Интеграция системы NAS от QNAP с Microsoft Active Directory (AD)

Active Directory® представляет собой механизм каталогов от Microsoft, который используется в средах Windows для централизованного хранения, совместного использования и управления информацией и ресурсами в сети. В этом иерархическом каталоге централизованным образом хранится информация о пользователях, группах и компьютерах для безопасного управления доступом.

Преимущества добавления системы NAS от QNAP в Active Directory:

  • Удобство настройки учетных записей: Если сделать систему NAS членом домена Active Directory, все пользовательские учетные записи сервера AD будут автоматически импортированы на систему NAS. Таким образом, пользователи AD смогут использовать для подключения к системе NAS те же самые имя пользователя и пароль. Это экономит затраты времени и усилий администратора системы, которые требуются для создания пользовательских учетных записей на одной или нескольких системах NAS.

  • Эффективный контроль доступа: Администратор системы NAS может настраивать права доступа (только для чтения, на чтение, на запись или запрет доступа) ко всем общим ресурсам отдельно для локальных пользователей, пользователей домена, локальных групп пользователей, групп пользователей домена.

Предварительные условия

Чтобы присоединить систему Turbo NAS к домену Active Directory на Windows Server 2008 R2, прежде всего необходимо обновить микропрограмму системы NAS до версии 3.2.0 или более поздней.

Чтобы сделать систему Turbo NAS членом домена Active Directory , выполните следующие действия.

Шаг 1: Настройте время и информацию DNS

Подключитесь к системе NAS с правами администратора. Перейдите на страницу System Administration > General Settings > Date and Time. Установите дату и время на системе NAS, совпадающие с настройками времени на сервере Active Directory. Допустимая разница может составлять не более 5 минут.

Затем установите в качестве IP-адреса предпочитаемого DNS-сервера IP-адрес сервера Active Directory (поддерживающего службу DNS). Это ДОЛЖЕН БЫТЬ IP-адрес сервера DNS, используемого для Active Directory. В случае использования внешнего сервера DNS выполнить присоединение к домену будет невозможно.

Шаг 2:

Проверьте имя сервера Active Directory и имя домена.

a- имя домена NetBIOS (поле Domain NetBIOS Name)

a- Здесь указывается имя сервера Active Directory

b- Здесь указывается имя домена

* В приведенном выше примере используется Windows Server 2008. Описание для Windows Server 2003 приводится ниже (проверьте поле AD Server Name).

a- В Windows 2003 имя сервера Active Directory указывается как node1, а НЕ как node1.qnap-test.com

b- Значение имени домена (в поле Domain name) остается тем же самым.

Шаг 3: Включение в домен Active Directory

Перейдите на страницу Network Services > Microsoft Networking. Введите информацию о домене AD.

Если включение в домен Active Directory оканчивается неудачей, повторите действия шага 1:

  • Проверьте разницу во времени между системой NAS и контроллером домена.
  • Убедитесь, что сервер DNS, указанный для системы NAS, является сервером DNS контроллера домена. Необходимо использовать именно DNS-сервер домена. В случае использования внешнего сервера DNS выполнить присоединение к домену будет невозможно.

Вкладка дополнительных настроек Advanced Options

Поддержка WINS:

Следует отметить, что в большинстве случаев вводить настройки для сервера WINS не требуется. В среде Active Directory рекомендуется использовать разрешение имен только через DNS.

  1. Включить WINS-сервер (переключатель Enable WINS server): Данный переключатель необходимо установить лишь в том случае, если в сети отсутствует сервер WINS, и при этом некоторые из компьютеров находятся в другой подсети. В этом случае потребуется настроить на всех компьютерах использование данного сервера WINS. В сети может быть только один сервер WINS. На всех клиентах необходимо настроить использование одного и того же сервера WINS. Если вы не уверены в назначении данного переключателя, не устанавливайте его.
  2. Использовать указанный WINS-сервер (переключатель Use the specified WINS server): Данный переключатель необходимо установить лишь в том случае, если в сети имеется сервер WINS и система NAS должна работать в качестве клиента WINS. Введите IP-адрес сервера WINS. Если вы не уверены в назначении данного переключателя, не устанавливайте его.
  3. Мастер домена (переключатель Local Master Browser): Данный переключатель позволяет сделать систему NAS мастером домена, отвечающим за поддержание списка компьютеров в сети для своей рабочей группы. Имя рабочей группы, установленное для системы NAS, должно совпадать с именем рабочей группы на компьютерах (часто используется группа workgroup). По умолчанию данный переключатель установлен. Если снять выделение с переключателя, система NAS не будет вести список компьютеров; эту роль будет выполнять другой компьютер в сети. По умолчанию данный переключатель установлен.
  4. Разрешать только NTLMv2 авторизацию (переключатель Allow only NTLMv2 authentication): Данный переключатель позволяет разрешить использование только авторизации NTLMv2 и запретить использование LM и NTLM. Если вы не уверены в назначении данного переключателя, не устанавливайте его. Прежде чем установить данный переключатель, убедитесь, что все компьютеры в сети могут работать через NTLMv2.
  5. Приоритет разрешения имен (выпадающий список Name Resolution Priority): Определяет способ разрешения имен в сети Windows. Если включена поддержка WINS (установлен переключатель 1 или 2), в выпадающем списке можно будет выбрать приоритетный способ разрешения имен. По умолчанию используется значение DNS only (Только DNS), если все настройки WINS отключены. При включении WINS в качестве значения по умолчанию используется WINS first, then DNS (Сначала WINS, потом DNS). Если проблем не наблюдается, рекомендуется оставить значения по умолчанию.
  6. Порядок входа (переключатель Login Style):

    В среде Active Directory для имен пользователей, входящих в состав домена, по умолчанию используется следующий формат:

    * При доступе к общим ресурсам Windows: домен\имя_пользователя

    * FTP: домен + имя пользователя

    * Веб-менеджер файлов: домен + имя пользователя

    * AFP: домен + имя пользователя

    Например, для получения доступа к общему ресурсу через веб-менеджер файлов с использованием учетной записи пользователя домена при аутентификации необходимо будет использовать имя домен + имя_пользователя (если данный переключатель не установлен).

    Если данный переключатель установлен, то для всех служб используется один и тот же формат имени пользователя:

    * Общие ресурсы Windows: домен\имя_пользователя

    * FTP: домен\имя_пользователя

    * Веб-менеджер файлов: домен\имя_пользователя

    * AFP: домен\имя_пользователя

    Например, для получения доступа к общему ресурсу через веб-менеджер файлов с использованием учетной записи пользователя домена при аутентификации необходимо будет использовать имя домен\имя_пользователя (если данный переключатель не установлен).

  7. Автоматически регистрировать в DNS (переключатель Automatically register in DNS): Если данный переключатель установлен, то при включении системы NAS в домен Active Directory система NAS автоматически зарегистрируется на сервере DNS домена. При этом на сервере DNS будет создана запись для хоста, соответствующего системе NAS. В случае изменения IP-адреса системы NAS последняя автоматически обновит информацию об IP-адресе на сервере DNS.

Проверка настроек

Чтобы убедиться, что система NAS успешно включена в Active Directory, перейдите на страницу Access Right Management > Users. В списках пользователей домена Domain Users и групп домена Domain Groups должны отображаться, соответственно, пользователи и группы домена.

Обновление списков пользователей и групп в веб-интерфейсе

После создания новых пользователей или групп пользователей в домене необходимо нажать на кнопку  возле выпадающего списка Domain Users на странице Access Right Management  Users или выпадающего списка Domain Groups на странице Access Right Management > User Groups (микропрограмма версии 3.3 или более поздней). При этом на систему NAS будут заново загружены списки пользователей и групп из Active Directory. Данный процесс необходим только для обновления списков пользователей в веб-интерфейсе. Настройки прав пользователей синхронизируются с контроллером домена в реальном времени.

 

  • После того, как система NAS сделана членом домена Active Directory, локальные пользователи этой системы NAS, имеющие права доступа к серверу AD, для входа в систему должны использовать Имя_системы\имя_пользователя; пользователи домена AD должны использовать для входа на сервер AD свои имена пользователя (домен\имя_пользователя).
  • Локальные пользователи системы NAS и пользователи домена AD (имя пользователя которых представляет собой имя_домена + имя_пользователя) могут получить доступ к системе NAS (с микропрограммой версии 3.2.0 и более поздних) через AFP, FTP и веб-менеджер файлов. Однако, при использовании микропрограммы версии более ранней, чем 3.2.0, доступ к веб-менеджеру файлов будут иметь только локальные пользователи системы NAS.
  • Чтобы подключиться к системе NAS через Windows Explorer, в качестве имени пользователя следует использовать домен\имя_пользователя.
  • При подключении с использованием служб AFP, FTP и веб-менеджера файлов в качестве имени пользователя необходимо использовать домен+имя_пользователя.
  • Доступ через WebDAV возможен только для локальных пользователей и групп.
  • В сетевых накопителях серии TS-109/209/409/509 в случае использования сервера домена AD на основе сервера Windows 2008 программное обеспечение (микропрограмму) необходимо обновить до версии 2.1.2 или более поздней.
  • При подключении к системе NAS с использованием служб AFP, FTP и веб-менеджера файлов в качестве имени пользователя необходимо использовать домен+имя_пользователя. Для подключения с использованием стандартного имени пользователя Windows (ДОМЕН\ИМЯ_ПОЛЬЗОВАТЕЛЯ) необходимо установить переключатель Login style на вкладке Advanced Options в разделе Microsoft Networking.

Примечание в отношении Windows 7

При использовании персонального компьютера с Windows 7, который не является членом домена Active Directory, для доступа к системе NAS, которая добавлена в домен AD и на которой используется микропрограмма версии более ранней, чем 3.2.0, на клиентском компьютере необходимо изменить настройки безопасности следующим образом.

1. В системе Windows 7 откройте Control Panel > All Control Panel Items, после чего выберите Administrative Tools.

2. Выберите Local Security Policy.

3. Перейдите в раздел Local Policies > Security Options. После этого выберите Network security: LAN Manager authentication level.

4. Перейдите на вкладку Local Security Setting и затем выберите из списка Send LM NTLMv2 – use NTLMv2 session security if negotiated. После этого нажмите на OK.

После выполнения этих настроек в системе Windows 7 у пользователя появится возможность доступа к системе NAS с этого компьютера, даже если система NAS является членом домена Active Directory.