LDAP

Med LDAP kan din DiskStation anslutas till en befintlig katalogtjänst som en LDAP-klient och sedan hämta användar- eller gruppinformation från en LDAP-server (eller ”directory server”). Du kan hantera LDAP-användares eller -gruppers åtkomstprivilegier till DSM-program och delade mappar precis som du skulle göra med lokala DSM-användare eller -grupper. För mer information om LDAP, vänligen se här.

Den LDAP-standard som stöds är LDAP version 3 (RFC 2251).

Ansluta DiskStation till en katalogtjänst:

  1. Gå till Kontrollpanel > Katalogtjänst
  2. Gå till fliken LDAP och markera Aktivera LDAP-klient.
  3. Ange IP-adressen eller domännamnet för LDAP-servern i fältet LDAP serveradress.
  4. Välj en krypteringstyp ur rullgardinsmenyn Kryptering för att kryptera LDAP-anslutningen till LDAP-servern.
  5. Ange Base DN för LDAP-servern i fältet Base DN.
  6. Välj lämplig Profil, beroende på din LDAP-server. Till exempel, välj Standard om du använder Synology Directory Server eller Mac Open Directory.
  7. För att låta användare av en LDAP-server som inte har stöd för Samba-schema komma åt filer på DiskStation via CIFS, markera Aktivera autentisering med lösenord i textformat för CIFS. Se avsnittet här nedanför, för att säkerställa att LDAP-användare kan använda sina datorer för att komma åt filer på DiskStation via CIFS.
  8. Klicka på Tillämpa.
  9. Ange Bind DN (eller LDAP administrator-konto) och lösenordet i fälten och klicka sedan på OK.

Om CIFS-stöd och klientdatorns inställningar

När stöd för autentisering med lösenord i textformat för CIFS är aktiverat kan LDAP-användare behöva ändra datorns inställningar för att kunna komma åt filer på DiskStation via CIFS:

Ändra Windows-inställningarna:

  1. Gå till Start > Kör, skriv regedit i fältet och klicka sedan på OK för att öppna Registereditorn.
  2. Beroende på vilken Windows-version du har kan du hitta eller skapa följande register:
  3. Skapa eller ändra DWORD-värdet EnablePlainTextPassword och ändra dess värdedata från 0 till 1.
  4. Starta om Windows för att ändringen ska börja gälla.

Ändra Mac OS X-inställningarna:

  1. Gå till Applikationer > Verktyg för att öppna Terminal.
  2. Skapa en tom fil /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
    
  3. Öppna /etc/nsmb.conf med vi:
    sudo vi /etc/nsmb.conf
    
  4. Skriv ”i” för att infoga text och klistra in följande:
    [default]
    
minauth=none
  5. Tryck på Esc-tangenten och skriv sedan ”ZZ” för att spara ändringarna och avsluta vi.

Ändra Linux-inställningarna:

Om du använder smbclient, vänligen lägg till följande nycklar i avsnittet [global] i smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Om du använder mount.cifs, kör det följande kommandot:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

För mer information, vänligen se https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Om profiler

Olika LDAP-servrar kan använda olika attribut för kontonamn, gruppnamn eller för att skilja mellan konton och grupper. Alternativet Profil låter dig specificera eller anpassa hur information om användare och grupper mappas till LDAP-attribut. En av följande profiler kan väljas, beroende på din LDAP-server:

Innan du anpassar mappning för LDAP-attribut, behöver du lite bakgrundsinformation. Synology DSM och Profil-redigeraren, hör båda till RFC 2307. Till exempel kan du specificera filter > passwd som userFilter, då kommer DiskStation att tolka poster med objectClass=userFilter på din LDAP-server som LDAP-konton. Om du specificerar passwd > uid som användarnamn, kommer DiskStation tolka användarnamn på din LDAP-server som ett kontonamn. Att lämna mappningen tom gör att reglerna RFC 2307 tillämpas.

DiskStation behöver ett fast heltal som fungerar som identifierare för LDAP-konto (uidNumber) eller en identifierar för gruppen (gidNumber). Det är dock inte alla LDAP-servrar som använder heltal för att representera sådana attribut. Därför tillhandahålls ett nyckelord HASH() för att konvertera dylika attribut till heltal. Till exempel, kan din LDAP-server använda attributet userid med ett hexadecimalt värde som den unika identifieraren för ett LDAP-konto. I detta fall kan du ställa in passwd > uidNumber till HASH(userid) och DiskStation kommer att konvertera den till en integer.

Följande är en sammanfattning av anpassningsbara attribut:

Om UID/GID-byte

För att undvika konflikter för UID/GID mellan LDAP-användare/–grupper och lokala användare/grupper kan du aktivera UID/GID-byte för att byta UID/GID för LDAP-användare/-grupper om 1000000. Det här alternativet är bara för LDAP-servrar som är inte är Synology LDAP-servrar och har ett unikt numeriskt ID-attribut för varje användare/grupp.

Nästlad utökning av grupper

I en nästlad grupp tillhör en medlem av en LDAP-grupp en annan LDAP-grupp där det finns en hierarkisk organisation representerad. När användare slår upp vilken grupp en specifik medlem tillhör eller namnlistan för en specifik grupp, expanderar DiskStation en nästlad grupp i enlighet med attributet medlem för LDAP-gruppen, där unikt namn (DN, Distinguished Name) för en underordnad grupp anges av attributet. Utökningen av en nästlad grupp kan ta mycket tid i anspråk under olika förhållanden, t.ex. där servern inte indexerar attributet medlem eller gruppen är djupt nästlad. Du kan välja att inte utöka en nästlad grupp för att förhindra att det inträffar.