LDAP ermöglicht es der DiskStation, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Berechtigungen von LDAP-Benutzern oder -Gruppen für den Zugriff auf DSM-Anwendungen und freigegebene Ordner verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen zu LDAP finden Sie hier.
Beim unterstützten LDAP-Standard handelt es sich um LDAP Version 3 (RFC 2251).
Nachdem die CIFS-Klartext-Kennwort-Authentifizierung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien der DiskStation zugreifen zu können:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Wenn Sie smbclient verwenden, fügen Sie die folgenden Schlüssel in den Bereich [global] von smb.conf ein:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Wenn Sie mount.cifs verwenden, führen Sie den folgenden Befehl aus:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder zwischen Konten und Gruppen unterscheiden. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppeninformationen den LDAP-Attributen zugeordnet werden. Je nach LDAP-Server kann eines der folgenden Profile ausgewählt werden:
Bevor Sie die LDAP-Attributzuordnungen anpassen, benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor entsprechen RFC 2307. Zum Beispiel können Sie filter > passwd als userFilter festlegen, dann interpretiert die DiskStation Datensätze mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert die DiskStation den Benutzernamen auf Ihrem LDAP-Server als Kontonamen. Bleibt die Zuordnung leer, gelten die RFC 2307-Regeln.
Die DiskStation benötigt eine feste Ganzzahl als LDAP-Konto-ID (uidNumber) oder Gruppen-ID (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() bereitgestellt, um solche Attribute in Ganzzahlen umzuwandeln. Ihr LDAP-Server könnte beispielsweise das Attribut userid mit einem Hexadezimalwert als eindeutige ID für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) einstellen, dann wandelt die DiskStation das Attribut in eine Ganzzahl um.
Es folgt eine Zusammenfassung der anpassbaren Attribute:
Um UID/GID-Konflikte zwischen LDAP-Benutzern/-Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID von LDAP-Benutzern/-Gruppen um 1000000 zu verschieben. Diese Option gilt nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribute für jede(n) Benutzer/Gruppe besitzen.
In einer verschachtelten Gruppe gehört ein LDAP-Gruppenmitglied zu einer anderen LDAP-Gruppe, wodurch die Hierarchie einer Organisation dargestellt ist. Wenn Benutzer wissen möchten, zu welcher Gruppe ein bestimmtes Mitglied gehört, oder die Namensliste einer bestimmten Gruppe wissen möchten, erweitert die DiskStation eine verschachtelte Gruppe gemäß dem Attribut member der LDAP-Gruppe, wobei der DN (eindeutige Name) einer untergeordneten Gruppe vom Attribut referenziert wird. Die Erweiterung einer verschachtelten Gruppe kann in bestimmten Fällen sehr zeitaufwändig sein, z. B. wenn der Server das Attribut member nicht indiziert oder die Gruppe stark verschachtelt ist. Sie können wählen, eine verschachtelte Gruppe unter solchen Umständen nicht zu erweitern.
Wir unterstützen die Verwendung von Client-Zertifikaten. Einige LDAP-Server, z. B. Google LDAP, verwenden Zertifikate für die Authentifizierung von Clients. Sie können das Client-Zertifikat hochladen, nachdem Sie ein Häkchen bei der Option Client-Zertifikat aktivieren gesetzt haben.
Diese Funktion wird ab DSM 6.2.2 unterstützt.