Med LDAP kan din DiskStation anslutas till en befintlig katalogtjänst som en LDAP-klient och sedan hämta användar- eller gruppinformation från en LDAP-server (eller ”directory server”). Du kan hantera LDAP-användares eller -gruppers åtkomstprivilegier till DSM-program och delade mappar precis som du skulle göra med lokala DSM-användare eller -grupper. För mer information om LDAP, vänligen se här.
Den LDAP-standard som stöds är LDAP version 3 (RFC 2251).
När stöd för autentisering med lösenord i textformat för CIFS är aktiverat kan LDAP-användare behöva ändra datorns inställningar för att kunna komma åt filer på DiskStation via CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Om du använder smbclient, vänligen lägg till följande nycklar i avsnittet [global] i smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Om du använder mount.cifs, kör det följande kommandot:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
För mer information, vänligen se https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Olika LDAP-servrar kan använda olika attribut för kontonamn, gruppnamn eller för att skilja mellan konton och grupper. Alternativet Profil låter dig specificera eller anpassa hur information om användare och grupper mappas till LDAP-attribut. En av följande profiler kan väljas, beroende på din LDAP-server:
Innan du anpassar mappning för LDAP-attribut, behöver du lite bakgrundsinformation. Synology DSM och Profil-redigeraren, hör båda till RFC 2307. Till exempel kan du specificera filter > passwd som userFilter, då kommer DiskStation att tolka poster med objectClass=userFilter på din LDAP-server som LDAP-konton. Om du specificerar passwd > uid som användarnamn, kommer DiskStation tolka användarnamn på din LDAP-server som ett kontonamn. Att lämna mappningen tom gör att reglerna RFC 2307 tillämpas.
DiskStation behöver ett fast heltal som fungerar som identifierare för LDAP-konto (uidNumber) eller en identifierar för gruppen (gidNumber). Det är dock inte alla LDAP-servrar som använder heltal för att representera sådana attribut. Därför tillhandahålls ett nyckelord HASH() för att konvertera dylika attribut till heltal. Till exempel, kan din LDAP-server använda attributet userid med ett hexadecimalt värde som den unika identifieraren för ett LDAP-konto. I detta fall kan du ställa in passwd > uidNumber till HASH(userid) och DiskStation kommer att konvertera den till en integer.
Följande är en sammanfattning av anpassningsbara attribut:
För att undvika konflikter för UID/GID mellan LDAP-användare/–grupper och lokala användare/grupper kan du aktivera UID/GID-byte för att byta UID/GID för LDAP-användare/-grupper om 1000000. Det här alternativet är bara för LDAP-servrar som är inte är Synology LDAP-servrar och har ett unikt numeriskt ID-attribut för varje användare/grupp.
I en nästlad grupp tillhör en medlem av en LDAP-grupp en annan LDAP-grupp där det finns en hierarkisk organisation representerad. När användare slår upp vilken grupp en specifik medlem tillhör eller namnlistan för en specifik grupp, expanderar DiskStation en nästlad grupp i enlighet med attributet medlem för LDAP-gruppen, där unikt namn (DN, Distinguished Name) för en underordnad grupp anges av attributet. Utökningen av en nästlad grupp kan ta mycket tid i anspråk under olika förhållanden, t.ex. där servern inte indexerar attributet medlem eller gruppen är djupt nästlad. Du kan välja att inte utöka en nästlad grupp för att förhindra att det inträffar.