LDAP

Met LDAP kunt u uw DiskStation aanmelden bij een aanwezige adreslijstservice als een LDAP-client. Vervolgens kunt u gebruikers- of groepsgegevens van een LDAP-server (of "directory server") ophalen. U kunt toegangsrechten van LDAP-gebruikers of -groepen voor DSM-toepassingen en gedeelde mappen instellen, net als bij lokale DSM-gebruikers of -groepen. Meer informatie over LDAP vindt u hier.

De ondersteunde LDAP-standaard is LDAP-versie 3 (RFC 2251).

Uw DiskStation aan directory-service toevoegen:

  1. Ga naar Configuratiescherm > Domein/LDAP.
  2. Ga naar het tabblad LDAP en schakel het selectievakje LDAP-client inschakelen in.
  3. Voer het IP-adres of domeinnaam van de LDAP-server in bij het veld LDAP-serveradres.
  4. Kies een coderingstype in de keuzelijst Codering om de LDAP-verbinding met de LDAP-server te versleutelen.
  5. Voer in het veld Base DN de Base DN van de LDAP-server in.
  6. Selecteer het geschikte Profiel in overstemming met uw LDAP-server. Bijvoorbeeld: selecteer Standaard als u Synology LDAP Server of Mac Open Directory gebruikt.
  7. Schakel het selectievakje CIFS-platte tekst wachtwoordverificatie inschakelen in zodat gebruikers van een LDAP-server die geen Samba-schema ondersteunt via CIFS toegang krijgen tot DiskStation. Zie onderstaande sectie om te verzekeren dat LDAP-gebruikers via hun computer via CIFS toegang hebben tot bestanden op DiskStation.
  8. Klik op Toepassen.
  9. Voer Bind DN (of LDAP administrator-account) en het wachtwoord in de velden in en klik vervolgens op OK.

Info over CIFS-ondersteuning en de instellingen van de clientcomputer

Na het inschakelen van CIFS-platte tekst wachtwoordverificatie moeten LDAP-gebruikers eventueel de instellingen van hun computer aanpassen zodat ze via CIFS toegang krijgen tot bestanden op DiskStation:

Om de Windows-instellingen te wijzigen:

  1. Ga naar Start > Uitvoeren, voer in het veld regedit in en klik op OK om de Register-editor te openen.
  2. Afhankelijk van uw Windows-versie, zoekt of maakt u het volgende:
    • Windows 2000, XP, Vista en Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 en Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Maak of verander de DWORD-waarde EnablePlainTextPassword en wijzig de waarde van 0 in 1.
  4. Start Windows opnieuw op om de wijziging te activeren.

Om Mac OS X-instellingen aan te passen:

  1. Ga naar Toepassingen > Hulpprogramma's om Terminal te openen.
  2. Maak een leeg bestand /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Open /etc/nsmb.conf met vi:
    sudo vi /etc/nsmb.conf
  4. Voer "i" in om tekst te bewerken en plak de volgende tekst:
    [default]
    minauth=none
  5. Druk op de Esc-toets en voer "ZZ" in om de wijzigingen op te slaan en vi te sluiten.

Om Linux-instellingen aan te passen:

Als u smbclient gebruikt, voegt u de volgende sleutels toe in het gedeelte [global] van smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Als u mount.cifs gebruikt, voer dan de volgende opdracht uit:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Voor meer informatie zie https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Over profielen

Verschillende LDAP-servers kunnen verschillende kenmerken gebruiken voor accountnamen, groepnamen of om accounts en groepen te onderscheiden. Met de optie Profiel kunt u aangeven of aanpassen hoe gebruikers- en groepsinformatie worden toegewezen aan LDAP-kenmerken. Afhankelijk van uw LDAP-server kunt u een van de volgende profielen selecteren:

Het aanpassen van LDAP-kenmerktoewijzingen vereist enige basiskennis. Synology DSM en de Profiel-editor volgen RFC 2307. U kunt bijvoorbeeld filter > passwd als userFilter toewijzen waardoor DiskStation records met objectClass=userFilter op uw LDAP-server interpreteert als LDAP-accounts. Specificeert u passwd > uid als username dan zal DiskStation de record username op uw LDAP-server interpreteren als accountsnaam. Door de toewijzing leeg te laten worden de RFC 2307-regels van toepassing.

DiskStation vereist een vaste integer (gehele getal) die als een LDAP-account-id (uidNumber) of een groeps-id (gidNumber) fungeert. Maar niet alle LDAP-servers gebruiken integers (gehele getallen) om dergelijke kenmerken te vertegenwoordigen. Daarom bestaat een trefwoord HASH() om dergelijke kenmerken in integers om te zetten. Zo kan bijvoorbeeld uw LDAP-server het kenmerk userid met een hexadecimale waarde gebruiken als unieke id voor een LDAP-account. In dit geval kunt u passwd > uidNumber instellen op HASH(userid) en vervolgens zal DiskStation het omzetten naar een integer.

Hieronder vindt u een samenvatting van eigenschappen die kunnen worden aangepast:

Over UID/GID-verschuiving

Om UID/GID-conflicten tussen LDAP-gebruikers/groepen te voorkomen, kunt u UID/GID-verschuiving inschakelen om de UID/GID van LDAP-gebruikers/groepen bij 1000000 te verschiven. Deze optie is alleen beschikbaar voor LDAP-servers die non-Synology LDAP-servers zijn en een uniek numeriek ID-attribuut voor elke gebruiker/groep hebben.

Over geneste groepsuitbreiding

In een geneste groep behoort een LDAP-groepslid tot een andere LDAP-groep waar de hiërarchie van een organisatie wordt weergegeven. Wanneer gebruikers willen weten tot welke groep een bepaald lid behoort of de naamlijst van een specifieke groep zal DiskStation een geneste groep uitvouwen naargelang de attributen van het lid van de LDAP-groep, waarbij de DN (Distinguished Name) van een child-groep op attribuut wordt aangeduid. De uitbreiding van een geneste groep kan onder bepaalde omstandigheden erg tijdsintensief zijn, bijv. bij servers waarbij leden niet op attribuut worden geïndexeerd of de groep diep genest is. Om dit te voorkomen kunt u ervoor kiezen om een geneste groep niet uit te breiden.

Over clientcertificaten

Wij ondersteunen het gebruik van clientcertificaten. Sommige LDAP-servers, bijv. Google LDAP, gebruiken certificaten om clients te verifiëren. U kunt het clientcertificaat uploaden nadat u het selectievakje van optie Clientcertificaat inschakelen hebt ingeschakeld.

Opmerking:

deze functie wordt ondersteund op DSM 6.2.2 of hoger.