Bài viết này hướng dẫn một cách ngắn gọn về Microsoft Active Directory Domain Services (AD DS). Bạn sẽ biết cách Join Synology NAS với Domain và cấu hình phân quyền truy cập của Domain User/Group vào tài nguyên trên DSM.
I. Active Directory Domain Services là gì?
Microsoft Active Directory Domain Services (AD DS) là một dịch vụ thư mục độc quyền của Microsoft. Nó cung cấp việc quản lý user/group, group policy, multiple directory servers như Domain Controller, xác thực Kerberos,...
Có rất nhiều lợi ích khi join Synology NAS với AD Domain. Đối với quản trị viên, AD DS cung cấp một nền tảng an toàn và tập trung để quản lý Synology và các tài nguyên mạng khác. Đối với Domain user, AD DS cho phép họ truy cập vào nhiều NAS Synology chỉ với một thông tin truy cập. Click vào đây để biết thêm thông tin chi tiết về AD DS.
II. Join Synology vào AD Domain.
Join Synology NAS vào một AD Domain.
Lấy thông tin đăng nhập của Domain Admin Account và làm theo các bước hướng dẫn dưới đây:
Đối với DSM 7
- Đăng nhập vào DSM bằng account Admin.
- Control Panel > Domain/LDAP > Domain/LDAP.
- Click Join.
- Cấu hình theo hướng dẫn dưới đây, sau đó click Next:
a. Server type: Chọn Auto-detect hoặc Domain.
b. Server address: Nhập địa chỉ Name/IP của Domain mà bạn muốn join. VD: "SYNO.INC" hoặc "10.17.28.175"
c. DSN Server: Nhập địa chỉ IP ủa DNS Server trong AD DS của bạn. MNS khuyến cáo bạn nên sử dụng IP của Domain Controller. - Cấu hình theo hướng dẫn dưới đây:
a. Domain Account: Nhập user của account Domain Administrator.
b. Domain password: Nhập password của account Domain Administrator.
c. DC IP/FQDN: Bạn có thể chỉ định một hoặc nhiều địa chỉ IP của Domain Controller (DCs) hoặc đầy đủ tên miền FQDNs và Synology sẽ cố gắng kết nối với chúng.
- Click Next và trình hướng dẫn sẽ chạy để check và join Synology vào domain. Khi tác vụ này hoàn thành, bạn sẽ thấy thông báo là "Connected" ở tab Domain/LDAP.
Đối với DSM 6.2
- Đăng nhập vào DSM sử dụng account Admin hoặc thuộc group Admin.
- Control Panel > Domain/LDAP > Domain.
- Tick Join Domain.
- Cấu hình theo hướng dẫn dưới đây.
a. Domain: Nhập tên của domain mà bạn muốn join. VD: "SYNO.INC"
b. DNS Server: Nhập địa chỉ IP của DNS Server trong AD DS. MNS khuyến khích sử dụng địa chỉ IP của Domain Controller.
- Click Apply. Một cửa sổ window sẽ xuất hiện và yêu cầu tài khoản Admin và password của AD DS để xác thực. Nhập thông tin của bạn và click Next.
- Khi quá trình này hoàn thành, bạn sẽ thấy tình trạng báo "Connected" trên tab Domain.
Kiểm tra bộ nhớ đệm Cache của Domain user và groups.
- Control Panel > Domain/LDAP. Kiểm tra lại nếu Domain users và group được show trong tab Domain User và Domain Group tương ứng.
- Control Panel > Shared Folder và chọn một share folder.
- Click Edit > Permissions. Kiểm tra lại nếu Domain user và group có thể được chọn từ menu xổ xuống như hình dưới:
III. Quản lý phân quyền truy cập vào tài nguyên DSM.
Section dưới đây sẽ hướng dẫn bạn cách quản lý quyền truy cập của Domain User/group trong tài nguyên DSM.
Cấu hình phân quyền truy cập trong Shared Folders.
Mặc định, Domain user và group không có quyền truy cập vào shared folder đã có trước khi Synology join Domain. Để cấp quyền truy cập vào Share Folder cho các Domain User/Group, hãy áp dụng một trong các phương thức sau:
Phương thức 1:
- Control Panel > Domain/LDAP và click vào tab DomainUser hoặc Domain group.
- Chọn Domain user/Group và click Edit > Permissions.
- Cấu hình phân quyền truy cập và lưu lại thiết lập.
Phương thức 2:
- Control Panel > Shared Folder.
- Chọn share folder và click Edit > Permissions.
- Chọn Domain users hoặc Domain Groups từ menu xổ xuống.
- Cấu hình phân quyền truy cập và lưu lại thiết lập.
Cấu hình phân quyền truy cập trong sub-folders
Thiết lập phân quyền ở sub-folder cho phép người quản trị có thể kiểm soát được quyền hạn trong từng folder tốt hơn. Nó cực kỳ hữu ích khi bạn cần set quyền truy cập vào từng file trong các tổ chức, công ty lớn. Dưới đây là kịch bạn cho bạn dễ hiểu hơn.
Giả sử phòng bán hàng trong một công ty có ba bộ phận:
- Sale 1
- Sale 2
- Sale 3
Admin tạo ba sub-folder tương ứng trong share-folder chính là Sales. Và Admin cũng có thể set quyền truy cập cho cả ba sub-folder này một cách riêng biệt.
Ví dụ, User Sale 1 có quyền read/write trong folder Sales 1, và user này chỉ có thể có quyền đọc hoặc không có quyền truy cập vào trong các folder khác.
Để cấu hình quyền truy cập ở Sub-folder, hãy làm theo các bước sau:
- Vào File Station và chọn sub-folder trong folder chính đó, VD "TV show" là sub của "Video" như hình dưới.
- Click chuột phải vào sub-folder và chọn Properties > Permission.
- Click nút Create. Một cửa sổ về chỉnh sửa quyền sẽ hiện ra và nhắc bạn cấu hình theo hướng dẫn:
User or group: Chọn một domain user hoặc group mà bạn muốn set.
Permission: Tick vào quyền mà bạn muốn assign cho Domain user/group.
Truy cập vào share folders với Active Directory permissions.
Bạn có thể truy cập vào share folders hoặc Synology NAS của bạn thông qua File Station, SMB, AFP, FTP,... Ví dụ dưới đây là cách truy cập bằng SMB:
- Dùng máy tính windows để kết nối tới Synology.
- Click đúp chuột vào share folder mà bạn muốn truy cập.
- Nhập thông tin đăng nhập nếu có cửa sổ bắt đăng nhập hiện ra.
Username: VD: "syno.inc\administrator"
Password: Nhập password của acc admin.
Quản lý home folder service
Account admin của Synology có thể kích hoạt tính năng User Home để có thư mục home folder được tạo tự động cho mỗi Domain user, truy cập thông qua các File Services và các gói ứng dụng khác nhau. Chỉ mỗi Admin và user của folder đó mới có thể truy cập vào folder mà thôi.
Để kích hoat home folder cho domain user:
- Control Panel > Domain/LDAP > Domain User, và click User Home.
- Trong cửa sổ pop-up, tick vào Enable home Service for domain users và lưu lại thiết lập.
Để truy cập vào thư mục home folder của domain user (Dành cho end-users)
- Sử dụng máy tính để kết nối tới Synology NAS thông qua File Station, SMB, AFP hoặc FTP.
- Chọn home để truy cập vào home folder.
Để quản lý thư mục home folder của domain user (Dành cho Admin)
- Sử dụng máy tính để kết nối tới Synology NAS thông qua File Station, SMB, AFP hoặc FTP.
- Chỉ định thư mục home của domain user. Folder path có định dạng như dưới đây:
Cấu hình phân quyền truy cập vào DSM
Áp dụng một trong các phương thức dưới đây để cấp quyền truy cập cho Domain user/group trên NAS.
Phương thức 1:
- Control Panel > Domain/LDAP và tick vào Domain User hoặc Domain Group tab.
- Chọn Domain User/group và click Edit > Applications.
- Cấu hình phân quyền và lưu lại thiết lập.
Phương thức 2:
- Control Panel > Application Privileges (DSM 7) hoặc Privileges (DSM 6.2)
- Lựa chọn dịch vụ và click Edit > User hoặc Group.
- Chọn Domain user hoặc Domain Groups từ menu xổ xuống.
- Cấu hình phân quyền và lưu lại thiết lập.
Lưu ý quan trọng:
- Có một vài option cần thiết cho các môi trường domain cụ thể:
DC IP/FQDN: bạn có thể chỉ định một địa chỉ IP của Domain Controller hoặc một FQDN và Synology sẽ cố gắng để giao tiếp với nó. Nếu bạn muốn nhập nhiều địa chỉ IP hoặc nhiều FQDN trong trường này, hãy thêm dấu (,) giữa chúng. Bạn cũng có thể add thêm một dấu (*) sau địa chỉ IP hoặc FQDN để Synology cố gắng giao tiếp với các DC khác nếu Synology không thể giao tiếp với DC cũ. Hãy nhớ rằng dấu hoa thị cũng có thể được phân tách với địa chỉ IP/FQDN cuối cùng.
Domain NetBIOS name: Chỉ định tên NetBIOS của domain như "MNS"
Domain FQDN (DSN name): Chỉ định DNS name của Domain như "MNS". - The "X" within "folder X": Nó là một con số được sinh ra từ Synology.
- The "Y" within the user's home folder name "domain user-Y": Hậu tốt "Y" là một định dạng tương đối (RID). Nó được chỉ định bởi Domain controller và dùng để ngăn chặn người dùng xem dữ liệu riêng tư do người khác sở hữu. Ví dụ: Nếu Domain user là Sophie đã bị xóa và được tạo lại thì user mới là Sophie sẽ nhận được một mã định danh RID khác và không được kết thừa quyền truy cập vào folder "Sophie" cũ.
- Không phải tất cả các dịch vụ DSM đều có thể được truy cập bởi Domain user như dịch vụ SSH.