LDAP

LDAP gør det muligt for din DiskStation at være med i en eksisterende bibliotekstjenestem som LDAP-klient og så hente bruger- eller gruppeoplysninger fra en LDAP-server (eller "directory server"). Du kan styre LDAP-brugeres eller -gruppers adgangsprivilegier til DSM-programmer og delte mapper, lige som du ville med lokale DSM-brugere eller grupper. Yderligere oplysninger om LDAP findes her.

Den understøttede LDAP-standard er LDAP-version 3 (RFC 2251).

Sådan tilmelder du DiskStation til en bibliotekstjeneste:

  1. Gå til Kontrolpanel > Katalogtjeneste
  2. Gå til fanen LDAP, og marker Aktiver LDAP-klient.
  3. Indtast IP-adressen eller domænenavnet for LDAP-serveren i feltet LDAP-serveradresse.
  4. Vælg en krypteringstype i rullemenuen Kryptering for at kryptere LDAP-forbindelsen med LDAP-serveren.
  5. Indtast Base DN for LDAP-serveren i feltet Base DN.
  6. Vælg den korrekte Profil, afhængigt af din LDAP-server. Vælg f.eks. Standard, hvis du bruger Synology Directory Server eller Mac Open Directory.
  7. Marker Aktiver CIFS-adgangskodegodkendelse med almindelig tekst for at give brugere af en LDAP-server, der ikke understøtter Samba-skemaet, adgang til DiskStation -filer via CIFS. Se nedenstående afsnit for at sikre, at LDAP-brugere kan bruge deres computere til at få adgang til DiskStation filer via CIFS.
  8. Klik på Anvend.
  9. Indtast Bind DN (eller LDAP-administratorkonto) og adgangskoden i felterne, og klik så på OK.

Om CIFS-support og indstillinger for klientcomputer

Når CIFS-adgangskodegodkendelse i almindelig tekst er aktiveret, skal LDAP-brugere måske ændre deres computeres indstillinger, så de kan få adgang til DiskStation filer via CIFS:

Sådan ændrer du Windows-indstillinger:

  1. Gå til Start > Kør, indtast regedit i feltet, og klik så på OK for at åbne registreringsdatabasens editor.
  2. Afhængigt af din Windows-version skal du finde eller oprette følgende registreringsdatabase:
  3. Opret eller ret DWORD-værdien EnablePlainTextPassword, og ret værdidataene fra 0 til 1.
  4. Genstart Windows for at ændringen skal træde i kraft.

Sådan ændrer du Mac OS X's indstillinger:

  1. Gå til Programmer > Hjælpeværktøjer for at åbne Terminal.
  2. Opret en tom fil /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
    
  3. Åbn /etc/nsmb.conf med vi:
    sudo vi /etc/nsmb.conf
    
  4. Indtast "i" for at indsætte tekst, og indsæt følgende:
    [standard]
    minauth=none
  5. Tryk på Esc-tasten, og indtast så "ZZ" for at gemme ændringer og afslutte vi.

Sådan ændrer du Linux-indstillingerne:

Hvis du bruger smbclient, skal du tilføje følgende nøgler i afsnittet [global] i smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Hvis du bruger mount.cifs, skal du udføre følgende kommando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Yderligere oplysninger findes under https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Om profiler

Forskellige LDAP-servere kan bruge forskellige attributter til kontonavne, gruppenavne eller til at skelne mellem konti og grupper. Valgmuligheden Profil sætter dig i stand til at specificere eller tilpasse, hvordan bruger- og gruppeoplysninger tilknyttes til LDAP-attributter. En af følgende profiler kan vælges, afhængigt af din LDAP-server:

Før LDAP-attributtilknytning tilpasses, skal du have lidt baggrundkendskab. Synology DSM og Profil-editoren overholder begge RFC 2307. Du kan f.eks. specificere filter > passwd som userFilter, hvorefter DiskStation vil fortolke records med objectClass=userFilter på din LDAP-server som LDAP-konti. Hvis du specificerer passwd > uid som username, vil DiskStation fortolke username på LDAP-serveren som et kontonavn. Hvis du lader tilknytning være tom, gælder RFC 2307-regler.

DiskStation kræver et fast heltal, der skal bruges som en LDAP-konto-id (uidNumber) eller en gruppe-id (gidNumber). IDog bruger ikke alle LDAP-servere heltal til at repræsenterer sådanne attributter. Derfor angives et søgeord HASH() til at konvertere sådanne attributter til heltal. Din LDSP-server kan dog f.eks. bruge attributten userid med en hexadecimalværdi som entydig id til en LDAP-konto. I det tilfælde kan du angive passwd > uidNumber til HASH(userid), og så vil DiskStation konvertere det til et heltal.

Her følger en oversigt over attributter, der kan tilpasses:

Om UID/GID-skifte

Undgå UID/GID-konflikter mellem LDAP-brugere/-grupper og lokale brugere/-grupper ved at aktivere UID/GID-skifte for at skifte UID/GID for LDAP-brugere/-grupper med 1.000.000. Denne mulighed er kun for LDAP-servere, som er ikke-Synology LDAP-servere og har en unik numerisk id-attribut for hver bruger/gruppe.

Om indlejret gruppeudvidelse

I en indlejret gruppe tilhører en LDAP-gruppe en anden LDAP-gruppe, hvor hierarkiet for en organisation er repræsenteret. Når brugere slår den gruppe op, som et bestemt medlem hører til, eller navnelisten for en bestemt gruppe, vil DiskStation udvide en indlejret gruppe i overensstemmelse med medlemsattributterne for LDAP-gruppen, hvor DN (Distinguished Name) for en underordnet gruppe refereres til af attributten. Udvidelsen af en indlejret gruppe kan være meget tidskrævende under forskellige betingelser, f.eks. hvor serven ikke indekserer medlemsattributten, eller gruppen er dybt indlejret. Du kan vælge ikke at udvide en indlejret gruppe for at forhindre den type forekomster.