在企业 IT 管理中,若同时使用 Google Workspace(如 Gmail、Google Drive)和 Synology NAS,通过 “Google Secure LDAP 作为 Synology RADIUS Server 认证源”,可实现员工用同一 Google 账号登录 NAS 关联的 RADIUS 客户端(如 VPN、路由器、无线 AP),避免多账号记忆负担。但该配置涉及 Google Cloud 与 Synology DSM 两端操作,参数设置错误易导致认证失败。本文基于 Synology 官方技术文档(原文链接:https://kb.synology.cn/zh-cn/DSM/tutorial/authentication_Google_Secure_LDAP_source_of_RADIUS_Server),提供 step-by-step 配置方案,帮你顺利完成对接。
一、配置前必满足的 5 个前提条件
在启动操作前,需确认 Google Workspace 与 Synology NAS 环境满足以下要求,否则会导致后续配置卡壳:
风险提示:若 NAS 无法访问 “ldap.google.com:636”,需检查 NAS 防火墙(「控制面板→安全→防火墙」)是否放行 636 端口,以及路由器是否屏蔽 Google 相关 IP—— 可临时关闭防火墙测试,若能访问则需重新配置防火墙规则。
二、Step 1:在 Google Cloud 配置 Secure LDAP 服务(核心前置)
需先在 Google Admin Console 与 Cloud Console 中启用 Secure LDAP、创建服务账号并配置权限,这是 Synology 认证的基础:
1. 启用 Google Workspace 的 Secure LDAP 功能
- 用 Google Workspace 超级管理员账号登录「Google Admin Console」(网址:admin.google.com);
- 在左侧菜单栏依次点击「安全性→身份验证→LDAP」;
- 点击「启用 LDAP」按钮(若已启用则跳过),在弹出的提示中勾选 “我了解启用 LDAP 的安全风险”,点击「继续」;
- 启用后,页面会显示 “LDAP 客户端” 配置区域,后续需在此添加 Synology NAS 作为客户端。
2. 在 Google Cloud Console 创建服务账号
- 登录「Google Cloud Console」(网址:console.cloud.google.com),确保当前项目为 Google Workspace 关联的项目(若不确定,可在顶部项目列表中选择与企业域名匹配的项目);
- 在左侧菜单栏依次点击「IAM 与管理→服务账号」;
- 点击「创建服务账号」,在 “服务账号详情” 中填写:
- 「服务账号名称」:自定义(如 “synology-radius-ldap”,便于识别用途);
- 「服务账号 ID」:自动生成(格式为 “xxx@project-id.iam.gserviceaccount.com”,需记录,后续 Synology 配置会用到);
点击「创建并继续」;
- 在 “授予此服务账号访问权限” 步骤,搜索并添加「Cloud Identity LDAP Client」角色(该角色允许服务账号通过 LDAP 访问 Google Workspace 用户数据),点击「继续→完成」;
- 回到服务账号列表,找到刚创建的服务账号,点击右侧「操作→管理密钥」;
- 点击「添加密钥→创建新密钥」,在 “密钥类型” 中选择「JSON」,点击「创建」—— 密钥文件会自动下载到本地电脑(务必保存好,后续需上传到 Synology NAS,且不可泄露)。
3. 配置 LDAP 客户端访问权限(允许 Synology NAS 访问)
- 回到「Google Admin Console→安全性→LDAP」页面,在 “LDAP 客户端” 区域点击「添加客户端」;
- 填写 “客户端详情”:
- 「客户端名称」:自定义(如 “synology-nas”);
- 「描述」:可选(如 “用于 Synology RADIUS Server 认证”);
点击「继续」;
- 在 “客户端 IP 地址” 中,点击「添加 IP 地址」,输入 Synology NAS 的公网 IP 或局域网 IP(若 NAS 仅在局域网使用,填局域网 IP;若需远程认证,填公网 IP);
- 可添加多个 IP(如同时填局域网 IP 和公网 IP),避免 IP 变化导致认证失败;
- 点击「保存」,完成 LDAP 客户端配置 —— 此时 Synology NAS 已被允许通过 LDAP 访问 Google Workspace 用户数据。
三、Step 2:在 Synology DSM 中配置 RADIUS Server 认证源
完成 Google 端配置后,需在 Synology NAS 的 RADIUS Server 中添加 “Google Secure LDAP” 作为认证源,关键是准确填写 LDAP 参数:
1. 启动 RADIUS Server 并进入认证源配置
- 登录 Synology DSM 系统,在主界面找到并点击「RADIUS Server」套件图标;
- 进入 RADIUS Server 后,在左侧菜单栏点击「认证源」,此时页面会显示默认认证源(通常为 “本地用户”);
- 点击页面顶部「添加」按钮,在弹出的 “选择认证源类型” 中选择「LDAP」,点击「下一步」。
2. 填写 Google Secure LDAP 核心参数(最关键步骤)
在 “LDAP 服务器设置” 页面,按以下要求填写参数(每个参数都需与 Google 配置一致,否则认证失败):
3. 启用 SSL/TLS 并完成认证源添加
- 在 “LDAP 服务器设置” 页面底部,勾选「启用 SSL/TLS 加密」(Google Secure LDAP 强制要求加密,不勾选会连接失败);
- 点击「测试连接」按钮 —— 若弹出 “连接成功” 提示,说明参数填写正确;若提示 “连接失败”,需重新核对 “绑定 DN”“密码”“基础 DN” 是否正确;
- 测试通过后,点击「下一步→完成」,此时 “Google Secure LDAP” 会显示在 RADIUS Server 的认证源列表中,且状态为 “正常”。
4. 配置 RADIUS 客户端(允许设备接入)
需添加使用 RADIUS 认证的客户端(如路由器、VPN 服务器),否则设备无法通过认证:
- 在 RADIUS Server 左侧菜单栏点击「客户端」,点击「添加」;
- 填写客户端信息:
- 「客户端名称」:自定义(如 “office-router”);
- 「客户端 IP 地址」:填写客户端设备的 IP(如路由器局域网 IP“192.168.3.1”);
- 「共享密钥」:自定义(如 “Syno-RADIUS-2024”,需记录,客户端设备配置时需填写相同密钥);
- 「认证源」:在下拉列表中选择刚添加的 “Google Secure LDAP”;
- 点击「确定」,完成客户端添加 —— 此时该设备已可通过 Google 账号进行 RADIUS 认证。
四、Step 3:验证 Google Secure LDAP 认证是否生效
配置完成后,需通过实际操作验证认证是否成功,避免后续使用时发现问题:
1. 选择验证方式(按客户端类型选择)
- 若客户端为路由器无线 AP:用手机或电脑连接该 AP 的 WiFi,在认证界面输入 Google Workspace 用户的邮箱(如 “user@company.com”)和密码,点击 “连接”—— 若能成功联网,说明认证生效;
- 若客户端为 VPN 服务器:在电脑上打开 VPN 客户端,输入 VPN 地址、用户名(Google 邮箱)、密码,点击 “连接”—— 若能成功建立 VPN 连接,说明认证生效;
- 若暂无客户端:可在 Synology RADIUS Server 中测试:
- 进入「RADIUS Server→认证源」,选中 “Google Secure LDAP”,点击「操作→测试认证」;
- 输入 Google Workspace 用户的邮箱和密码,点击「测试」—— 若提示 “认证成功”,说明认证源配置正确。
2. 排查验证失败的基础原因
若验证失败,优先检查 3 点:
- Google 账号是否正常:登录 Google Workspace(mail.google.com),确认账号未被冻结或密码未修改;
- 共享密钥是否一致:客户端设备的共享密钥需与 Synology RADIUS 客户端配置的完全一致(区分大小写);
- 网络是否通畅:NAS 能否访问 “ldap.google.com:636”,可再次用 DSM「诊断工具」测试端口连通性。
五、常见问题与故障排查(高频场景)
1. 问:测试连接时提示 “绑定 DN 或密码错误”,但参数已核对,怎么办?
答:可能是 JSON 密钥 “private_key” 复制不完整:① 重新打开 JSON 文件,确保从 “-----BEGIN PRIVATE KEY-----” 开始,到 “-----END PRIVATE KEY-----” 结束,包含所有换行;② 若复制时多了空格或换行,需删除后重新复制;③ 确认服务账号已添加 “Cloud Identity LDAP Client” 角色(Step 1.2),无该角色会导致绑定失败。
2. 问:认证时提示 “用户不存在”,但 Google Workspace 中有该用户,怎么办?
答:检查 “用户过滤条件” 和 “用户名称属性”:① 确认 “用户过滤条件” 为 “(objectClass=person)”,若填错为 “(objectClass=group)” 会筛选不到用户;② 若 “用户名称属性” 填 “uid”,则认证用户名需用 Google 用户的 “用户 ID”(在 Google Admin Console「用户」中查看),而非邮箱 —— 推荐改回 “mail”,用邮箱作为用户名。
3. 问:NAS 在局域网能认证,公网访问时认证失败,怎么办?
答:未在 Google LDAP 客户端添加 NAS 公网 IP:① 登录 Google Admin Console→「安全性→LDAP→客户端」,找到 “synology-nas” 客户端;② 点击「编辑→添加 IP 地址」,输入 NAS 的公网 IP;③ 同时检查路由器是否放行 636 端口,确保公网请求能到达 NAS。
六、操作注意事项与安全建议
- 密钥文件安全:Step 1.2 下载的 JSON 密钥文件仅用于 Synology 配置,配置完成后需删除本地电脑中的文件,避免泄露(泄露会导致 Google 账号被非法访问);
- 定期更新密钥:建议每 3 个月在 Google Cloud Console 中轮换服务账号密钥(「服务账号→密钥→删除旧密钥→创建新密钥」),并在 Synology RADIUS 认证源中更新 “密码”(新密钥的 private_key);
- 限制 IP 访问:在 Google LDAP 客户端中仅添加必要的 IP(如 NAS 的局域网 IP 和公网 IP),不建议设置 “允许所有 IP”,降低安全风险;
- 监控认证日志:在 Synology RADIUS Server→「日志」中查看认证记录,若发现多次失败的尝试,需检查是否有非法账号尝试登录,必要时临时禁用该认证源。
通过以上步骤,即可成功将 Google Secure LDAP 设为 Synology RADIUS Server 的认证源,实现企业用户用 Google 账号统一认证 RADIUS 客户端。核心在于 “准确匹配 Google 与 Synology 的参数”—— 尤其是服务账号密钥、基础 DN、绑定 DN,这三点是认证成功的关键。若遇到复杂问题,可参考 Synology 官方知识库或联系 Google Workspace 支持,获取进一步技术协助。
如何将 Google Secure LDAP 设为 Synology RADIUS Server 认证源?完整配置指南
相关文章
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司