基本的四台Synology NAS，和n台Linux Server（自從虛擬化開始之後，筆者只知道工作更多了，要管理的伺服器更多了…..#$%^&*），以及n台以上的客戶端。如何妥善管理這些機器之間的帳號與服務之間的授權，就會是一個大問題。

整合帳號的機制，其實很重要，像是公司人員的來去，或是分散於各機器的服務，如果要分開來設置帳號，密碼和授權，很快地就會開始產生錯亂......即使是家人之間分享檔案，也能夠透過這次的整合方式，一次做好各個使用者的隱私設置，達到一次設置就完成全部的建置，省下了管理的人的力氣和有更多餘的時間享受自己的時間。

剛好這次公司新購入Synology DS712+的時候，Synology的DSM3.2推出LDAP支援的服務，筆者就順便了解一下Synology的LDAP目前的開發進度，發現了一些有趣的地方可以和大家討論。
當然，依照之前的例子，我們先補一張簡易網路架構圖遮羞圖，並讓筆者來介紹一下如何搭配現階段的Synology來整合我們眾多機器的方案之一，不管你是NAS買太多，還是Windows AD管太多，還是跟筆者一樣一堆破舊機器被公司拿來改裝成Linux的網路重度使用者，都可以參考這次的解決方案：


為什麼Synology CS407被歸類到Windows AD管理呢？因為Synology官方竟然在停止CS407的DSM更新了….這就讓筆者想起前進梅利號的心情…(喂！你別透漏你阿宅身分阿……
為了讓CS407裡面儲存的眾多好康動作片(?!..喂！你確定這能寫?!)能夠持續地跟著大家一起生活下去，我們決定讓它跟著Windows AD一起生活囉，而其他能夠支援Synology DSM 3.2的NAS Server，我們就把它們透過這次機會，整合在一起了。（在一起～在一起～在一起～～



[建立Synology LDAP Server]
1. 首先，利用最近受到大家不少愛戴的Synology DS712+示範如何當一個稱職的LDAP Server來幫我們擋住第一波的攻擊，
一樣，已經支援DSM3.2的機器，只要到套件中心，下載並啟用了Directory Server這個新功能招式！


話說，為什麼Synology要另外替LDAP Server取名阿，LDAP(Lightweight Directory Access Protocol)，筆者還是第一次看到這樣稱呼LDAP的，還是現在大家都這樣稱呼LDAP了？

2. 這邊，我們當然不能隨便透漏筆者的私密網域阿，所以筆者就替Synology起了一個很適合的網路名稱DS712.piece，並且揚起海賊旗。
所以請有意願的朋友，請自行使用org, com, cc等適合大家的域名囉。


3. 不得不說，Synology真的很貼心，這次一樣幫我們設計好了備份與還原的功能了，而且還非常的詳細呢！可以排程，檢視備份狀態，和最後一次備份時間，並且指定備份目的地，真的是很用心的一家公司！


點選[設定]之後，就會看到我們詳細的設定方式，而筆者為了表揚DS 712+這次成功激起大家的熱烈迴響，所以將備份版本設定上限是712份~~~ XDDD


太棒了，接下來每周日的7:12分都會產生一個備份檔案分靈體。


4. 這邊看到Synology 的LDAP Server已經把基本的使用者和群組都建立好了，而這也將會是LDAP Client會看到的內容。


因為Synology DS712+過於自戀?的關係，筆者這邊就用712th Team來表揚一下最近DS712+受到的猛烈歡迎～（DS712+：得意～



5. 挖喔～這次Synology還替我們做了匯入清單的功能呢！


還可以通知被加入的使用者?!（喂，那個不理不理海賊團是啥？！


6. 這邊秀出不理不理海賊團的匯入申請單……

空白處的分隔是[Tab鍵]喔，這麼簡單的加入方法，看來Synology船長這次給DS712+很大的方便阿！


7. 這樣就完成了，是不是很想簡單啊。（Synology DS712+：趕快來加入吧～



[將Synology NAS加入Synology LDAP Server]
1. 需要將Synology的NAS升級到DSM3.2版才會有LDAP Client支援的功能。


2. 指定好LDAP Server的位址，如果你的網域內有DNS伺服器定義到LDAP Server的話，就可以指定名稱即可。

筆者測試之後發現，加密的部分，使用[無]，[SSL]或是[TLS]都可以正確地連線到DS712+，所以大家可以自由選用。當然，筆者是使用加密的方式，不然帳號跟密碼都在網路用明碼的方式丟來丟去，那天不給暗算了才怪…XDD

Base DN:的部分，在輸入正確的LDAP Server連線之後，點選下拉就可以看的到預設的Root路徑了。

記得要跟勾選[啟動Windows CIFS支援]，這樣Samba的網路芳鄰功能才能夠正確認證。

3. 一剛開始設定好，在[LDAP使用者] 頁面並不會立刻出現，即使按了畫面上的綠色按鈕，重新整理也一樣，詢問Synology客服之後才知道，原來那個重新整理只是整理畫面，而Synology LDAP Client和LDAP Server要求更新內容的時間是5分鐘。
所以稍微等一下，就可以看到LDAP Server上的名單已經送進來了。


4. 一樣的，針對LDAP Server上的使用者設定權限等級。


5. 這邊設定使用空間配額。


6. 和應用程式權限。


7. 或是直接針對LDAP Server上的群組設定權限。


8. 能夠針對群組設定方便很多！


9. 就這樣，我們完成了完成了簡易網路架構圖的整合。
下圖列出Synology和Windows AD網域整合的示範圖。




[關於這次Synology LDAP Server]
這一次Synology使用了LDAP的方式，看起來是以整合自身產品樹為主，筆者從Synology LDAP的樹狀發現，和一般Linux的cn=people不同，Synology是使用mac的樹系cn=users

但是深入檢測LDAP的Schema發現，Synology竟然自訂了自己的Shcema！打開以後發現大驚奇～是空的？！或許Synology未來會替syno.schema加上適合的內容，讓大家能夠在整合更多功能平台?!


本來腦袋想了幾個方案NAS > AD > CLIENT，AD > NAS > CLIENT，但是最後決定只寫上 NAS - AD > CLIENT，變成兩個帳號授權系統，實測後發現其實並不至於產生太多使用者的負擔，因為NAS本身已經完整的整合了Samba這主要的功能，筆者所提供的架構，並不會造成使用Samba的負擔。
而一般伺服器的功能，其實企業內部也不會使用同一套授權系統，所以使用這樣的整合方式；對於家庭用戶，也不會自行架設AD網域，所以能夠完整的享受Synology提供的整合方案。



[總結]
優點：
 對於手上有兩台以上Synology產品的使用者，一次整合這些帳號和密碼再也不是難事，可見大家的心聲，Synology都有聽進去囉。
 LDAP備份的支援相當完整。
 支援SSL和TLS加密，並且完整整合了自身的服務和資料分享等功能。
缺點：
 或許對於Synology來說並不算是缺點，但是筆者還是想在這邊提出來，當初看到這個功能的時候，還以為是一個完整的異質平台解決方案呢！而Synology現階段為了整合mac的ldap使用了users的LDAP樹狀，可是syno.shcema中竟然是空包彈??!……看來可以期待接下來Synology是否繼續提出這方面的加強~

整體來說，這次的LDAP整合，還是一個很棒的功能，再也不用擔心哪一台機器沒設定到，或是帳號和密碼未同步的問題了，介面也設計了相當多功能，所以還是得給Synology一點掌聲囉。