LDAP

LDAP 可讓您的 DiskStation 以 LDAP 用戶端的身分加入現有的目錄伺服,並從 LDAP 伺服器 (或稱「目錄伺服器」) 擷取帳號及群組資訊。您可以管理 LDAP 使用者或群組對 DSM 應用程式及共用資料夾的存取權限,就像管理本地 DSM 使用者或群組一樣容易。如需更多 LDAP 的相關資訊,請參閱此處

支援的 LDAP 標準為 LDAP 第 3 版 (RFC 2251)。

若要讓 DiskStation 加入目錄服務:

  1. 前往控制台 > 網域/LDAP
  2. 前往 LDAP 頁籤,並勾選啟動 LDAP 用戶端
  3. LDAP 伺服器位置欄位中輸入 LDAP 伺服器的 IP 位址或網域名稱。
  4. 加密下拉式選單中選擇加密類型,藉此為 DiskStation 與 LDAP 伺服器之間的 LDAP 連線進行加密。
  5. Base DN 欄位中輸入 LDAP 伺服器的 Base DN。
  6. 依照您的 LDAP 伺服器選擇合適的設定檔。例如:假設您現在使用的是 Synology LDAP Server 或 Mac Open Directory,請選擇標準
  7. 若要允許不支援 Samba schema 的 LDAP 使用者透過 CIFS 存取 DiskStation 檔案,請勾選啟動 CIFS 明文密碼驗證。請參閱下一節的說明來確定 LDAP 使用者可以使用他們的電腦透過 CIFS 成功存取 DiskStation 檔案。
  8. 按一下套用
  9. 在欄位中輸入 Bind DN (或 LDAP 管理者帳號) 及密碼,然後按一下確定

關於 CIFPS 支援及用戶端電腦的設定

啟動 CIFS 明文密碼驗證後,LDAP 使用者可能需要修改電腦的設定才能透過 CIFS 存取 DiskStation 檔案:

若要修改 Windows 設定:

  1. 前往開始 > 執行,在欄位中輸入 regedit,然後按一下確定來開啟登錄編輯程式。
  2. 視您使用的 Windows 版本而定,請尋找或建立下列登錄機碼:
    • Windows 2000、XP、Vista 及 Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1)、98 及 Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. 建立或修改 DWORD 值 EnablePlainTextPassword,並將其數值資料從 0 變更為 1
  4. 重新啟動 Windows 來讓變更生效。

若要修改 Mac OS X 設定:

  1. 前往應用程式 > 工具程式來開啟終端機
  2. 建立空檔案 /etc/nsmb.conf
    sudo touch /etc/nsmb.conf
  3. 使用 vi 開啟 /etc/nsmb.conf
    sudo vi /etc/nsmb.conf
  4. 輸入「i」來插入文字,並貼上下列文字:
    [default]
    minauth=none
  5. 按下 Esc 鍵然後按下「ZZ」來儲存變更並離開 vi。

若要修改 Linux 設定:

若您使用 smbclient,請在 smb.conf[global] 區塊中新增下列機碼:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

若您使用 mount.cifs,請執行下列指令:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

如需更多詳細資訊,請參閱 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

關於設定檔

不同 LDAP 伺服器可能使用不同屬性當做帳號名稱、群組名稱,或是區分帳號與群組。設定檔選項可讓您指定或自訂使用者及群組資訊如何對應至 LDAP 屬性。您可以依照您的 LDAP 伺服器選擇下列其中一個設定檔:

若要自訂各種 LDAP 屬性的對應,必須先有些背景知識。Synology DSM 遵循 RFC 2307 的規範,而設定檔的編輯器也遵循相同的原則。例如,您可以指定 filter 裡的 passwduserFilter,DiskStation 便會將您 LDAP 伺服器裡符合 objectClass=userFilter 的資料視為 LDAP 帳號。如果指定 passwd 裡的 uidusername,DiskStation 便會將您 LDAP 伺服器上的 username 視為帳號名稱。若是留空不填則表示遵循 RFC 2307 規範。

DiskStation 需要一個固定不變的整數當作 LDAP 帳號的識別碼 (uidNumber) 與 LDAP 群組的識別碼 (gidNumber)。但不是所有 LDAP 伺服器都使用整數來表示這樣的屬性。因此,我們提供一個關鍵字 HASH() 來將其轉為整數。例如,您的 LDAP 伺服器可能使用一個值為 16 進位的屬性 userid 作為 LDAP 帳號。在此情況下,您可以將 passwduidNumber 設為 HASH(userid) 來讓 DiskStation 將其轉為整數。

以下是可供自訂屬性的摘要:

關於 UID / GID 位移

為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突,您可以啟動 UID / GID 位移來將 LDAP 使用者 / 群組的 UID / GID 位移 1000000。此選項僅適用於非 Synology 的 LDAP 伺服器,且該伺服器針對每個使用者 / 群組提供以數字組成、獨特的 ID 屬性。

關於巢狀群組的展開

在巢狀群組當中,LDAP 群組成員歸屬於另一個 LDAP 群組,並由此可見組織架構的階層關係。當使用者查詢特定成員所歸屬的群組,或是特定群組的成員名單時,DiskStation 會參照子群組的 DN (Distinguished Name),依循 LDAP 群組的 member 屬性來展開巢狀群組。因不同情形,巢狀群組的展開可能會相當耗時,例如當 LDAP 伺服器未對 member 屬性建立索引,或是群組的巢狀結構複雜時。您可以選擇不展開巢狀群組來避免這些問題。

關於用戶端憑證

我們支援使用用戶端憑證。某些 LDAP 伺服器 (例如: Google LDAP) 需透過用戶端憑證進行身分驗證。您可以勾選啟用用戶端憑證選項,並上傳用戶端憑證。

注意:

此功能僅支援 DSM 6.2.2 或以上版本。