Synology LDAP Server与Google Workspace同步指南：GCDS工具配置全流程

在企业运维中，若同时使用Synology NAS的LDAP Server管理内部账号，以及Google Workspace（原Google Apps）处理办公协作，手动维护两套账号体系易出现信息不一致、管理效率低的问题。此时，通过Google Cloud Directory Sync（GCDS）将Synology LDAP Server数据同步到Google Workspace，可实现NAS账号与谷歌办公账号的自动对齐，减少人工操作。本文基于Synology官方技术文档，从前期准备到同步验证，拆解每一步操作细节，同时规避命名规则冲突、密码同步限制等常见坑，确保同步过程稳定高效。

一、同步前必做：完成基础环境准备（3类核心配置）

在启动GCDS配置前，需先确保Synology LDAP Server与Google Workspace的基础环境就绪，缺少任一环节会导致后续同步失败，具体准备项如下：

1. 配置Synology NAS的LDAP Server环境

LDAP Server是Synology NAS提供账号管理的核心套件，需先完成安装与基础设置： 

1. 安装LDAP Server套件： 

- 登录Synology DSM系统（浏览器输入NAS的IP地址，输入管理员账号密码）； 

- 打开“套件中心”，在搜索框输入“LDAP Server”（旧版名为“Directory Server”），找到后点击“安装”，等待安装完成（需确保NAS联网）。 

2. 启用并设置LDAP服务： 

- 安装完成后，在DSM桌面打开“LDAP Server”，进入“设置”页面； 

- 勾选“启用LDAP Server”，选择“作为Provider server”（即作为LDAP主服务器）； 

- 配置“FQDN”（如“ldap.synology-corp.com”，可自定义），设置管理员密码（后续连接LDAP需使用），点击“应用”保存。 

3. 创建LDAP用户与群组： 

- 进入LDAP Server的“管理用户”页面，点击“创建”，输入用户名、密码（需符合LDAP密码规则，至少8位字符），完成用户添加； 

- 进入“管理群组”页面，点击“创建”，输入群组名称（如“技术部”“行政部”），并将已创建的LDAP用户添加到对应群组，确保后续同步时“用户-群组”关系完整。

2. 准备Google Workspace环境

需拥有可管理的Google Workspace账号，并确保具备“超级管理员”权限（普通账号无法配置GCDS授权）： 

1. 注册/登录Google Workspace： 

- 访问Google Workspace官网，注册企业域名账号（如“corp.example.com”），或登录已有的Google Workspace管理员后台（admin.google.com）； 

- 确认账号已启用“目录同步”功能（默认启用，若被关闭，需在“应用-额外Google服务-目录同步”中开启）。

3. 安装Google Cloud Directory Sync（GCDS）

GCDS是实现LDAP与Google Workspace同步的客户端工具，需安装在本地计算机（Windows或Linux系统均可）： 

1. 下载GCDS： 

- 访问Google Workspace管理控制台，进入“目录-目录设置-同步”，点击“下载Google Cloud Directory Sync”，根据计算机系统选择对应版本（如Windows 64位）； 

2. 安装GCDS： 

- 运行安装程序，按向导提示完成安装（默认路径即可）； 

- 安装完成后，启动“GCDS Configuration Manager”（配置管理器），这是后续所有同步设置的核心界面。

二、GCDS基础配置：确定同步范围与谷歌域连接

启动GCDS配置管理器后，需先完成“常规设置”与“Google域连接”，明确同步内容并建立GCDS与Google Workspace的通信：

1. 常规设置：仅勾选“用户/群组”同步（关键限制）

Synology LDAP Server仅支持“用户账号”与“群组”的管理，不支持组织单元（OU）、共享联系人等内容，因此需严格限定同步范围： 

1. 在GCDS左侧导航栏选择“General Settings（常规设置）”； 

2. 在“Choose what to synchronize（选择要同步的内容）”列表中，仅勾选“User Accounts（用户账号）”和“Groups（群组）”，取消勾选“Organizational Units（组织单元）”“User Profiles（用户配置文件）”等其他选项（勾选无效且可能导致同步报错）； 

3. 点击页面底部“Save”保存设置，避免后续配置偏离Synology LDAP的支持范围。

2. 连接设置：绑定Google Workspace域并授权

此步骤需完成GCDS与Google Workspace的身份验证，确保工具有权限读写谷歌目录数据： 

1. 选择左侧导航栏“Google Domain Configuration（Google域配置）”，进入“Connection Settings（连接设置）”； 

2. 填写“Primary Domain Name（主域名）”：输入Google Workspace的企业域名（如“synology-corp.com”，需与谷歌后台的主域名完全一致）； 

3. 勾选“Replace domain names in LDAP email addresses with this domain name（用主域名替换LDAP邮箱的域名）”： 

- 该选项可将Synology LDAP用户的邮箱（如“techuser@synoldap”）自动转换为Google Workspace格式（如“techuser@synology-corp.com”），转换规则如下表：

| Synology LDAP Server的用户邮箱 | Google Workspace主域名 | 同步后Google Workspace的用户邮箱 |

|--------------------------------|-------------------------|-----------------------------------|

| synouser@synoldap              | synology-corp.com       | synouser@synology-corp.com        |

4. 点击“Authorize Now（立即授权）”： 

- 弹出谷歌账号登录窗口，输入Google Workspace超级管理员账号密码； 

- 在授权请求页面点击“允许”，完成OAuth授权（授权成功后，页面会显示“√Authorized”）； 

5. 保留“Read Timeout（读取超时）”默认值20秒，点击“Save”保存连接设置。

三、GCDS核心配置：连接Synology LDAP Server（关键步骤）

此步骤需让GCDS能正常访问Synology NAS的LDAP Server，获取用户/群组数据，每一项配置都需精准匹配NAS的LDAP参数：

1. 进入LDAP配置界面

在GCDS左侧导航栏选择“LDAP Configuration（LDAP配置）”，进入参数设置页面。

2. 填写LDAP连接基础参数

按以下要求配置每一项参数，确保与Synology LDAP Server的设置一致： 

- Server Type（服务器类型）：下拉选择“OpenLDAP”（Synology LDAP Server兼容OpenLDAP协议）； 

- Connection Type（连接类型）：选择“Standard LDAP（标准LDAP）”（默认端口389，无需SSL加密，若需加密可选择“LDAP over SSL”，端口改为636，需先在NAS启用LDAP SSL）； 

- Host Name（主机名称）：输入Synology NAS的IP地址（获取路径：登录NAS的DSM→控制面板→信息中心→网络→LAN→IP地址，如“192.168.1.100”）； 

- Port（端口）：默认填写“389”（标准LDAP端口，若启用SSL则填“636”）； 

- Authentication Type（验证类型）：选择“Simple（简单验证）”（Synology LDAP Server仅支持简单验证）； 

- Authorized User（已授权用户）：输入LDAP Server的“Bind DN”（识别名），获取路径：NAS的LDAP Server→设置→“Authentication Information（验证信息）”→复制“Bind DN”（如“uid=root,cn=users,dc=ldap,dc=synotest,dc=com”）； 

- Password（密码）：输入LDAP Server管理员的密码（即启用LDAP服务时设置的密码）； 

- Base DN：输入LDAP Server的“Base DN”（基础识别名），获取路径同上，复制“Base DN”（如“dc=ldap,dc=synotest,dc=com”），用于限定同步的LDAP目录范围。

3. 测试LDAP连接（必做步骤）

配置完成后，点击页面底部“Test Connection（测试连接）”： 

- 若提示“Connection Successful（连接成功）”，说明GCDS已能正常访问Synology LDAP Server； 

- 若提示“Connection Failed（连接失败）”，需排查3点：① NAS的IP地址是否正确；② Bind DN和密码是否匹配；③ NAS是否开启了防火墙（需确保389端口未被封锁，可在DSM控制面板→安全→防火墙中添加允许规则）。

四、用户与群组同步配置：解决映射与规则冲突

Synology LDAP的用户/群组属性与Google Workspace存在差异，需通过GCDS配置“属性映射”与“搜索规则”，确保同步后数据符合谷歌要求：

1. 用户账号同步配置（含密码同步限制）

进入“User Accounts（用户账号）”页面，分4个标签页完成设置： 

（1）User Attributes（用户属性映射）

- Email Address Attribute（电子邮件地址属性）：输入“mail”（指定LDAP中存储用户邮箱的属性，确保同步后谷歌账号有可用邮箱）； 

- Unique identifier Attribute（唯一标识符属性）：输入“uidNumber”（LDAP中每个用户的唯一编号，避免用户重命名后同步混乱）； 

- Alias Address Attributes（电子邮件别名属性）：可选，无需填写（Synology LDAP默认不配置邮箱别名）。

（2）Google Domain User Deletion/Suspension Policy（用户删除/暂停策略）

根据企业需求选择： 

- 推荐选择“Suspend Google domain users not found in LDAP（暂停LDAP中不存在的谷歌用户）”，避免误删账号导致数据丢失； 

- 若需严格对齐，可选择“Delete active and suspended Google domain users not found in LDAP”，但需提前备份谷歌账号数据。

（3）Additional User Attributes（额外用户属性）

- Given Name Attribute(s)（名字属性）、Family Name Attribute(s)（姓氏属性）：输入“uid”（Synology LDAP创建用户时未单独设置名字/姓氏，用用户名替代，同步后可在谷歌后台手动修改）； 

- User Password Sync（用户密码同步）：选择“Only for new users（仅针对新用户）”——关键限制：Synology LDAP使用“crypt”加密密码，Google Workspace不支持该加密方式，因此无法同步现有用户密码，仅新用户可设置默认密码； 

- Force new user to change password（强制新用户更改密码）：勾选（避免新用户长期使用默认密码，提升安全性）； 

- Default password for new users（新用户默认密码）：输入符合谷歌规则的密码（至少8位，含字母和数字，如“SynoGcds@2024”）。

（4）Search Rules（搜索规则）

设置LDAP用户的筛选条件，确保仅同步所需用户： 

1. 点击“Add Search Rule（添加搜索规则）”； 

2. 在“Rule（规则）”中输入“objectClass=inetOrgPerson”（LDAP用户的默认对象类，用于筛选所有LDAP用户）； 

3. “Scope（范围）”选择“Sub-tree（子树目录）”（同步Base DN下的所有层级用户）； 

4. 点击“OK”保存，若需排除特定用户，可在“Exclusion Rules（排除规则）”中添加（如“uid=testuser”，排除测试账号）。

2. 群组同步配置（确保“用户-群组”关系完整）

进入“Groups（群组）”页面，重点配置搜索规则与属性映射： 

（1）Search Rules（搜索规则）

1. 点击“Add Search Rule（添加搜索规则）”； 

2. “Scope（范围）”选择“Sub-tree（子树目录）”； 

3. “Rule（规则）”输入“objectClass=posixGroup”（Synology LDAP群组的默认对象类，筛选所有LDAP群组）； 

4. 点击“OK”保存。

（2）群组属性映射

在搜索规则下方的“Groups（群组）”与“Members（成员）”区域填写： 

- Group Email Address Attribute（群组电子邮件地址属性）：输入“cn”（用LDAP群组名称作为谷歌群组邮箱前缀，如“tech@synology-corp.com”）； 

- Group Display Name Attribute（群组显示名称属性）：输入“displayName”（同步LDAP群组的显示名称，如“技术部”）； 

- Group Description Attribute（群组说明属性）：输入“description”（可选，同步LDAP群组的描述信息）； 

- User Email Address Attribute（用户电子邮件地址属性）：输入“uid”（关联群组成员的LDAP用户名，确保成员同步正确）； 

- Member Literal Attribute（成员常值属性）：输入“memberUid”（LDAP中存储群组成员的属性，用于匹配用户与群组）。

（3）排除规则（可选）

若需排除特定LDAP群组（如“测试群组”），在“Exclusion Rules（排除规则）”中添加规则（如“cn=testgroup”），避免同步到Google Workspace。

五、通知与日志配置：同步状态监控与问题排查

为及时掌握同步结果、方便后续故障排查，需配置“通知”与“日志”功能：

1. 通知配置（同步结果邮件提醒）

1. 进入“Notifications（通知）”页面； 

2. SMTP Relay Host（SMTP中继主机）：输入谷歌免费SMTP服务器“aspmx.google.com”（无需认证，简化配置）； 

3. From address（发件人地址）：输入Google Workspace管理员邮箱（如“admin@synology-corp.com”）； 

4. To addresses（收件人地址）：输入需接收通知的邮箱（如“it@synology-corp.com”），点击“Add”添加； 

5. 点击“Test Notification（测试通知）”，确认收件人能收到测试邮件，确保同步异常时可及时预警。

2. 日志配置（同步记录留存）

1. 进入“Logging（日志）”页面； 

2. Log File（日志文件）：设置日志存储路径（如“C:GCDSLogssync.log”）； 

3. Log Level（日志级别）：选择“Detailed（详细）”（记录所有同步步骤，方便排查错误）； 

4. 点击“Save”保存，后续同步时可通过日志查看用户/群组的创建、修改、暂停记录。

六、同步执行：先模拟后实际，避免数据风险

配置完成后，需先通过“模拟同步”验证设置正确性，再执行实际同步，避免误操作导致Google Workspace数据异常：

1. 模拟同步（关键验证步骤）

1. 进入“Sync（同步）”页面，查看“Validation Results（验证结果）”：若所有配置项（Google域、LDAP、用户、群组）均显示“通过”，可继续；若有错误（如“LDAP连接失败”“属性缺失”），需返回对应页面修正； 

2. 点击“Simulate Sync（模拟同步）”：GCDS会读取LDAP数据并生成“拟变更报告”，但不实际修改Google Workspace数据； 

3. 查看模拟结果：报告中会显示“拟创建的用户/群组”“拟暂停/删除的用户”，确认无异常（如无意外删除现有谷歌账号）后，关闭报告窗口。

2. 实际同步（应用变更）

1. 确认模拟结果无误后，点击“Sync & apply changes（同步并应用变更）”； 

2. 同步过程中，GCDS会显示进度条（如“同步用户：3/10”“同步群组：2/5”），等待进度完成； 

3. 同步完成后，登录Google Workspace管理员后台（admin.google.com）： 

- 进入“目录-用户”，可看到从LDAP同步的用户（邮箱格式为“用户名@主域名”）； 

- 进入“目录-群组”，可看到同步的群组及关联成员，确认“用户-群组”关系与Synology LDAP一致。

七、同步后注意事项：规避常见问题与限制

1. 仅支持用户/群组同步：Synology LDAP Server不支持组织单元（OU）、共享联系人等内容，若在GCDS中勾选这些选项，会导致同步报错； 

2. 密码同步限制：现有LDAP用户的密码无法同步到Google Workspace，需用户首次登录谷歌账号时，通过默认密码登录并修改； 

3. Google命名规则遵守： 

- 用户名：仅支持字母、数字、连字符（-）、下划线（_）、撇号（'）、句点（.），且一行中不能有多个连续句点； 

- 群组名称：最多64个Unicode字符； 

- 若LDAP用户/群组名称不符合规则，需先在NAS的LDAP Server中修改，再重新同步； 

4. 定期同步建议：GCDS默认需手动触发同步，可通过Windows任务计划或Linux cron任务，设置每日定时同步（如凌晨2点），确保LDAP与Google Workspace数据实时对齐。

通过以上步骤，即可完成Synology LDAP Server与Google Workspace的用户/群组同步，实现企业内部NAS账号与谷歌办公账号的统一管理，减少人工维护成本，同时规避数据不一致的风险。若后续同步中出现问题（如用户未同步成功），可通过GCDS日志排查错误原因，或返回对应配置页面修正参数。