LDAP

O LDAP permite que o DiskStation adira a um serviço de diretório existente como cliente LDAP e, em seguida, obtenha as informações de utilizador ou grupo a partir de um servidor LDAP (ou "directory server"). Poderá gerir privilégios de acesso de utilizadores ou grupos LDAP a aplicações DSM e pastas partilhadas, como faria com utilizadores ou grupos DSM locais. Para obter mais informações sobre LDAP, consulte aqui.

O padrão LDAP suportado é LDAP versão 3 (RFC 2251).

Para associar o DiskStation a um serviço de diretório:

  1. Aceda a Painel de controlo > Serviço de diretório
  2. Aceda ao separador LDAP e assinale Ativar Cliente LDAP.
  3. Introduza o endereço IP ou nome de domínio do servidor LDAP no campo Endereço do Servidor LDAP.
  4. Escolha um tipo de encriptação no menu pendente Encriptação para encriptar a ligação LDAP ao servidor LDAP.
  5. Introduza o Base DN do servidor LDAP no campo Base DN.
  6. Selecione o Perfil adequado consoante o servidor LDAP. Por exemplo, escolha Padrão se estiver a utilizar o Synology Directory Server ou Mac Open Directory.
  7. Para permitir que os utilizadores de um servidor LDAP, que não seja compatível com o esquema Samba, acedam a ficheiros do DiskStation através de CIFS, assinale Ativar autenticação de palavra-passe CIFS de texto simples. Consulte a secção abaixo para garantir que utilizadores LDAP podem utilizar os seus computadores para aceder com êxito a ficheiros de DiskStation através de CIFS.
  8. Clique em Aplicar.
  9. Introduza o Bind DN (ou conta de administrador LDAP) e a palavra-passe nos campos e, em seguida, clique em OK.

Acerca do Suporte CIFS e Definições do Computador Cliente

Após ativar a autenticação por palavra-passe em texto simples CIFS, os utilizadores LDAP poderão necessitar de modificar as definições dos seus computadores para conseguirem aceder a ficheiros de DiskStation através de CIFS:

Para modificar as definições do Windows:

  1. Aceda a Iniciar > Executar, introduza regedit no campo e clique em OK para abrir o Editor de Registo.
  2. Dependendo da sua versão do Windows, procure ou crie o seguinte registo:
  3. Crie ou modifique o valor DWORD EnablePlainTextPassword e altere o respetivo valor de 0 para 1.
  4. Reinicie o Windows para que as alterações entrem em vigor.

Para modificar as definições do Mac OS X:

  1. Aceda a Aplicações > Utilitários para abrir Terminal.
  2. Crie um ficheiro /etc/nsmb.conf vazio:
    sudo touch /etc/nsmb.conf
    
  3. Abra /etc/nsmb.conf com vi:
    sudo vi /etc/nsmb.conf
    
  4. Escreva "i" para introduzir texto e cole o seguinte:
    [default]
    minauth=none
  5. Prima a tecla Esc e escreva "ZZ" para guardar as alterações e sair do vi.

Para modificar as definições do Linux:

Se estiver a utilizar o smbclient, adicione as chaves seguintes na secção [global] de smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Se estiver a utilizar mount.cifs, execute o comando seguinte:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para mais informação, aceda a https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Acerca de perfis

Servidores LDAP diferentes poderão utilizar atributos diferentes para nomes de contas, nomes de grupos ou para distinguir entre contas e grupos. A opção Perfil permite especificar ou personalizar a forma como as informações do utilizador e do grupo são mapeadas para os atributos LDAP. É possível selecionar um dos seguintes perfis, dependendo do seu servidor LDAP:

Antes de personalizar os mapeamentos de atributos LDAP, necessitará de ter conhecimentos adquiridos. O Synology DSM e o editor Perfil seguem RFC 2307. Por exemplo, pode especificar filter > passwd como userFilter, em que DiskStation irá interpretar os registos com objectClass=userFilter no servidor LDAP como contas LDAP. Se especificar passwd > uid como username, o DiskStation irá interpretar username no servidor LDAP como um nome da conta. Se deixar o mapeamento vazio irá aplicar as regras da RFC 2307.

O DiskStation requer um número inteiro fixo para funcionar como identificador da conta LDAP (uidNumber) ou identificador do grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representarem esses atributos. Assim, é fornecida uma palavra-chave HASH() para converter esses atributos em números inteiros. Por exemplo, o servidor LDAP poderá utilizar o atributo userid com um valor hexadecimal como identificador exclusivo de uma conta LDAP. Neste caso, pode definir passwd > uidNumber como HASH(userid) e, em seguida, DiskStation irá converter num número inteiro.

Segue-se um resumo dos atributos personalizáveis:

Acerca da troca UID/GID

Para evitar conflitos de UID/GID entre os utilizadores/grupos LDAP e os utilizadores/grupos locais, pode ativar a troca de UID/GID para trocar o UID/GID dos utilizadores/grupos LDAP por 1000000. Esta opção é apenas para os servidores LDAP que não sejam servidores LDAP não Synology e que disponham de um único atributo de ID numérico para cada utilizador/grupo.

Acerca da Expansão de grupo aninhado

Num grupo aninhado, um membro do grupo LDAP pertence a outro grupo LDAP, onde a hierarquia de uma organização é representada. Quando os utilizadores verificam a que grupo um membro específico pertence, ou uma lista de nomes de um grupo específico, o DiskStation expandirá um grupo aninhado de acordo com os atributos de membro de um grupo LDAP, onde o DN (Distinguished Name ou Nome distinto) de um grupo subordinado é referenciado pelo atributo. A expansão de um grupo aninhado pode demorar muito tempo em circunstâncias diferentes, como por ex., quando o servidor não indexa o atributo de membro ou o grupo está aninhado de forma profunda. Poderá optar por não expandir um grupo aninhado para evitar estas ocorrências.