LDAP

Protokol LDAP umožňuje zařízení DiskStation připojit se ke stávající adresářové službě jako klienta LDAP a následně ze serveru LDAP (neboli „adresářového serveru“) načíst informace o uživatelích nebo skupinách. Spravovat je možné přístupová oprávnění uživatelů nebo skupin LDAP k aplikacím a sdíleným složkám systému DSM, stejně jako byste postupovali u místních uživatelů nebo skupin systému DSM. Další informace o protokolu LDAP se nacházejí pod tímto odkazem.

Podporovaný standard LDAP je LDAP verze 3 (RFC 2251).

Připojení zařízení DiskStation k adresářové službě:

  1. Přejděte do nabídky Ovládací panel > Doména/LDAP.
  2. Přejděte na kartu LDAP a zaškrtněte možnost Povolit klienta LDAP.
  3. Do pole Adresa serveru LDAP zadejte IP adresu nebo název domény serveru LDAP.
  4. V rozevírací nabídce Šifrování zvolte typ šifrování připojení LDAP k serveru LDAP.
  5. Do pole Base DN zadejte hodnotu Base DN serveru LDAP.
  6. Podle toho, jaký máte server LDAP, vyberte patřičný Profil. Například pokud používáte servery Synology LDAP Server nebo Mac Open Directory, zvolte možnost Standardní.
  7. Pokud chcete uživatelům serveru LDAP, který nepodporuje schéma Samba, povolit přístup k souborům zařízení DiskStation prostřednictvím systému CIFS, zaškrtněte možnost Povolit ověření hesla CIFS pomocí prostého textu. V části níže se nachází postup, jak zajistit, aby uživatelé LDAP mohli své počítače používat k úspěšnému přístupu k souborům na zařízení DiskStation prostřednictvím systému CIFS.
  8. Klikněte na možnost Použít.
  9. Zadejte do příslušných hodnotu Bind DN (nebo účet správce LDAP) a heslo a poté klikněte na možnost OK.

O podpoře systému CIFS a nastavení klientských počítačů

Po povolení ověření hesla CIFS pomocí prostého textu bude možná nutné, aby uživatelé LDAP upravili nastavení svých počítačů tak, aby mohli mít přístup k souborům v zařízení DiskStation prostřednictvím systému CIFS:

Úprava nastavení systému Windows:

  1. Přejděte k možnosti Start > Spustit, zadejte do pole text regedit a potom kliknutím na tlačítko OK otevřete Editor registru.
  2. Podle verze systému Windows najděte nebo vytvořte následující registr:
    • Windows 2000, XP, Vista a Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 a Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Vytvořte nebo upravte hodnotu DWORD EnablePlainTextPassword a změňte její hodnotu z 0 na 1.
  4. Aby se změna uplatnila, je nutné systém Windows restartovat.

Úprava nastavení systému Mac OS X:

  1. Přejděte do části Applicatons (Aplikace) > Utilities (Nástroje) a otevřete část Terminal.
  2. Vytvořte prázdný soubor /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Otevřete soubor /etc/nsmb.conf pomocí editoru vi:
    sudo vi /etc/nsmb.conf
  4. Stiskněte klávesu „i“, abyste mohli zadávat text, a vložte následující text:
    [default]
    minauth=none
  5. Stiskněte klávesu Esc a potom zadejte „ZZ“ (velkými písmeny), tím změny uložíte a editor vi ukončíte.

Úprava nastavení systému Linux:

Pokud používáte klienta smbclient, doplňte do oddílu [global] souboru smb.conf následující klíče:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Pokud používáte soubor mount.cifs, spusťte následující příkaz:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Další informace se nacházejí na adrese https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

O profilech

Různé servery LDAP mohou používat pro názvy účtů, pro názvy skupin nebo k rozlišení účtů a skupin různé atributy. Možnost Profil umožňuje stanovit či upravit, jak se informace o uživateli a skupině vůči atributům LDAP mapuje. Podle toho, jaký máte server LDAP, je možné vybrat jeden z následujících profilů:

Před úpravou mapování atributů LDAP budete potřebovat určité znalosti pozadí. Systém Synology DSM a editor profilů oba splňují normu RFC 2307. Například je možné jako hodnotu userFilter stanovit filter > passwd, takže zařízení DiskStation bude záznamy s výrazem objectClass=userFilter na serveru LDAP interpretovat jako účty LDAP. Pokud jako hodnotu username nastavíte výraz passwd > uid, bude zařízení DiskStation interpretovat proměnnou username na serveru LDAP jako název účtu. Pokud zanecháte mapování prázdné, použijí se pravidla RFC 2307.

Zařízení DiskStation vyžaduje, aby jako identifikátor účtu LDAP (uidNumber) nebo identifikátor skupiny (gidNumber) sloužilo fixní celé číslo. Ne všechny servery LDAP však používají k reprezentaci takovýchto atributů celá čísla. Proto se kvůli převodu takovýchto atributů na celá čísla používá klíčové slovo HASH(). Například server LDAP může jako jedinečný identifikátor účtu LDAP využívat atribut userid s šestnáctkovou hodnotou. V tomto případě je možné nastavit výraz passwd > uidNumber na hodnotu HASH(userid). Zařízení DiskStation ho poté převede na celé číslo.

Následuje shrnutí upravitelných atributů:

O posunu UID/GID

Aby nedocházelo ke konfliktům UID/GID mezi uživateli/skupinami LDAP a místními uživateli/skupinami, je možné povolit posun UID/GID uživatelů/skupin LDAP o 1000000. Tato možnost je určena pouze pro jiné servery LDAP než Synology a má jedinečný číselný atribut ID pro každého uživatele/skupinu.

O rozšíření vnořených skupin

Ve vnořené skupině patří člen skupiny LDAP do jiné skupiny LDAP představující hierarchii organizace. Když uživatelé vyhledávají, do které skupiny patří určitý člen, nebo vyhledávají seznam jmen v určité skupině, provede zařízení DiskStation rozbalení vnořené skupiny podle atributů člen skupiny LDAP, kde se na rozlišující název (DN) podřízené skupiny odkazuje tímto atributem. Rozbalení vnořené skupiny může být za určitých okolností časově velice náročné, například v situaci, kdy server neindexuje atribut člen nebo je skupina hluboce vnořená. Aby k tomu nedocházelo, můžete se rozhodnout vnořenou skupinu nerozbalovat.

Informace o certifikátech klienta

Podporujeme používání certifikátu klienta. Některé specifické servery LDAP, například Google LDAP, používají certifikáty k ověřování klientů. Po zaškrtnutí možnosti Povolit certifikát klienta můžete certifikát klienta odeslat.

Poznámka:

Tato funkce je podporována v systému DSM 6.2.2 a novějších verzích.