LDAP umożliwia DiskStation dołączenie do istniejącej usługi katalogowej jako klient LDAP, a następnie pobranie informacji o użytkowniku lub grupie z serwera LDAP (lub „directory server”). Użytkownik może zarządzać uprawnieniami dostępu użytkowników lub grup LDAP do aplikacji DSM i folderów współdzielonych podobnie jak w przypadku lokalnych użytkowników lub grup DSM. Więcej informacji na temat uwierzytelniania LDAP można znaleźć tutaj.
Obsługiwany standard LDAP to LDAP wersja 3 (RFC 2251).
Po włączeniu uwierzytelnienia za pomocą hasła w postaci zwykłego tekstu CIFS od użytkowników LDAP może być wymagana modyfikacja ustawień komputera w celu uzyskania dostępu do plików urządzenia DiskStation za pośrednictwem CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Jeśli korzystasz z smbclient, dodaj następujące wpisy w sekcji [global] pliku smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Jeśli korzystasz z mount.cifs, wpisz poniższe polecenie:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Szczegółowe informacje znajdziesz pod adresem https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README.
Poszczególne serwery LDAP mogą korzystać z różnych atrybutów dla nazw kont i nazw grup bądź też w celu rozróżnienia kont i grup. Opcja Profil umożliwia określenie lub skonfigurowanie sposobu, w jaki informacje o użytkowniku i grupie są mapowane do atrybutów LDAP. W zależności od używanego serwera LDAP można wybrać jeden z poniższych profili:
Przed konfiguracją atrybutów mapowania LDAP użytkownik powinien posiąść podstawową wiedzę w tym zakresie. System Synology DSM i edytor Profili są zgodne ze standardem RFC 2307. Użytkownik może określić filter > passwd jako userFilter, dzięki czemu DiskStation będzie interpretować zapisy za pomocą objectClass=userFilter na serwerze LDAP jako konta LDAP. Jeśli określisz passwd > uid jako username, DiskStation będzie interpretować username na serwerze LDAP jako nazwę konta. Pozostawienie pustych opcji mapowania spowoduje zastosowanie zasad standardu RFC 2307.
DiskStation wymaga stałej liczby całkowitej, która będzie służyć jako identyfikator konta LDAP (uidNumber) lub identyfikator grupy (gidNumber). Jednak nie wszystkie serwery LDAP używają liczb całkowitych jako takich atrybutów. Dlatego też słowo kluczowe HASH() może być użyte do konwertowania atrybutów na liczby całkowite. Na przykład serwer LDAP może używać atrybutu userid o wartości szesnastkowej jako unikatowego identyfikatora dla konta LDAP. W takim przypadku użytkownik może ustawić passwd > uidNumber na HASH(userid), po czym DiskStation przekonwertuje wartość na liczbę całkowitą.
Poniżej znajduje się podsumowanie atrybutów, które można zmodyfikować:
Aby uniknąć konfliktów UID/GID pomiędzy użytkownikami/grupami LDAP i użytkownikami/grupami lokalnymi, można włączyć przesunięcie UID/GID w celu przesunięcia UID/GID dla użytkowników/grup serwera LDAP o 1 000 000. Ta opcja dotyczy tylko serwerów LDAP, które nie są serwerami LDAP firmy Synology i mają unikatowy, numeryczny atrybut identyfikatora ID dla każdego użytkownika/grupy.
W przypadku grupy osadzonej członek grupy LDAP należy do innej grupy LDAP, co odzwierciedla hierarchię organizacji. Gdy użytkownik szuka informacji, do której grupy należy dany członek, lub chce poznać listę nazw członków określonej grupy, serwer DiskStation rozwinie grupę osadzoną zgodnie z atrybutami member (członek) grupy LDAP, gdzie nazwa wyróżniająca DN (Distinguished Name) grupy podrzędnej posiada odniesienie związane z tym atrybutem. W niektórych okolicznościach rozwinięcie grupy osadzonej może zająć dużo czasu, np. jeśli serwer nie indeksuje atrybutu member lub grupa jest głęboko osadzona. Aby tego uniknąć, możesz zrezygnować z rozwijania grupy osadzonej.
Obsługujemy wykorzystanie certyfikatu klienta. Niektóre specyficzne serwery LDAP, np. Google LDAP, używają certyfikatów do uwierzytelniania klientów. Można przesłać certyfikat klienta po zaznaczeniu opcji Włącz certyfikat klienta .
Funkcja ta jest obsługiwana przez system DSM w wersji 6.2.2 lub wyżej.