มาถึงตอนนี้แล้ว เราซื้อ QNAP NAS มาแล้ว ติดตั้งฮาร์ดดิสก์แล้ว สร้าง Storage pool และ Volume เรียบร้อยแล้ว สิ่งที่คุณควรรู้ถัดมาคือเรื่องของระบบผู้ใช้งาน (Users) ของ QNAP NAS ครับ ไม่ว่าคุณจะเป็นผู้ใช้งานเพียงคนเดียว หรือตั้งใจจะให้มีคนใช้งานในบ้านหลายคน หรือเป็น Small Office/Home Office (SOHO) ก็ตาม ผมอยากให้อ่านให้ดีๆ ครับ
อย่าลืมเปลี่ยนรหัสผ่านของ admin!!!
QNAP NAS ทุกตัวมาพร้อมกับผู้ใช้งานชื่อ admin ที่มีรหัสผ่านเริ่มต้นเป็น admin เหมือนกัน แต่ปกติแล้วตอน Initialize NAS มันจะให้เราตั้งรหัสผ่านใหม่ด้วย อยากให้ตั้งให้ดีๆ นะครับ และถ้าเป็นไปได้ ทำ 2-step verification ไปเลยจะดีมาก (เดี๋ยวพูดถึงในตอนถัดไปนะ)
ข้อจำกัดนึงของ QNAP NAS ในด้านความปลอดภัย (ที่ผมขอติ) คือ ผู้ใช้งานชื่อ admin เนี่ย มันจะค้างอยู่ยังงั้นครับ Disable ไม่ได้ แถมรหัสผ่านก็ถูกกำหนดเป็น Always valid ใช้งานได้ตลอดกาลอีกต่างหาก ถอดมันไปอยู่ใน User group อื่นก็ไม่ได้ นั่นหมายความว่า แฮกเกอร์รู้ได้ทันทีว่าชื่อผู้ใช้งานนึงสำหรับการล็อกอินแน่ๆ คือ admin นี่แหละ มันเลยเป็นที่มาที่ผมอยากให้ตั้งรหัสผ่านให้ดีๆ ไงล่ะครับ
เราสามารถสร้างผู้ใช้งานบน QNAP NAS ได้สามแบบหลักๆ ครับ คือ
● Local user คือ ผู้ใช้งานที่ถูกสร้างและใช้บนตัว QNAP NAS เองเลย เครื่องคอมพิวเตอร์ไหน สมาร์ทโฟนใด แท็บเล็ตใด จะล็อกอิน ต้องใช้ชื่อผู้ใช้งานจาก Local user นี้
● LDAP คือ เอา QNAP NAS ไปเชื่อมต่อกับเซิร์ฟเวอร์ที่รันระบบปฏิบัติการ Linux/Unix หรือตัวมันเองหรือ QNAP NAS ตัวอื่น ที่เปิดใช้เป็น Domain controller ครับ
● Active Directory คือ เอา QNAP NAS ไปเชื่อมต่อกับเซิร์ฟเวอร์ที่รันระบบปฏิบัติการ Windows Server ซึ่งทำหน้าที่เป็น Active Directory ครับ
LDAP vs Active Directory (AD)
จริงๆ แล้ว โดยพื้นฐาน LDAP (Lightweight Directory Access Protocol) กับ AD (Active Directory) มันก็เหมือนๆ กันครับ และหน้าที่ของทั้งคู่ก็เหมือนๆ กัน คือ เป็นเหมือนสมุดรายชื่อที่เก็บรายชื่อผู้ใช้งานของระบบเอาไว้ ให้อุปกรณ์ต่างๆ ได้เชื่อมต่อเข้ามาเพื่อตรวจสอบการล็อกอินภายในอุปกรณ์นั้นๆ ทำให้เราสามารถเก็บรายชื่อเอาไว้แค่ชุดเดียว แต่สามารถใช้ในการตรวจสอบการล็อกอินของอุปกรณ์หลายๆ ชิ้นได้ มันสะดวกในการบริหารจัดการรายชื่อผู้ใช้งานนั่นเอง
อ่านมาถึงตรงนี้แล้วอย่าเพิ่งตกใจ เพราะ Directory service อย่าง LDAP กับ Active Directory ผู้ใช้งานระดับองค์กรที่มีอุปกรณ์โน่นนี่นั่นเยอะๆ ผู้ใช้งานเยอะๆ มีระบบที่ต้องล็อกอินเยอะๆ ถึงจะได้ใช้ประโยชน์แบบเต็มๆ เช่น ถ้าใช้ Windows เวอร์ชัน Pro แบบเนี้ย การมี Directory service มันช่วยได้เยอะเลยครับ เพราะผู้ใช้งานที่ใช้ล็อกอินเข้า Windows สามารถเป็นตัวเดียวกับ QNAP NAS ได้เลย หรือเรียกง่ายๆ ว่าเป็น Single Sign On (SSO) นั่นเอง ไม่ต้องไปสร้างรายชื่อผู้ใช้งานแบบเดียวกันบนทุกอุปกรณ์
แต่ผู้ใช้งานตามบ้านที่มาอ่าน QNAP NAS 101 ของผมนี่ คงไม่ได้มีอะไรแบบนั้น จริงปะ กรณีของคุณ คุณใช้ Windows เวอร์ชัน Home ซึ่งก็จะต้องเก็บรายชื่อผู้ใช้งานเป็น Local user อยู่แล้ว เราก็ต้องมาสร้าง Local user อีกชุดบน QNAP NAS ครับ ถ้าเราไม่ได้มี QNAP NAS ตั้งกะสองตัวขึ้นไป ผมไม่เห็นความจำเป็นในการใช้ LDAP หรือ Active Directory ครับ ฉะนั้นในบล็อกนี้ จะขอพูดถึงการสร้าง Local user เป็นหลักครับ
การสร้างผู้ใช้งานแบบ Local user บน QNAP NAS
การสร้างผู้ใช้งาน สามารถทำได้โดยไปที่ Control Panel > Previlege > Users จากนั้นคลิกปุ่ม Create แล้วเลือก Create a User ครับ
ข้อมูลที่ต้องกรอกเพื่อสร้างผู้ใช้งานจริงๆ ไม่เยอะหรอกครับ หลักๆ ก็มี
● Username คือ ชื่อผู้ใช้งานที่ใช้สำหรับล็อกอิน
● Password คือ รหัสผ่านสำหรับผู้ใช้งานคนนี้
● Verify Password คือ ให้กรอกรหัสผ่านที่ตั้งไปข้างบนซ้ำอีกที อันนี้เพื่อให้แน่ใจว่าไม่ได้พิมพ์รหัสผิดไปตรงไหน
ถ้าทำเครื่องหมายถูกตรง Show password เราก็จะเห็นครับ ว่าเราตั้งรหัสเป็นอะไร เผื่อใครอยากให้ชัวร์ๆ
ทิปสำหรับผู้ใช้งานที่เป็นช่างภาพช่างวิดีโอ
ช่างภาพช่างวิดีโอ อาจจะอยากซื้อ QNAP NAS มาใช้เก็บงานถ่ายของตัวเอง แล้วก็แชร์ไฟล์งานลูกค้าให้ลูกค้าได้เข้ามาดู ก็ได้ใช้ประโยชน์จากการสร้างผู้ใช้งานนี่แหละครับ กำหนดสิทธิ์ในการเข้ามาดูไฟล์งานได้ คำแนะนำของผมก็คือ ตอนสร้างผู้ใช้งาน ก็ใส่รายละเอียดเกี่ยวกับงาน เช่น ชื่อ-นามสกุล ของลูกค้า งานที่เขาจ้าง อะไรแบบเนี้ย ไว้ในกล่องข้อความใหญ่ๆ ที่เรียกว่า User description แล้วอาจจะใส่รูปลูกค้าไปด้วยเลย โดยคลิกตรงไอคอนรูปคน ที่อยู่ตรงมุมบนซ้าย แล้วมันจะให้อัพโหลดรูปเข้าไปครับ นอกจากนี้ยังสามารถกรอกเบอร์โทรและอีเมลของลูกค้าไปในช่อง Phone number (optional) กับ Email (optional) ได้ตามลำดับอีกด้วย
ตรงด้านขวา มันจะให้เรากำหนดรายละเอียดต่างๆ ได้ดังนี้
● User Group เอาไว้กำหนดว่าผู้ใช้งานคนนี้อยู่ในกลุ่มไหน การสร้างกลุ่มมันจะมีประโยชน์ในการบริหารจัดการสิทธิ์กรณีมีผู้ใช้งานจำนวนมาก (ไว้พูดถึงในตอนหลังนะ)
● Shared Folder Permission เอาไว้ตั้งค่าสิทธิ์ในการเข้าถึง Shared folder ต่างๆ ครับ เดี๋ยวเราค่อยไปคุยกันใน Episode หลังๆ ที่พูดถึงเรื่อง Shared folder และการกำหนดสิทธิ์ทีเดียวเลย
● Edit Application Privilege เอาไว้กำหนดสิทธิ์ในการเข้าถึงและใช้แอปต่างๆ ครับ เอาไว้พูดถึงทีหลังเช่นเดียวกันนะ
เกี่ยวกับ Username และ Password
QNAP NAS ยอมให้ Username ยาวได้สูงสุด 32 ตัวอักษร และเป็น Case-insensitive หรือก็คือจะพิมพ์เป็นตัวเล็กหรือตัวใหญ่ ไม่สำคัญ และสามารถเป็นตัวจีน ญี่ปุ่น หรือ เกาหลี (เรียกรวมๆ ว่า Double-byte characters) ได้ด้วย ยกเว้นตัวอักษร ” / [ ] : ; | = , + * ? < > ` ‘
ส่วนรหัสผ่าน สามารถตั้งได้สูงสุด 16 ตัวอักษร และ QNAP แนะนำให้ตั้งยาวอย่างน้อย 6 ตัวอักษรครับ
กรอกข้อมูลหลักๆ ซึ่งได้แก่ Username, Password และ Verified Password หมดแล้ว กด Create ก็เป็นอันเรียบร้อยครับ
การแก้ไขข้อมูลผู้ใช้งาน
หากอยากจะเข้ามาแก้ไขข้อมูลของผู้ใช้งานที่เราสร้างไป เราก็แค่มาที่ Control Panel > Previlege > Users แล้วก็คลิกไอคอนรูปดินสอกับกระดาษ (อันที่อยู่ทางขวามือของไอคอนรูปกุญแจ) ที่พอเอาเคอร์เซอร์ของเมาส์ไปวางด้านบนแล้วมันขึ้นข้อความว่า Edit Account Profile นั่นแหละ
จากนั้นก็เข้าไปแก้ไขข้อมูลที่เราอยากแก้ได้เลยครับ ซึ่งที่แน่ๆ ที่เราสามารถทำได้ (ในตอนนี้) ก็คือ
● เปลี่ยนอีเมลของผู้ใช้งานที่บันทึกไว้ในช่อง Email (optional)
● เปลี่ยนเบอร์โทรของผู้ใช้งานที่บันทึกไว้ในช่อง Phone number (optional)
● เปลี่ยนข้อมูลอื่นๆ ของผู้ใช้งานที่เราบันทึกไว้ในช่อง Description (optional)
และที่เพิ่มเติมเข้ามาก็คือช่องติ๊กสองช่องครับ ได้แก่
● Disallow the user to change password ถ้าติ๊กตรงนี้แล้ว เราจะไม่ยอมให้ผู้ใช้งานเปลี่ยนรหัสผ่านครับ
● Disable this account ถ้าติ๊กตรงนี้แล้ว หมายความว่าเราตั้งใจจะปลดผู้ใช้งานคนนี้ลงเป็นการชั่วคราว (ไม่ได้ลบ กลับมา Enable ใหม่ได้) โดยเลือกได้ว่าจะ Disable แบบ
○ Now คือ ปลดผู้ใช้งานคนนี้ลง ณ บัดนาวเลย
○ Expiry date คือ กำหนดวันที่จะหมดสิทธิใช้งาน
ข้อสังเกตสองจุดเกี่ยวกับเรื่อง Security ณ จุดๆ นี้ก็คือ
● Password valid to: Always valid หมายถึง รหัสผ่านที่ตั้งไว้ไม่มีหมดอายุเลย
● Quota เป็นตัวแดงเขียนว่า Disable หมายความว่า ไม่มีการจำกัดโควต้าใดๆ ให้กับผู้ใช้งานเลย
ซึ่งตรงนี้ เดี๋ยวเราจะพูดถึงใน Episode หลังๆ เกี่ยวกับการตั้ง Password policy และ Shared folder นะครับ
