O LDAP permite que seu DiskStation participe de um serviço de diretório existente como um cliente LDAP e recupere informações do usuário e do grupo de um servidor LDAP (ou "directory server"). Você pode gerenciar os privilégios de acesso dos usuários ou grupos do LDAP para aplicativos DSM e pastas compartilhadas, do mesmo modo que você faria com usuários ou grupos locais de DSM. Para obter mais informações sobre o LDAP, consulte aqui.
O padrão LDAP suportado é o LDAP versão 3 (RFC 2251).
Depois que a autenticação de senha sem formatação CIFS for habilitada, os usuários do LDAP talvez precisem modificar as configurações de seus computadores para poder acessar os arquivos do DiskStation através do CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Se o smbclient estiver sendo usado, adicione as chaves a seguir na seção [global] do smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Se estiver usando o mount.cifs execute o comando a seguir:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Diferentes servidores LDAP podem usar diferentes atributos para nomes de conta e de grupo, ou para diferenciar contas de grupos. A opção Perfil permite especificar ou personalizar como as informações do usuário e do grupo são mapeadas para os atributos do LDAP. Um dos seguintes perfis pode ser selecionado dependendo do seu servidor LDAP:
Antes de personalizar os mapeamentos do atributo LDAP, você precisa de um conhecimento básico. O Synology DSM e o editor do Perfil seguem o RFC 2307. Por exemplo, você pode especificar filter > passwd como userFilter, e nesse caso o DiskStation interpreta os registros com objectClass=userFilter no seu servidor LDAP como contas LDAP. Se você especificar passwd > uid como username, o DiskStation interpreta username no seu servidor LDAP como um nome de conta. Deixar o mapeamento vazio aplica as regras RFC 2307.
O DiskStation exige que um número inteiro fixo sirva como identificador da conta LDAP (uidNumber) ou identificador de grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representar esses atributos. Portanto, uma palavra-chave HASH() é fornecida para converter esses atributos em inteiros. Por exemplo, seu servidor LDAP pode usar o atributo userid com um valor hexadecimal como identificador único de uma conta LDAP. Neste caso, você pode configurar passwd > uidNumber como HASH(userid), e o DiskStation irá convertê-lo em um inteiro.
A seguir está um resumo dos atributos personalizáveis:
Para evitar conflitos UID/GID entre usuários/grupos LDAP e usuários/grupos locais, você pode habilitar a mudança UID/GID para mudar o UID/GID dos usuários/grupos LDAP por 1000000. Essa opção é apenas para servidores LDAP que não são servidores Synology LDAP e têm um atributo de ID numérico exclusivo para cada usuário/grupo.
Em um grupo aninhado, um membro do grupo LDAP pertence a outro grupo LDAP, em que a hierarquia de uma organização é representada. Quando os usuários procurarem a qual grupo um membro específico pertence ou a lista de nomes de um grupo específico, o DiskStation expandirá um grupo aninhado de acordo com os atributos member do grupo LDAP, em que o DN (nome diferenciado) de um grupo filho é referenciado pelo atributo. A expansão de um grupo aninhado pode ser muito demorada dependendo das circunstâncias: por exemplo, quando o servidor não indexa o atributo membro ou o grupo está aninhado muito profundamente. Você pode optar por não expandir um grupo aninhado para evitar que isso ocorra.