前言:
許多學校都會開放許多平台服務,諸如joomla、xoops、moodle、電子郵件、網路硬碟等,此時,帳密的整合常常僅用本機進行管理。此時,若需要登入的服務越來越多,許多老師、學生都會有忘記帳密的問題,而進一步要提供radius server來提供驗證無線網路服務時,也會有一樣的問題。對學校人員帳號管理而言,十分困擾。經過許多前輩努力,提出解決方案的選擇,其實很多:
1.使用LDAP (架設OpenLDAP)
2.使用微軟 AD
3.使用上述方案並加上Google Apps Directory Sync
測試過幾種方案後,不論是OpenLDAP還是設定AD服務,對新手資訊組長還是偏難。尤其是在設定錯誤時(例如ldif語法要求嚴格,設定檔版本不同等),或沒有好好備份時,很麻煩。
在四年前接觸QNAP NAS後,發現現在許多NAS皆以套件方式安裝,並以WEB UI進行控管的模式,對沒有相對專業的中小學資訊管理人員,才具吸引力。當然,有好就有壞,您沒辦法用WEB UI來進行進階的操作,例如使用Synology DSM WEB UI就無法設ou,當然你可以SSH進去,但這不是新手會去做的事情。
據此,學校選擇Synology DSM來架目錄服務+RADIUS SERVER+Google Apps Directory Sync(預計…還在考慮,它的管理平台實在太好用了^_^),因為有概念,只要一個小時就可以架好了(沒概念照做也是一小時)。
但有概念,要先看很多文章,親手架設過OpenLDAP、AD、使用過LDAP Admin、LDAP Account Manager 等工具後,才會比較清楚,文章後面會列一此參考文章,感謝前輩的無私奉獻。
開始前準備:
一台Synology 的NAS設備,並設定好網路及檔案系統。
該公司最便宜的NAS,也可以架Directory ServerDirectory Server。但若要同時給教師同仁當網路硬碟用,儘量不要家用型,有個+號的更好;學生存作業,瞬間流量更高,更是不要家用型。我很難忘當初做某兩牌網路硬碟研習時,整間電腦教室卡彈的樣子:<
我們學校是用這個,2013年底共同供應契約中最便宜的選擇,DSM版本為4.3,內含4顆紅標2TB硬碟(下列圖示已更新為DSM6.0)。
開工:
1.登入DSM。
2.點選套件中心( 在公用程式裡 ),安裝Directory Server跟Radius Server套件,如果有需要,一起安裝VPN Server。
3.設定Directory Server。
- 輸入FQDN,下方會自己產生Base DN跟Bind DN。Base DN跟Bind DN等一下設定DSM目錄服務時會用到,然後到SFS3(提供中小學用的學務系統)設定LDAP也會用得到。
PS:本頁「連線設定」關係到系統安全,但建議先不設,成功之後,再一項一頁測試,是否可成功連線驗證。
- 設定備份:建議先至控制台「共用資料夾」,設一個備份資料夾,以做為排程備份所有設定檔用。
- 再至「備份和還原」加入時間及數量。
- 設定完成後,開始加入使用者
- 方法一:一筆一筆KEY進去設定(累~)。
- 方法二:使用內建「匯入清單」匯入清單,依DSM說明,檔案格式請詳閱說明(視窗左上角的問號)。
- 方法一:一筆一筆KEY進去設定(累~)。
- 方法二:使用內建「匯入清單」匯入清單,依DSM說明,檔案格式請詳閱說明(視窗左上角的問號)。
---------------------------------------------使用SFS3之國中小適用-------------------------------------------------
- 方法三:使用SFS3之國中小,可使用外埔國中SFS3模組,直接加入學務系統之教師資料
- 請參考外埔國中資訊組郭組長開發的非官方LDAP模組,裡面有適各各家NAS的模組(後來郭組長開放多項模組,故下圖僅供參考,請依新版文件說明進行)。安裝後,進系統管理/模組權限管理/管理LDAP模組調整相關參數。
- LDAP_IP:Synology NAS的IP
- rootdn即為Bind DN
- tea_dn即為Bind DN拿掉uid後,cn開頭之值。沒ou亦可。
- 從SFS3直接轉入DSM的Directory Server。
- 成功的話,即可見Directory Server增加一堆使用者
- 設定LDAP使用者群組(重要!!最好事先想好)
- 根據要給的權限來分!簡單分的話,建議先將行政及教師分開,行政擁有phpto、video、music讀寫權限,上述分享資料夾教師同仁有讀取權限;如果貴單位各部門不太和氣,或者有
馬路網路三寶,請將權限分開設定,並且將共用資料夾的資源回收筒打開。 - 使用者群組,「新增」work、teacher群組,並「編輯群組成員」加入相關帳號。
- 考量2015年以來勒索軟體肆虐,會加密有權限的資料夾,故強烈建議依處室、各年級導師、專任身份來設定個別的共用資料夾權限,減少因寫入造成的傷害。
4.加入Synology NAS本機目錄服務
- 如果在「基本模式的話,是不會出現網域/LDAP的圖示,請先切換。
- 將伺服器位置等選項設定好後套用,如果不記得,回去Directory Sever查看設定值。出現綠色的「已連線」就是成功了。
5.加入並修改各式平台認證
7.開啟並測試RADIUS服務
- 安裝並啟動RADIUS Server
- 通用設定,將驗證使用者來源改成「LDAP使用者」,按套用後如果有成功,下面會出現「設定已套用」
- 進用戶端,加入要使用RADIUS Server驗證的基地台IP並自訂祕密金錀(Secret Key),設好之後記得按「套用」。
- 建議可先使用NTRadPing(免費軟體)測試是否正常:
- 下載:http://www.novell.com/coolsolutions/tools/14377.html
- 測試畫面:RADIUS Sever/port 輸入NAS的IP,User-Name跟Password是您LDAP內的使用者帳密。
- 至基地台或其他需要認證機器設定RADIUS Server(略)
- 如果有連線成功,日誌也會新增紀錄
結論:筆者自2010年開始使用NAS,發現原來自架伺服器可以完成的,NAS也可以達成,UI又方便,除部分負載較大的仍放在VM外,其他都慢慢轉移到NAS來做。考量少子化後,學校人事調動頻繁,中小學資管新手日多,以能快速上手又有線上支援來說,NAS可以幫上很多忙的!!推薦各位先進或菜鳥使用 NAS進行各項檔案及伺服器管理 ^_^
----------------------------------------我----是----分----隔----線---------------------------------------
參考資料:
沒有留言:
張貼留言