LDAP

LDAP consente alla DiskStation di unire un servizio directory esistente come client LDAP e di recuperare le informazioni dell'utente o gruppo da un server LDAP (o "directory server"). È possibile gestire i privilegi di accesso agli utenti o gruppi LDAP alle applicazioni DSM e cartelle condivise, come con gli utenti o gruppi DSM locali. Per maggiori informazioni sul LDAP, fare riferimento qui.

lo standard LDAP supportato è LDAP versione 3 (RFC 2251).

Per unire DiskStation a un servizio directory:

  1. Andare su Pannello di controllo > Domino/LDAP.
  2. Andare alla scheda LDAP e selezionare Abilita client LDAP.
  3. Inserire l'indirizzo IP o il nome dominio del server LDAP nel campo Indirizzo server LDAP.
  4. Scegliere un tipo di crittografia nel menu a discesa Crittografia per crittografare la connessione LDAP al server LDAP.
  5. Inserire il Base DN del server LDAP nel campo Base DN.
  6. Selezionare il Profilo corretto in base al proprio server LDAP. Ad esempio, scegliere Standard se si utilizza Synology LDAP Server o Mac Open Directory.
  7. Per consentire agli utenti di un server LDAP che non supporta Samba di accedere ai file DiskStation tramite CIFS, spuntare Abilitare l'autenticazione password come testo non crittografato CIFS. Consultare la sezione di seguito per verificare che gli utenti LDAP possano utilizzare i rispettivi computer per accedere ai file della DiskStation tramite CIFS.
  8. Fare clic su Applica.
  9. Inserire il Bind DN (o account amministratore LDAP) e la password nei campi, quindi fare clic su OK.

Informazioni sul supporto CIFS e le impostazioni dei computer client

Dopo avere attivato l'autenticazione della password come testo non crittografato CIFS, gli utenti LDAP potrebbero dover modificare le impostazioni dei computer per poter accedere ai file della DiskStation tramite CIFS:

Per modificare le impostazioni di Windows:

  1. Andare su Start > Esegui, digitare regedit, quindi fare clic su OK per aprire l'editor del Registro di sistema.
  2. A seconda della versione di Windows, trovare o creare il seguente registro:
    • Windows 2000, XP, Vista, e Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 e Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Creare o modificare il valore DWORD EnablePlainTextPassword e cambiarne i dati del valore da 0 a 1.
  4. Riavviare Windows per rendere effettive le modifiche.

Per modificare le impostazioni di Mac OS X:

  1. Andare su Applicazioni > Utilità per aprire Terminal.
  2. Creare un file vuoto /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Aprire /etc/nsmb.conf con vi:
    sudo vi /etc/nsmb.conf
  4. Digitare "i" per inserire il testo e incollare quanto segue:
    [default]
    minauth=none
  5. Premere il tasto Esc e digitare "ZZ" per salvare le modifiche e uscire da vi.

Per modificare le impostazioni di Linux:

Se si utilizza smbclient, aggiungere le seguenti chiavi nella sezione [global] di smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Se si sta utilizzando mount.cifs eseguire il seguente comando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Per maggiori informazioni, fare riferimento a https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Informazioni sui profili

Server LDAP diversi possono usare attributi diversi per nomi account, nomi gruppo o per distinguere tra account e gruppi. L'opzione Profilo consente di specificare o personalizzare come le informazioni utente e gruppo sono mappate agli attributi LDAP. È possibile selezionare uno dei profili seguenti in base al server LDAP in uso:

Per personalizzare le mappature dell'attributo LDAP, è necessarie disporre di alcune conoscenze di base. Synology DSM e l'editor Profilo aderiscono a RFC 2307. Ad esempio, è possibile specificare filter > passwd come userFilter, nel cui caso DiskStation interpreterà le registrazioni con objectClass=userFilter sul server LDAP come account LDAP. Se si specifica passwd > uid come username, il DiskStation interpreterà username sul server LDAP come nome account. Lasciando la mappatura vuota, saranno applicate le regole RFC 2307.

DiskStation richiede un valore intero fisso da utilizzare come identificatore di account LDAP (uidNumber) o identificatore di gruppo (gidNumber). Tuttavia, non tutti i server LDAP utilizzano valori interi per rappresentare tali attributi. Quindi, una parola chiave HASH() è fornita per convertire tali attributi a valori interi. Ad esempio, il server LDAP può utilizzare l'attributo userid con un valore esadecimale come identificatore unico per un account LDAP. In questo caso, è possibile impostare passwd > uidNumber su HASH(userid) e quindi DiskStation lo convertirà a un valore intero.

Di seguito un riepilogo degli attributi personalizzabili:

Informazioni sul passaggio UID/GID

Per evitare conflitti UID/GID tra utenti/gruppi LDAP e utenti/gruppi locali, è possibile abilitare il passaggio UID/GID per impostare l'UID/GID degli utenti/gruppi LDAP in 1000.000. Questa opzione è valida solo per server LDAP non Synology e che dispongono di un ID numerico unico attribuito a ciascun utente/gruppo.

Informazioni sull'espansione di gruppo nidificata

In un gruppo nidificato, un membro del gruppo LDAP appartiene a un altro gruppo LDAP, in cui viene rappresentata la gerarchia di un'organizzazione. Quando gli utenti ricercano il gruppo di appartenenza di uno specifico membro o l'elenco di nomi di un gruppo specifico, DiskStation espande un gruppo nidificato in base agli attributi member del gruppo LDAP, in cui il DN (Distinguished Name) di un gruppo child è indicato mediante l'attributo. L'espansione di un gruppo nidificato può richiedere molto tempo, a seconda delle circostante, es. se il server non indicizza l'attributo member oppure se il gruppo è nidificato in profondità. Per evitare che si verifichino queste condizioni, è possibile scegliere di non espandere un gruppo nidificato.

Informazioni sui certificati client

L'uso del certificato client è supportato. Alcuni server LDAP specifici, es. Google LDAP, usare i certificati per autenticare i client. È possibile caricare il certificato client dopo avere spuntato l'opzione Abilita certificato client.

Nota:

questa funzione è supportata su DSM 6.2.2 o superiori.