LDAP
Az LDAP lehetővé teszi, hogy a(z) DiskStation egy meglévő könyvtárszolgáltatáshoz csatlakozzon LDAP-kliensként, majd lekérje a felhasználói vagy csoportinformációkat az LDAP-szerverről (avagy „címtárszerverről”). Az LDAP felhasználóinak vagy csoportjainak DSM alkalmazásokhoz és megosztott mappákhoz való hozzáférési jogosultságait ugyanúgy kezelheti, mint a DSM helyi felhasználóiét vagy csoportjaiét. Az LDAP protokollról további információkat talál itt.
A támogatott LDAP-szabvány az LDAP 3-as verzió (RFC 2251).
A(z) DiskStation összekapcsolása egy könyvtárszolgáltatással:
- Lépjen a Vezérlőpult > Könyvtárszolgáltatás menüpontra

- Lépjen az LDAP lapra, ahol jelölje be az LDAP kliens engedélyezése jelölőnégyzetet.

- Adja meg az LDAP-szerver IP-címét vagy tartománynevét az LDAP-szerver címe mezőben.

- Válasszon titkosítási típust a Titkosítás legördülő menüből az LDAP-szerverhez való LDAP-kapcsolódás titkosításához.

- Adja meg az LDAP szerver Base DN-jét a Base DN mezőben.

- Válassza ki az LDAP-szervernek megfelelő Profil beállítást. Synology Directory Server vagy Mac Open Directory használata esetén például válassza a Normál lehetőséget.

- Amennyiben szeretné engedélyezni, hogy a Samba sémát nem támogató LDAP-szerver felhasználói is hozzáférhessenek a(z) DiskStation eszközön tárolt fájlokhoz CIFS-en keresztül, jelölj be a CIFS egyszerű szöveges jelszó-hitelesítés engedélyezése jelölőnégyzetet. Olvassa el az alábbi részt, ha engedélyezni szeretné, hogy az LDAP-felhasználók számítógépükről CIFS-en keresztül elérjék a(z) DiskStation fájljait.

- Kattintson az Alkalmaz gombra.
- Adja meg a Bind DN értéket (vagy az LDAP-rendszergazdai fiókot) és a jelszót a mezőkben, majd kattintson az OK gombra.

A CIFS támogatásról és a kliens számítógépének beállításairól
A CIFS egyszerű szöveges jelszó-hitelesítés engedélyezését követően előfordulhat, hogy az LDAP felhasználóinak módosítaniuk kell számítógépük beállítását, hogy CIFS-en keresztül elérhessék a(z) DiskStation fájljait:
- Amennyiben DiskStation eszköze csatlakozik egy Synology LDAP-szerver (vagy egy másik, a Directory Server csomagot futtató DiskStation eszköz) által biztosított könyvtárszolgáltatáshoz, illetve egy, a Samba sémát támogató LDAP-szerverhez, és az összes LDAP-felhasználó megfelelő sambaNTPassword attribútumokkal rendelkezik, az LDAP-felhasználók akkor is hozzáférhetnek a(z) DiskStation eszközön tárolt fájlokhoz, ha nem jelölték be a CIFS egyszerű szöveges jelszó-hitelesítés engedélyezése jelölőnégyzetet, illetve nem módosították számítógépük beállításait. Ellenkező esetben az LDAP-felhasználóknak engedélyezniük kell a számítógépük PAM támogatását, hogy CIFS-en keresztül hozzáférjenek a(z) DiskStation fájljaihoz. Ez azonban azzal jár, hogy egyszerű szövegként (titkosítás nélkül) elküldik LDAP-felhasználói jelszavukat a(z) DiskStation eszköznek, ami alacsonyabb biztonsági szinthez vezet.
A Windows beállításainak módosítása:
- Lépjen a Start > Futtatás menübe, írja be a mezőbe, hogy regedit, majd kattintson az OK gombra a Regisztráció szerkesztő megnyitásához.
- A Windows verziójától függően keresse meg vagy hozza létre a következő regisztrációt:
- Windows 2000, XP, Vista és Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
- Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
- Windows 95 (SP1), 98 és Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
- Hozza létre vagy módosítsa a DWORD értéket az EnablePlainTextPassword alatt, és módosítsa az adatot 0 és 1 között.
- Indítsa újra a Windows rendszert a változtatások érvényesítéséhez.
A Mac OS X beállításainak módosítása:
- Lépjen az Alkalmazások > Segédeszközök oldalra, és nyissa meg a Terminál menüpontot.
- Hozzon létre egy üres fájlt: /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
- Nyissa meg az /etc/nsmb.conf fájlt a vi-vel:
sudo vi /etc/nsmb.conf
- Írja be: „i“ a szöveg beillesztéséhez, majd illessze be a következőt:
[default]
> minauth=none
- Nyomja meg az Esc gombot, majd írja be: „ZZ”, hogy mentse a módosításokat és kilépjen a vi-ből.
A Linux beállításainak módosítása:
smbclient használata esetén adja hozzá az alábbi kódot az smb.conf [global] szakaszához:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
mount.cifs használata esetén adja ki az alábbi parancsot:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
További információkért tekintse meg az alábbi oldalt: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Profilok bemutatása
Előfordulhat, hogy a különböző LDAP-szerverek különböző attribútumokat használnak a fióknevekre vagy csoportnevekre, illetve a fiókok vagy csoportok megkülönböztetésére. A Profil opció segítségével megadhatja, hogy a rendszer hogyan képezze le a felhasználó- és csoportadatokat LDAP-attribútumokká. Az LDAP-szerver típusától függően az alábbiak közül választhat:
- Normál: Synology Directory Server vagy Mac Open Directory csomagot futtató szerverek esetén.
- IBM Lotus Domino: Az IBM Lotus Domino 8.5-ös verzióját futtató szerverek esetén.
- Egyedi: Egyedi leképezések adhatók meg. A részleteket az alábbi szakaszokban találja.
Az LDAP-attribútumleképezések testreszabása előtt némi háttértudásra lesz szüksége. A Synology DSM és a Profi szerkesztő egyaránt az RFC 2307 szabvány előírásait követi. A userFilter lehetőségnél például megadhatja a következőt: filter > passwd. Ebben az esetben a(z) DiskStation eszköz az objectClass=userFilter szöveggel rendelkező bejegyzéseket LDAP-fiókokként fogja kezelni az LDAP-szerveren. Amennyiben a passwd > uid lehetőségnél a username értéket adja meg, a(z) DiskStation eszköz a username szöveget fióknévként fogja értelmezni az LDAP-szerveren. A leképezés üresen hagyása esetén a rendszer az RFC 2307 szabályait alkalmazza.
A(z) DiskStation esetében rögzített egész számot kell használnia az LDAP-fiók azonosítójaként (uidNumber) vagy a csoport azonosítójaként (gidNumber). Ezeket az attribútumokat azonban nem minden LDAP-szerver képezi le egész számokként. Ezért ezen attribútumok egész számmá való konvertálásához egy kulcsszót (HASH()) biztosítunk. Előfordulhat például, hogy az Ön által használt LDAP-szerver hexadecimális értéket ad meg a userid változónál az LDAP-fiók egyedi azonosítójaként. Ebben az esetben állítsa HASH(userid) értékre a passwd > uidNumber lehetőséget, így a(z) DiskStation eszköz egész számmá konvertálja azt.
Az alábbiakban a testre szabható attribútumokat soroljuk fel:
- filter
- group: a csoporthoz szükséges objectClass.
- passwd: a felhasználóhoz szükséges objectClass.
- shadow: a felhasználói jelszavakhoz szükséges objectClass.
- group
- cn: csoportnév.
- gidNumber: A csoport GID-száma.
- memberUid: a csoport tagjai.
- passwd
- uidNumber: A felhasználó UID-száma.
- uid: felhasználónév.
- gidNumber: a felhasználó elsődleges GID-száma.
- shadow
- uid: felhasználónév.
- userPassword: felhasználói jelszó.
UID-/GID-eltolás
Az LDAP-felhasználók/-csoportok és a helyi felhasználók/csoportok közötti ütközések elkerülése érdekében bekapcsolja az UID-/GID-eltolást, így a rendszer 1000000-val eltolja az LDAP-felhasználók/-csoportok UID-/GID-értékeit. Ez az opció kizárólag azon nem-Synology LDAP-szerverek számára áll rendelkezésre, melyek numerikus azonosítóattribútummal rendelkeznek az egyes felhasználók/csoportok számára.
A beágyazott csoportok kibontásáról
Beágyazott csoportról beszélünk, ha egy LDAP-csoporttag a vállalati hierarchia szerint egy másik LDAP-csoporthoz tartozik. Amikor a felhasználók megnézik, hogy egy adott tag mely csoporthoz tartozik, illetve megnyitják egy adott csoport névlistáját, a(z) DiskStation az LDAP-csoport member attribútuma szerint kibontja a beágyazott csoportot, ahol az alárendelt csoport DN-jére (megkülönböztető nevére) az attribútum hivatkozik. A beágyazott csoport kibontása rendkívül időigényes lehet, ha például a szerver nem indexeli a member attribútumot, vagy a csoport mélyre van ágyazva. Ennek elkerüléséhez megadhatja, hogy a rendszer ne bontsa ki a beágyazott csoportot.