如何在具有Microsoft域间服务的Synology NAS上实施SSO解决方案?
更新时间:Oct 21, 2024
如何在具有Microsoft域间服务的Synology NAS上实施SSO解决方案?
部分文章为机器自动翻译,文中可能有文法错误或语义模糊之处。若本文目前只有英文版,可能近期就会提供翻译。
用途
本教程将引导您如何将Synology NAS加入Microsoft域间服务(前身为 Azure AD 域服务)并为 DSM 服务激活 ID 单点登录 (SSO)。
注意:
- 以下说明基于Microsoft Entra ID 。实际步骤可能因用户界面更新而异。
- 连接到Microsoft Entra ID域不一定需要VPN。本教程仅提供一种可能的解决方案,使用Microsoft Entra Domain Services 可能会产生费用。请参阅Microsoft Entra ID以了解详细信息。
解决方案
A. 开始之前的准备
- 确保您的Synology NAS运行的是 DSM 6.2 或以上版本。
- 在Microsoft Entra 的虚拟网络与Synology NAS的本地网络之间设置Site-to-Site IPSec VPN隧道。建议设置与Synology Router的VPN连接(请参阅本文以了解详细说明)。
B. 设置 Entra ID 托管域
- 登录Microsoft Entra 网络门户。
- 在搜索栏中,键入“Microsoft Entra Domain Services”。
- 从结果中选择Microsoft域内服务。
- 在Microsoft域内服务页面上,单击创建。
- 在基本信息选项卡上配置以下内容:
- 订阅:选择您的Microsoft Entra ID服务订阅。
- 资源群组:在这里单击新建并输入名称,例如“SynologySQ”。
- DNS 域名:命名托管域。在这里使用内置后缀“.onmicrosoft.com”命名托管域。可以参阅本文以了解有关域自定义的更多信息。
- 区域:选择您的域的位置。在这里选择东亚。
- 进入网络选项卡。为托管域指定虚拟网络和子网。
- 进入管理选项卡。单击管理群组成员身份可指定域administrators。
- 根据需要自定义同步选项卡中的设置,然后单击查看 + 创建。
- 验证了设置之后,单击创建以设置 Entra ID 托管域。此过程可能需要长达一小时。
C. 将Synology NAS加入 Entra ID 托管域
对于 DSM 7
- 使用属于administrators群组的帐户登录 DSM。
- 进入控制面板>域/ LDAP >域/ LDAP 。
- 单击加入。
- 配置以下设置,然后单击下一步:
- 服务器类型:选择自动检测或域。
- 服务器地址:输入 Entra ID 托管域的名称。
- DNS 服务器:输入 Entra ID 托管域的IP地址。您可以在Entra 门户>所有资源>您的托管域>属性> IP地址中进行查看。
- 配置以下设置:
- 域帐户:输入 Entra ID 托管域管理员帐户的用户名。 1
- 域密码:输入上述帐户的密码。
- DC IP/ FQDN :输入 Entra ID 托管域的IP地址。
- 单击下一步,向导将运行一些检查并将Synology NAS加入托管域。加入过程完成后,您会在域/ LDAP选项卡上看到“已连接”状态。
对于 DSM 6.2
- 使用属于administrators群组的帐户登录 DSM。
- 请进入控制面板>域/ LDAP >域。
- 勾选加入域。
- 配置以下设置:
- 域:输入 Entra ID 托管域的名称。
- DNS Server :输入 Entra ID 托管域的IP地址。您可以在Entra 门户>所有资源>您的托管域>属性> IP地址中进行查看。
- 单击应用。此时会出现一个弹出窗口,要求提供Microsoft域内服务的管理员帐户和密码,以进行身份验证。 1输入您的信息,然后单击下一步。
- 加入过程完成后,您会在域选项卡上看到“已连接”状态。
D. 在Synology NAS上激活 Entra ID SSO
- 登录Entra 门户。
- 前往Azure Active Directory >应用注册,然后单击新建注册。
- 配置以下设置并单击注册:
- 名称:为应用程序命名,例如“AzureSSO”。
- 支持帐户类型:选择可以使用此应用程序的帐户类型。如果组织中只有一个 Entra ID 租户,请选择仅限此组织目录中的帐户。有关此选项的更多信息,可以参阅本文。
- 重定向 URI :从下拉菜单中选择Web。此外,请以下列格式输入应用程序登录页面的 URI。确保使用 HTTPS 和有效证书连接到 NAS。此外,此字段不能为QuickConnect地址。您可将证书导入 DSM或从 Let's Encrypt 获取证书。
URI 以 DSM 7 为例 以 DSM 6.2 为例 https:// NAS 的域名或IP地址2 :端口/ https://synonas.synology.me:5001/ https://synonas.synology.me:5001/webman/login.cgi
- 在总览页面上,复制应用程序(客户端)ID和目录(租户)ID 。
- 进入证书和密码,然后单击新建客户端密码。
- 在弹出窗口中,配置以下设置并单击添加:
- 描述:为此客户端密码命名。
- 到期:为此客户端密码选择有效持续时间。建议您选择自定义并设置足够长的时间,以避免客户端密码过期。如果客户端密码在过期后,用户将无法通过 Entra ID SSO验证登录 DSM。
- 复制新添加的客户端密码的值。
- 进入 DSM控制面板>域/ LDAP > SSO客户端,然后执行以下操作:
- 对于 DSM 7 :勾选启用 OpenID Connect SSO服务,然后单击OpenID Connect SSO设置。在弹出窗口中,从配置文件下拉菜单中选择azure 。
- 对于 DSM 6.2 :勾选启用 OpenID Connect SSO服务。从下拉菜单中选择azure ,然后单击编辑。
- 对于 DSM 7 :勾选启用 OpenID Connect SSO服务,然后单击OpenID Connect SSO设置。在弹出窗口中,从配置文件下拉菜单中选择azure 。
- 粘贴复制的应用程序 ID 、目录 ID (请参阅步骤 5)和密钥值(请参阅步骤 8)。此外,输入应用程序登录页面的重定向 URI (请参阅步骤 3)。确保所有信息都正确后,单击保存。
- 对于 DSM 7
- 对于 DSM 6.2
- 对于 DSM 7
- 配置完成后,单击应用。
- Entra ID 域用户现在可以使用其 Entra ID 凭据登录您的Synology NAS 。若要使用SSO,请在登录门户中选择Azure SSO验证。
- 用户会看到一个要求提供其用户名和密码的弹出窗口。单击帐户或输入其用户名和密码以登录 DSM。
注意:
- 请确认是否已启用Microsoft Entra Domain Services之后创建管理员帐户。否则,在可以使用此管理员帐户将Synology NAS加入Microsoft域内服务之前,您必须更改帐户密码,以将Microsoft Entra ID的密码散列同步到Microsoft域内服务。请参阅Microsoft 教程以了解详细信息。
- 如果您已为Synology NAS注册了DDNS主机名,请进入 DSM控制面板>外部访问> DDNS 。您会看到其域名和IP地址。