Portál aplikací
Portál aplikací umožňuje konfigurovat nastavení připojení různých aplikací tak, abyste k těmto aplikacím (např. File Station) měli přímý přístup a mohli je spouštět v samostatných kartách či oknech prohlížeče.
Poznámka:
- Možné je upravovat přístupová oprávnění k aplikacím jako Audio Station, Download Station, Surveillance Station, Video Station, File Station a mnoha dalším.
Nastavení aliasů
Každé aplikaci vyvinuté společností Synology, např. File Station, je možné přidělit alias. Pomocí vlastního aliasu je možné aplikaci prostřednictvím specializované adresy URL rychle otevřít.
Nastavení aliasů aplikací:
- Přejděte do části Ovládací panel > Portál aplikací > Aplikace.
- Vyberte aplikaci.
- Klikněte na možnost Upravit > Obecné.
- V místním okně vyberte možnost Povolit vlastní alias a stanovte alias.
- Nastavení uložíte kliknutím na možnost OK.
Poznámka:
- Některé aplikace mají vlastní výchozí aliasy: Audio Station (audio), Download Station (download), File Station (file), Surveillance Station (cam) a Video Station (video).
- Názvy aliasů nesmí být stejné jako názvy rezervované pro systém, prohlížeče nebo ostatní aplikace a název aliasu musí obsahovat min. 2 a max. 20 znaků.
- Alias se může skládat pouze z malých a velkých písmen, číselných znaků a dvou speciálních znaků (-) a (_).
- Alias nemůže začínat nebo končit speciálním znakem (-) ani (_).
Přístup k aplikacím pomocí aliasů:
Po nastavení aliasu pro aplikaci (např. File Station) je možné aplikaci rychle otevřít zadáním adresy URL v následujících formátech: http://DS_IP_NEBO_NÁZEV_SERVERU/ALIAS/
nebo https://DS_IP_NEBO_NÁZEV_SERVERU/ALIAS/
Například ke službě File Station je možné se rychle dostat pomocí adres URL: http://192.168.xx.xx/file/
nebo https://MySynologyNAS/file/
Přizpůsobení portů HTTP/HTTPS
Každé aplikaci vyvinuté společností Synology, např. File Station, je možné přidělit port HTTP/HTTPS. Pomocí vlastního portu je možné aplikaci prostřednictvím specializované adresy URL rychle otevřít.
Přizpůsobení portů HTTP/HTTPS aplikací:
- Přejděte do části Ovládací panel > Portál aplikací > Aplikace.
- Vyberte aplikaci.
- Klikněte na možnost Upravit > Obecné.
- V místním okně vyberte možnost Povolit vlastní port (HTTP) nebo Povolit vlastní port (HTTPS).
- Určete vlastní číslo portu.
Poznámka:
- Číslo portu může být z rozsahu 1 až 65 535.
- Následující porty není možné použít, protože jsou vyhrazeny pro systémové využití:
- 20, 21, 22, 23, 25, 80, 110, 137, 138, 139, 143, 199, 443, 445, 515, 543, 548, 587, 873, 993, 995, 3306, 3689, 5000, 5001, 5005, 5006, 5335, 5432, 6881, 8080, 7000, 7001, 8081, 9997, 9998, 9999, 50001, 50002
- Výchozí porty eMule: 4662 (TCP), 4672 (UDP)
- Výchozí rozsah portů FTP: Skutečný rozsah se může u různých modelů lišit.
Přístup k aplikacím pomocí portů HTTP/HTTPS:
Po nastavení portů HTTP nebo HTTPS pro aplikaci (např. File Station) je možné aplikaci rychle otevřít zadáním adres URL v následujících formátech: http://DS_IP_NEBO_NÁZEV_SERVERU:PORT_HTTP
nebo https://DS_IP_NEBO_NÁZEV_SERVERU:PORT_HTTPS
Například ke službě File Station je možné se rychle dostat pomocí adres URL: http://192.168.xx.xx:7000
nebo https://MySynologyNAS:7001
Konfigurace certifikátu a úrovně profilu TLS/SSL pro porty HTTPS:
Po nastavení portu HTTPS pro aplikaci (např. File Station) můžete přejít do části Ovládací panel > Zabezpečení > Certifikát a kliknout na možnost Konfigurovat. Poté vyhledejte název služby ve formátu Název_aplikace - PORT_HTTPS a nakonfigurujte používaný certifikát.
Můžete rovněž přejít do části Ovládací panel > Zabezpečení > Rozšířené a kliknout na možnost Vlastní nastavení. Poté vyhledejte název služby ve formátu Název_aplikace - PORT_HTTPS a nakonfigurujte používanou úroveň profilu TLS/SSL.
Pokud je například port HTTPS služby File Station 7001, můžete přejít na výše uvedené dvě stránky a vyhledat službu s názvem FileStation - 7001, ve které lze provádět další konfiguraci.
Přizpůsobení domén
Aplikaci vyvinuté společností Synology, například File Station, je možné přiřadit název domény. Pomocí vlastní domény je možné aplikaci rychle otevřít prostřednictvím specializované adresy URL.
Nastavení domén aplikací:
- Přejděte do části Ovládací panel > Portál aplikací > Aplikace.
- Vyberte aplikaci.
- Klikněte na možnost Upravit > Obecné.
- V místním okně vyberte možnost Povolit vlastní doménu.
- Stanovte vlastní doménu.
- Jako další nastavení je možné použít volby Povolit HSTS nebo Povolit HTTP/2 tak, aby vyhovovaly vašim potřebám.
Poznámka:
- Před nastavením této funkce je nutné u poskytovatelů domén zažádat o názvy domén, aby uživatelé měli k dané službě přístup z internetu.
- Každý název domény je možné na zařízení DiskStation použít pouze pro jednu samostatnou aplikaci.
- Jestliže název domény nepřekročí délku 15 znaků a splňuje konvence pro názvy NetBIOS, systém název domény zaregistruje a bude vysílat automaticky.
- Když k aplikacím přistupujete prostřednictvím adres URL, které používají názvy domén, budete procházet přes standardní port HTTP (80) nebo standardní port HTTPS (443).
- Pokud povolíte řízení přístupu pomocí certifikátu vydaného společností Let's Encrypt, nemusí se automatické obnovení certifikátu podařit. Pokud k takové situaci dojde, zakažte nejprve řízení přístupu. Poté přejděte do části Ovládací panel > Zabezpečení > Certifikát, klikněte pravým tlačítkem na certifikát společnosti Let's Encrypt, který chcete obnovit, a vyberte možnost Obnovit certifikát. Po obnovení certifikátu můžete řízení přístupu znovu povolit.
Přístup k aplikacím prostřednictvím domén:
Po nastavení domény pro aplikaci (např. file.example.com) je možné aplikaci (např. File Station) rychle otevřít zadáním adresy URL v následujících formátech: http://DOMÉNA_APLIKACE
nebo https://DOMÉNA_APLIKACE
Například ke službě File Station je možné se rychle dostat pomocí adres URL: http://file.example.com
nebo https://file.example.com
Jestliže název domény (např. FileFile) u aplikace (např. File Station) splňuje konvence pro názvy NetBIOS, uživatelé systému Windows se k nim mohou na zařízení Synology NAS ve stejné místní síti dostat pomocí podobné adresy URL: http://FileFile
nebo https://FileFile
Konfigurace certifikátu a úrovně profilu TLS/SSL pro domény:
Po nastavení domény pro aplikaci (např. File Station) můžete přejít do části Ovládací panel > Zabezpečení > Certifikát a kliknout na možnost Konfigurovat. Poté vyhledejte název služby ve formátu Název_aplikace - Doména a nakonfigurujte používaný certifikát.
Můžete rovněž přejít do části Ovládací panel > Zabezpečení > Rozšířené a kliknout na možnost Vlastní nastavení. Poté vyhledejte název služby ve formátu Název_aplikace - Doména a nakonfigurujte používanou úroveň profilu TLS/SSL.
Pokud je například doména služby File Station file.example.com, můžete přejít na výše uvedené dvě stránky a vyhledat službu s názvem FileStation - file.example.com, ve které lze provádět další konfiguraci.
Zadání profilu řízení přístupu:
Po nastavení profilu řízení přístupu pro aplikaci (např. File Station) nebudou odmítnutí uživatelé tuto aplikaci moci otevřít zadáním adres URL uvedených v tomto článku.
- Přejděte do části Ovládací panel > Portál aplikací > Aplikace.
- Vyberte aplikaci.
- Klikněte na možnost Upravit > Obecné.
- V místním okně klikněte na možnost Povolit řízení přístupu a vyberte profil řízení přístupu. Další informace o vytvoření profilu řízení přístupu se nacházejí v následující části Přizpůsobení profilů řízení přístupu.
- Nastavení uložíte kliknutím na možnost OK.
Přizpůsobení pravidel reverzního serveru proxy
Zařízení DiskStation může sloužit jako reverzní server proxy, který přenáší požadavky z internetu do zařízení v místní síti. Pravidla reverzního serveru proxy mohou pomoci skrýt citlivé porty před potenciálními hrozbami, jako ve dvou níže uvedených scénářích:
Scénář 1: Předpokládejme, že citlivý port je 80, ke kterému by podle pravidel brány firewall neměl být povolen externí přístup. Můžete nastavit pravidlo rezervního serveru proxy, které povolí důvěryhodným uživatelům z internetu dostat se na citlivý port 80 prostřednictvím jiného otevřeného portu (např. 81). Tímto způsobem mohou důvěryhodní uživatelé obejít bránu firewall a mít přesto přístup k portu 80.
Scénář 2: Předpokládejme, že citlivý je port 80, ke kterému by neměl být povolen externí přístup s výjimkou konkrétního zařízení (např. serveru s názvem „MyTrustee“). Pomocí pravidel reverzního serveru proxy je možné povolit, aby se k portu 80 dostal pouze provoz ze serveru MyTrustee, ale ne od jiných zařízení.
Nastavení pravidel reverzního serveru proxy:
- Přejděte do části Ovládací panel > Portál aplikací > Reverzní proxy.
- Na stránce Obecné klikněte na možnost Vytvořit a stanovte následující nastavení:
- Popis: Zadejte název, který pomůže rozpoznat funkci pravidla.
- Stanovte pravidla pro Zdroj (zařízení odesílající požadavky z internetu) a Cíl (zařízení v místní síti):
- Protokol: Protokoly HTTP nebo HTTPS, používané zdrojem/cílem
- Název hostitele: Název zdrojového/cílového zařízení
- Port: Port používaný zdrojovým/cílovým zařízením
- Povolit HSTS a Povolit HTTP/2 (pouze u zdroje)
- Chcete-li zadat profil řízení přístupu, klikněte na možnost Povolit řízení přístupu a vyberte profil řízení přístupu. Další informace o vytvoření profilu řízení přístupu se nacházejí v následující části Přizpůsobení profilů řízení přístupu.
Poznámka:
- Kliknutím na možnost WebSocket v rozevírací nabídce Vytvořit můžete rychle vytvořit záhlaví funkce WebSocket a umožnit tak podporu reverzního serveru proxy pro funkci WebSocket.
- Chcete-li upravit další chování reverzního serveru proxy, přejděte na stránku Rozšířená nastavení.
- Časový limit připojení serveru proxy (s): Nastaví časový limit připojení serveru proxy k cílovému serveru.
- Časový limit odesílání serveru proxy (s): Nastaví časový limit odesílaného požadavku do cílového serveru.
- Časový limit čtení serveru proxy (s): Nastaví časový limit čekání na odpověď cílového serveru.
- Verze protokolu HTTP serveru proxy: Vyberte verzi protokolu HTTP, která bude sloužit ke komunikaci mezi serverem proxy a cílovým serverem.
- Použít chybovou stránku odeslanou zpět cílovým serverem: Pokud je tato možnost zaškrtnutá, tak v případě, že cílový server odešle zpět chybový kód protokolu HTTP, zobrazí webovou stránku chyby cílového serveru. Jinak zobrazí stránku chyby služby DiskStation.
- Nastavení uložíte kliknutím na možnost OK.
Přizpůsobení profilů řízení přístupu
Chcete-li omezit přístup uživatelů do portálu aplikací nebo do reverzních serverů proxy podle zdrojové IP adresy uživatele, můžete vytvořit profil řízení přístupu. Zamítnutým uživatelům se zobrazí stránka se zamítnutím přístupu.
Vytvoření profilu řízení přístupu:
- Přejděte do části Ovládací panel > Portál aplikací > Profil řízení přístupu.
- Klikněte na možnost Vytvořit. V místním okně můžete přizpůsobit pravidla tohoto nového profilu.
- Kliknutím na možnost Vytvořit vytvoříte nové pravidlo. Pravidla se použijí na základě priority shora dolů a budou určovat přístupová oprávnění.
- Dvojitým kliknutím na pravidlo ho můžete upravit. Chcete-li pravidla odstranit, vyberte ho a klikněte na možnost Odstranit.
- Kliknutím na možnost OK je možné seznam pravidel uložit jako nový profil.
- Kliknutím na pole názvu profilu můžete profil přejmenovat.
Poznámka:
- Pokud ponecháte název hostitele zdroje prázdný, bude se pravidlo uplatňovat na všechny zdroje.
- Pokud povolíte řízení přístupu pomocí certifikátu vydaného společností Let's Encrypt, nemusí se automatické obnovení certifikátu podařit. Pokud k takové situaci dojde, zakažte nejprve řízení přístupu. Poté přejděte do části Ovládací panel > Zabezpečení > Certifikát, klikněte pravým tlačítkem na certifikát společnosti Let's Encrypt, který chcete obnovit, a vyberte možnost Obnovit certifikát. Po obnovení certifikátu můžete řízení přístupu znovu povolit.
- Chcete-li používat seznam výjimek, musíte před aktivací pravidel kromě vytvoření pravidel pro povolené zdroje nastavit i pravidla pro odepřené zdroje.
Pokud je povolená například pouze adresa http://192.168.xx.xx
, musíte
- Přidat
http://192.168.xx.xx
jako povolený zdroj.
- Přidat nové pravidlo a nastavit ho jako Odepřít.