LDAP

LDAP permet à votre DiskStation de rejoindre un service d'annuaire existant en tant que client LDAP, puis de récupérer les informations d'utilisateur ou de groupe depuis un serveur LDAP (ou « Directory Server »). Vous pouvez gérer les privilèges d'accès des utilisateurs ou groupes LDAP aux applications DSM et dossiers partagés, exactement comme vous le feriez pour les utilisateurs ou groupes locaux DSM. Pour plus d'informations sur le LDAP, voir ici.

Le standard LDAP pris en charge est LDAP version 3 (RFC2251).

Pour joindre un DiskStation à un service d'annuaire :

  1. Accédez à Panneau de configuration > Domaine/LDAP.
  2. Cliquez sur l'onglet LDAP, et cochez Activer le client LDAP.
  3. Saisissez l'adresse IP ou nom de domaine du serveur LDAP dans le champ Adresse du serveur LDAP.
  4. Choisissez un type de chiffrement dans le menu déroulant Chiffrement pour chiffrer la connexion LDAP au serveur LDAP.
  5. Entrez la Base DN du serveur LDAP dans le champ Base DN.
  6. Sélectionnez le Profil approprié en fonction de votre serveur LDAP. Par exemple, sélectionnez Standard si vous utilisez Synology LDAP Server or Mac Open Directory.
  7. Pour permettre aux utilisateurs d'un serveur LDAP qui ne prend pas en charge le schéma Samba d'accéder aux fichiers du DiskStation via CIFS, cochez Activer l'authentification par mot de passe en texte brut CIFS. Voir la section ci-dessous pour s'assurer que les utilisateurs LDAP peuvent utiliser leurs ordinateurs pour accéder aux fichiers du DiskStation via CIFS.
  8. Cliquez sur Appliquer.
  9. Entrez le Bind DN (ou compte administrateur LDAP) et le mot de passe dans les champs, puis cliquez sur OK.

À propos de la prise en charge de CIFS et des paramètres de l'ordinateur client

Après l'activation de l'authentification par mot de passe en texte brut de CIFS, les utilisateurs LDAP devront peut-être modifier les paramètres de leurs ordinateurs pour pouvoir accéder aux fichiers du DiskStation via CIFS :

Pour modifier les paramètres Windows :

  1. Sélectionnez Démarrer > Exécuter, saisissez regedit dans le champ, puis cliquez sur OK pour ouvrir l'Éditeur de registre.
  2. Selon votre version de Windows, trouvez ou créez le registre suivant :
    • Windows 2000, XP, Vista et Windows 7 :
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT :
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 et Me :
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Créez ou modifiez la valeur DWORD EnablePlainTextPassword et changez sa donnée de valeur de 0 à 1.
  4. Redémarrez Windows pour que la modification prenne effet.

Pour modifier les paramètres de Mac OS X :

  1. Accédez à Applications > Utilitaires pour ouvrir Terminal.
  2. Créez un fichier vide /etc/nsmb.conf :
    sudo touch /etc/nsmb.conf
  3. Ouvrez /etc/nsmb.conf avec vi :
    sudo vi /etc/nsmb.conf
  4. Saisissez « i » pour insérer du texte et collez ce qui suit :
    [default]
    minauth=none
  5. Appuyez sur la touche Échap, puis saisissez « ZZ » pour enregistrer les modifications et quitter vi.

Pour modifier les paramètres de Linux :

Si vous utilisez smbclient, ajoutez les clés suivantes dans la section [global] de smb.conf :

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Si vous utilisez mount.cifs, exécutez la commande suivante :

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Pour plus de renseignements, consultez https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

À propos des profils

Des serveurs LDAP différents peuvent utiliser des attributs différents pour les noms de compte, les noms de groupes ou pour différencier les comptes et les groupes. L'option Profil vous permet de spécifier ou de personnaliser la manière dont les informations sur les utilisateurs et les groupes sont mappées avec les attributs LDAP. Vous pouvez sélectionner l'un des profils suivants en fonction de votre serveur LDAP :

Avant de personnaliser les mappages d'attributs LDAP, vous avez besoin de quelques connaissances de base. Synology DSM et l'éditeur de Profil adhèrent à la norme RFC 2307. Par exemple, vous pouvez spécifier filter > passwd en tant que userFilter, auquel cas le DiskStation interprétera les enregistrements à l'aide de objectClass=userFilter sur votre serveur LDAP comme des comptes LDAP. Si vous spécifiez passwd > uid comme username, le DiskStation interprétera username sur votre serveur LDAP comme un nom de compte. Si le mappage est laissé vide, les règles RFC 2307 s'appliqueront.

DiskStation requiert un nombre entier fixe pour faire office d'identifiant de compte LDAP (uidNumber) ou d'identifiant de groupe (gidNumber). Cependant, certains servers LDAP n'utilisent pas les nombres entiers pour représenter ces attributs. Par conséquent, un mot-clé HASH() est fourni pour convertir ces attributs en nombres entiers. Par exemple, votre serveur LDAP peut utiliser l'attribut userid avec une valeur hexadécimale en tant qu'identifiant unique pour un compte LDAP. Dans ce cas, vous pouvez définir passwd > uidNumber sur HASH(userid), et le DiskStation le convertira alors en un nombre entier.

Ce qui suit est un résumé des attributs personnalisables :

À propos du changement UID/GID

Pour éviter les conflits entre les utilisateurs/groupes LDAP et les utilisateurs/groupes locaux, vous pouvez activer le changement UID/GID des utilisateurs/groupes LDAP par 1000000. Cette option est uniquement pour les serveurs LDAP qui sont des serveurs LDAP non Synology et qui ont un attribut numérique unique pour chaque utilisateur/groupe.

À propos de l'extension de groupes imbriqués

Dans un groupe imbriqué, un membre du groupe LDAP appartient à un autre groupe LDAP où est représentée la structure d'une organisation. Lorsque des utilisateurs recherchent à quel groupe appartient un membre spécifique ou la liste des noms d'un groupe spécifique, DiskStation étend un groupe imbriqué en fonction des attributs membre du groupe LDAP, où le DN (Distinguished Name) d'un groupe enfant est référencé par son attribut. L'extension d'un groupe imbriqué peut prendre beaucoup de temps dans différentes circonstances, par exemple lorsque le serveur n'indexe pas l'attribut membre ou si le groupe est imbriqué en profondeur. Vous pouvez choisir de ne pas étendre un groupe imbriqué afin d'éviter cette occurrence.

À propos des certificats client

Nous prenons en charge l'utilisation d'un certificat client. Certains serveurs LDAP spécifiques, par exemple Google LDAP, utilisent des certificats pour authentifier les clients. Vous pouvez télécharger le certificat client après avoir coché l'option Activer le certificat client.

Remarque :

Cette fonction est prise en charge sous DSM 6.2.2 et les versions ultérieures.