Domain-/LDAP-Einstellungen konfigurieren
Sobald Ihr Synology NAS einem Verzeichnis beigetreten ist, können Sie verschiedene Einstellungen Ihrer Verzeichnis-Client-Umgebung verwalten.
Domain-Client-Einstellungen verwalten
Sie können grundlegende Informationen zu Ihrem Synology NAS und der Domain unter Systemsteuerung > Domain/LDAP > Domain/LDAP anzeigen. Klicken Sie auf Einstellungen, um die grundlegenden Informationen oder andere erweiterte Einstellungen zu ändern.
Allgemeine Informationen verwalten:
Gehen Sie zur Registerkarte Allgemein, um die grundlegenden Domain-Client-Einstellungen Ihres Synology NAS zu ändern.
- DNS-Server: Bearbeiten Sie die IP-Adresse eines DNS-Servers, der IP-Adressen von Domain-Controllern auflösen kann.
- DC IP/FQDN: Geben Sie die IP-Adresse oder den FQDN (Fully Qualified Domain Name) eines Domain-Controllers an. Ihr Synology NAS versucht dann, mit diesem zu kommunizieren.
- Wenn Sie mehrere IP-Adressen oder FQDNs eingeben möchten, achten Sie darauf, diese durch ein Komma (,) zu trennen. Sie können auch nach IP-Adresse/FQDN des letzten Domänencontrollers ein Sternchen (*) hinzufügen. Dann wird Ihr Synology NAS versuchen, mit anderen Domänencontrollern zu kommunizieren, falls die Kommunikation mit den angegebenen nicht möglich ist. Ein Komma sollte zum Trennen des Sternchens von der letzten IP-Adresse/FQDN verwendet werden.
- Benutzer/Gruppenliste aktualisieren: Legen Sie fest, wie oft Ihr Synology NAS automatisch die Domainbenutzer-/-gruppenliste aktualisiert. Gehen Sie zur Registerkarte Domainbenutzer oder Domaingruppe und klicken Sie auf Domain-Daten synchronisieren, um die Liste manuell zu aktualisieren. Automatische Aktualisierungen beeinflussen den Ruhezustand des Systems.
- IWA: Mit der Integrierten Windows-Authentifizierung (IWA) können Benutzer, die sich bereits über Domainkonten bei ihren Computern angemeldet haben, sich über einen Webbrowser bei DSM anmelden, ohne ihre Anmeldedaten erneut eingeben zu müssen. Weitere Informationen über die Einrichtung der IWA.
Einstellungen des Verwaltungsmodus konfigurieren:
Gehen Sie zur Registerkarte Verwaltungsmodus, um zu bestimmen, wie Sie die Berechtigungen der Domainbenutzer und -gruppen verwalten.
- Vertrauenswürdige Domains: Sie können Benutzer und Gruppen der Domain, welcher Ihr Synology NAS beigetreten ist, sowie von vertrauenswürdigen Domains verwalten. Mit diesem Modus können Sie die Benutzer- und Gruppenlisten nach Domain filtern.
- Um Benutzer und Gruppen vertrauenswürdiger Domains zu verwalten, müssen diese Domains der Domain, welcher der Synology NAS beigetreten ist, vertrauen und umgekehrt.
- DC IP einstellen: Wählen Sie im eingeblendeten Fenster DC IP einstellen aus, wie Ihr Synology NAS mit Domain-Controllern in der vertrauenswürdigen Domain kommuniziert.
- Automatisch: Ihr Synology NAS kommuniziert automatisch mit einem oder mehreren Domain-Controllern in der vertrauenswürdigen Domain, die vom DNS-Dienst bereitgestellt wurde.
- Manuell: Geben Sie IP-Adressen oder vollqualifizierte Domainnamen (FQDN) eines oder mehrerer Domain-Controller in der vertrauenswürdigen Domain an. Ihr Synology NAS wird mit diesen direkt kommunizieren.
- Wenn Sie mehrere IP-Adressen oder FQDNs eingeben möchten, achten Sie darauf, diese durch ein Komma (,) zu trennen. Sie können auch nach IP-Adresse/FQDN des letzten Domänencontrollers ein Sternchen (*) hinzufügen. Dann wird Ihr Synology NAS versuchen, mit anderen Domänencontrollern zu kommunizieren, falls die Kommunikation mit den angegebenen nicht möglich ist. Ein Komma sollte zum Trennen des Sternchens von der letzten IP-Adresse/FQDN verwendet werden.
- Domain-Daten synchronisieren: Überprüfen Sie die vertrauenswürdige Domain, die Sie aktualisieren möchten, und klicken Sie auf Domain-Daten synchronisieren, um die Listen der Benutzer und Gruppen in der Domain manuell zu synchronisieren. Sie können die Daten von jeweils einer Domain synchronisieren.
- Test: Klicken Sie hier, um die Funktionalität des Client-Dienstes der vertrauenswürdigen Domain zu testen. Der Assistent testet nun, ob die Vorbedingungen erfüllt wurden.
: Das Testelement hat den Test bestanden.
: Es ist mindestens ein kleineres Problem aufgetreten, das gelöst werden muss. Solche Probleme können zu Unregelmäßigkeiten bei Domaindiensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Beheben Sie die Probleme entsprechend der empfohlenen Maßnahmen.
: Es ist mindestens ein kritisches Problem aufgetreten, das umgehend gelöst werden muss. Solche Probleme können zu Störungen bei Domaindiensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Folgen Sie den Anweisungen im Popup-Fenster, um das Problem zu beheben.
- Einzeldomain mit OE: Nur Benutzer und Gruppen der Domain, welcher Ihr Synology NAS beigetreten ist, werden synchronisiert. Mit diesem Modus können Sie die Benutzer- und Gruppenlisten nach Organisationseinheiten (OE) filtern.
Erweiterte Einstellungen verwalten:
Gehen Sie zur Registerkarte Erweitert, um die folgenden Einstellungen zu konfigurieren.
- Daten vertrauenswürdiger Domänen direkt von entsprechenden Domänen abrufen: Mit dieser Option kann der Synology NAS die in vertrauenswürdigen Domains gespeicherten Daten direkt von den entsprechenden vertrauenswürdigen Domains anfragen. Setzen Sie hier ein Häkchen, wenn es Benutzer oder Gruppen gibt, deren Berechtigungen unter Domainbenutzer oder Domaingruppe nicht geändert werden können.
- LDAP-Verschlüsselung: Wählen Sie eine Verschlüsselungsart (SASL oder SSL/TLS), die Ihr Synology NAS für LDAP-Verbindungen zur Domäne verwenden soll.
- Verschachtelte Gruppenebenen: Geben Sie die Anzahl der Ebenen an, in denen die verschachtelten Domaingruppenmitglieder erweitert werden können. Mittels Verschachtelung können Sie Gruppen zu anderen Gruppen hinzufügen, was Ihnen mehr Flexibilität bei der Anwendung von Zugriffssteuerungslisten (ACLs) für Dienste auf Ihrem Synology NAS gibt.
- Die Anzahl Verschachtelter Gruppenebenen bestimmt, inwieweit Gruppenhierarchien erweitert werden. Wenn die Anzahl der Ebenen beispielsweise 2 ist, werden die ACLs einer Gruppe für deren Benutzer, untergeordnete Gruppen (erste Ebene) und untergeordnete Gruppen ihrer untergeordneten Gruppen (zweite Ebene) übernommen.
- Die Erweiterung verschachtelter Gruppen kann in bestimmten Fällen zeitaufwändig sein, z. B. wenn der Server das Attribut member nicht indiziert oder Gruppen sehr verschachtelt sind.
- Domänenadministratoren: Geben Sie bis zu zehn Benutzergruppen an, denen Sie Administratorrechte gewähren möchten. Benutzer mit Administratorrechten haben volle Kontrolle über Ihren Synology NAS und die darauf gespeicherten Dateien.
- Die zwei standardmäßigen Domaingruppen Domain Admins und Enterprise Admins werden automatisch zur lokalen Gruppe administrators hinzugefügt. Daher werden den Domainbenutzern in diesen Gruppen Administratorrechte für Ihr Synology NAS gewährt, einschließlich des Zugangs zu Dateidiensten (z. B. SMB, FTP, AFP und WebDAV) und anderen DSM-Paketen.
Die Funktionalität des Domain-Client-Dienstes testen:
Wenn Ihr Domaindienst nicht korrekt funktioniert, befolgen Sie die nachstehenden Schritte zur Problembehebung.
- Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain/LDAP.
- Klicken Sie auf Test, damit der Assistent eine Überprüfung der Vorbedingungen durchführt und die Testergebnisse bereitstellt.
: Das Testelement hat den Test bestanden.
: Es ist mindestens ein kleineres Problem aufgetreten, das gelöst werden muss. Solche Probleme können zu Unregelmäßigkeiten bei Domaindiensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Beheben Sie die Probleme entsprechend der empfohlenen Maßnahmen.
: Es ist mindestens ein kritisches Problem aufgetreten, das umgehend gelöst werden muss. Solche Probleme können zu Störungen bei Domaindiensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Folgen Sie den Anweisungen im Popup-Fenster, um das Problem zu beheben.
Ihr Synology NAS erneut in die Domain einbinden:
In den meisten Fällen müssen Sie der Domain nicht erneut beitreten. Der Vorgang ist nur erforderlich, wenn Unregelmäßigkeiten auftreten, z. B. das Computerkonto Ihres Synology NAS ist abgelaufen.
- Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain/LDAP und klicken Sie auf Bearbeiten.
- Wählen Sie die Registerkarte Allgemein und klicken Sie auf Domain erneut beitreten.
- Geben Sie im Popup-Fenster die erforderlichen Informationen ein:
- Domain-Konto: Geben Sie das Administratorkonto der Domain oder ein Benutzerkonto mit ausreichenden Rechten ein.
- Kennwort: Geben Sie das Kennwort des Domain-Kontos ein.
- Klicken Sie auf OK. Ihr Synology NAS wird erneut den Beitritt zur Zieldomain beginnen.
Anmerkung:
- Wenn der Benutzername eines Domain-Kontos die Zeichen % oder $ enthält, kann das Konto eventuell nicht auf seinen Home-Ordner zugreifen. Sie müssen den Benutzernamen über das Administratorkonto der Domain ändern.
- Sie können Zugriffsberechtigungen für freigegebene Ordner von Domainbenutzern auf Ihrem Synology NAS konfigurieren.
LDAP-Client-Einstellungen verwalten
Nachdem Ihr Synology NAS einem LDAP-Verzeichnis beigetreten ist, sehen Sie allgemeine Informationen zu Ihrem Synology NAS und dem LDAP-Verzeichnis unter Systemsteuerung > Domain/LDAP > Domain/LDAP. Klicken Sie auf Bearbeiten, um die allgemeinen Informationen oder andere erweiterte Einstellungen zu ändern.
Allgemeine Informationen verwalten:
Gehen Sie zur Registerkarte Allgemein, um die grundlegenden LDAP-Client-Einstellungen Ihres Synology NAS zu ändern.
- Verschlüsselung: Wählen Sie eine Verschlüsselungsmethode aus dem Dropdown-Menü aus.
- Base DN: Sie können den Base DN des LDAP-Servers in diesem Feld bearbeiten. Der Base DN ist der eindeutige Name der LDAP-Datenbank, der aus dem angegebenen FQDN des LDAP-Servers erzeugt wird. Lautet der FQDN beispielsweise „ldap.synology.com“, ist seine Base DN „dc=ldap,dc=synology,dc=com“.
- Profil: Wählen Sie ein Profil aus, das bestimmt, wie Benutzer- und Gruppeninformationen LDAP-Attributen zugeordnet werden.
Erweiterte Einstellungen verwalten:
Gehen Sie zur Registerkarte Erweitert, um die folgenden Einstellungen zu konfigurieren.
- Benutzer-/Gruppenliste aktualisieren (Minuten): Legen Sie fest, wie oft Ihr Synology NAS automatisch die LDAP-Benutzer-/-gruppenliste aktualisiert. Gehen Sie zur Registerkarte LDAP-Benutzer oder LDAP-Gruppe und klicken Sie auf LDAP-Daten aktualisieren, um die Listen manuell zu aktualisieren. Automatische Aktualisierungen beeinflussen den Ruhezustand des Systems.
- Attribut von Gruppenmitgliedern:
- memberOf: In RFC2307bis stellt „memberOf“ ein Benutzerobjektattribut dar, das sich auf die Gruppe bezieht, zu der Benutzer gehören. „member“ stellt ein Gruppenobjektattribut dar, das sich auf Benutzer der Gruppe bezieht.
- memberUID: In RFC2307 stellt „memberUID“ ein Gruppenobjektattribut dar, das sich auf die Benutzer einer Gruppe bezieht. Benutzerobjekte enthalten jedoch keine Informationen über die Gruppe, zu der Benutzer gehören.
- CIFS-Klartext-Kennwort-Authentifizierung aktivieren: Damit LDAP-Benutzer über CIFS auf Dateien des Synology NAS zugreifen können, wählen Sie diese Option aus und aktivieren Sie die PAM-Einstellungen der Computer. Diese Option ist nur für LDAP-Server, die kein Samba-Schema unterstützen. Mehr über CIFS-Unterstützung und Einstellungen des Client-Computers erfahren.
- UID/GID-Verschiebung aktivieren: Um UID/GID-Konflikte zwischen LDAP-Benutzern/-Gruppen und lokalen Benutzern/Gruppen zu vermeiden, aktivieren Sie diese Option, um die UID/GID von LDAP-Benutzern/-Gruppen um 1000000 zu verschieben. Diese Option nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribut für alle Benutzer/Gruppen bereitstellen.
- Verschachtelte Gruppen erweitern: Aktivieren Sie die Erweiterung verschachtelter Gruppen durch Markierung dieses Kontrollkästchens und Einrichtung einer Ebenenanzahl für Ihre verschachtelte LDAP-Gruppe. Mittels Verschachtelung können Sie Gruppen zu anderen Gruppen hinzufügen, was Ihnen mehr Flexibilität bei der Anwendung von Zugriffssteuerungslisten (ACLs) für Dienste auf Ihrem Synology NAS ermöglicht.
- Die Anzahl Verschachtelter Gruppenebenen bestimmt, inwieweit Gruppenhierarchien erweitert werden. Wenn die Anzahl der Ebenen beispielsweise 2 ist, werden die ACLs einer Gruppe für deren Benutzer, untergeordnete Gruppen (erste Ebene) und untergeordnete Gruppen ihrer untergeordneten Gruppen (zweite Ebene) übernommen.
- Die Erweiterung verschachtelter Gruppen kann in bestimmten Fällen zeitaufwändig sein, z. B. wenn der LDAP-Server das Attribut member nicht indiziert oder Gruppen sehr verschachtelt sind.
- Client-Zertifikat aktivieren: Setzen Sie hier ein Häkchen, um das Client-Zertifikat zu aktualisieren.
Die Funktionalität des LDAP-Client-Dienstes testen:
Wenn Ihr LDAP-Dienst nicht korrekt funktioniert, unternehmen Sie folgende Schritte zur Problembehebung.
- Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain/LDAP.
- Klicken Sie auf Test, damit der Assistent eine Überprüfung der Vorbedingungen durchführt und die Testergebnisse bereitstellt.
: Das Testelement hat den Test bestanden.
: Es ist mindestens ein kleineres Problem aufgetreten, das gelöst werden muss. Solche Probleme können zu Unregelmäßigkeiten bei LDAP-Diensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Beheben Sie die Probleme entsprechend der empfohlenen Maßnahmen.
: Es ist mindestens ein kritisches Problem aufgetreten, das umgehend gelöst werden muss. Solche Probleme können zu Störungen bei LDAP-Diensten führen.
- Klicken Sie auf der rechten Seite jedes Problems auf Details.
- Beheben Sie die Probleme entsprechend der empfohlenen Maßnahmen.
Ihr Synology NAS erneut in das LDAP-Verzeichnis einbinden:
In den meisten Fällen müssen Sie dem LDAP-Verzeichnis nicht erneut beitreten. Dieser Vorgang ist nur erforderlich, wenn Unregelmäßigkeiten auftreten (z. B. bei ungültigen Authentifizierungsinformationen).
- Gehen Sie zu Systemsteuerung > Domain/LDAP > Domain/LDAP und klicken Sie auf Bearbeiten.
- Wählen Sie die Registerkarte Allgemein und klicken Sie auf LDAP erneut beitreten.
- Geben Sie im Popup-Fenster die erforderlichen Informationen ein:
- Bind DN oder LDAP-Admin-Konto: Geben Sie LDAP Bind DN oder ein Administratorkonto ein.
- Kennwort: Geben Sie das Kennwort des LDAP-Kontos ein.
- Klicken Sie auf OK. Ihr Synology NAS wird erneut den Beitritt zum LDAP-Zielverzeichnis beginnen.
Über CIFS-Unterstützung und Einstellungen des Client-Computers
Mit CIFS-Klartext-Kennwort-Authentifizierung können LDAP-Benutzer über CIFS auf Dateien auf dem Synology NAS zugreifen, auch wenn der LDAP-Server das Samba-Schema nicht unterstützt.
Wenn Ihr LDAP-Verzeichnis von einem Server bereitgestellt wird, der Samba nicht unterstützt, setzen Sie bitte ein Häkchen bei CIFS-Klartext-Kennwort-Authentifizierung aktivieren und gehen Sie auf Ihren Computern wie folgt vor. Beachten Sie, dass diese Option die Systemsicherheit beeinträchtigen kann, da sie die unverschlüsselte Übertragung von Kennwörtern (in Klartext) erlaubt.
- Windows-Einstellungen ändern:
- Gehen Sie zu Start > Ausführen, geben Sie „regedit“ in das Feld ein und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
- Suchen oder erstellen Sie, je nach Windows-Version, folgende Registrierungseinträge:
- Windows 2000, Windows XP, Windows Vista, Windows 7 und Windows 10:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters] - Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] - Windows 95 (SP1), Windows 98 und Windows Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
- Windows 2000, Windows XP, Windows Vista, Windows 7 und Windows 10:
- Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword und ändern Sie dessen Wert von 0 auf 1.
- Starten Sie Windows neu, um die Änderungen zu übernehmen.
- Einstellungen in macOS ändern:
- Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
- Erstellen Sie eine leere Datei /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
- Öffnen Sie /etc/nsmb.conf mit „vi“:
sudo vi /etc/nsmb.conf
- Geben Sie „i“ ein, um Text einzufügen, und fügen Sie Folgendes ein:
[default]
minauth=none
- Drücken Sie Esc und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.
- Einstellungen unter Linux ändern:
- Wenn Sie smbclient verwenden, fügen Sie die folgenden Schlüssel in den Bereich [global] von smb.conf ein:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
- Wenn Sie mount.cifs verwenden, führen Sie den folgenden Befehl aus:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
- Wenn Sie smbclient verwenden, fügen Sie die folgenden Schlüssel in den Bereich [global] von smb.conf ein: