LDAP

DiskStation은(는) LDAP를 통해 LDAP 클라이언트로 기존 디렉토리 서비스에 가입한 후 LDAP 서버(또는 "디렉토리 서버")에서 사용자 또는 그룹 정보를 검색할 수 있습니다. 로컬 DSM 사용자 또는 그룹에서와 같이 DSM 응용 프로그램 및 공유 폴더에 대한 LDAP 사용자 또는 그룹의 액세스 권한을 관리할 수 있습니다. LDAP에 대한 자세한 정보는 여기를 참조하십시오.

지원되는 LDAP 표준은 LDAP 버전 3(RFC 2251)입니다.

DiskStation을(를) 디렉토리 서비스에 가입하기:

  1. 제어판 > 도메인/LDAP로 이동합니다.
  2. LDAP 탭으로 이동하고 LDAP 클라이언트 활성화를 선택합니다.
  3. LDAP 서버 주소 필드에 LDAP 서버의 IP 주소나 도메인 이름을 입력합니다.
  4. 암호화 드롭다운 메뉴에서 암호화 유형을 선택하여 LDAP 연결을 LDAP 서버로 암호화합니다.
  5. Base DN 필드에 LDAP 서버의 Base DN을 입력합니다.
  6. 사용자 LDAP 서버에 맞는 적절한 프로필을 선택합니다. 예를 들어, Synology LDAP Server 또는 Mac Open Directory를 사용하는 경우 표준을 선택합니다.
  7. Samba 스키마를 지원하지 않는 LDAP 서버 사용자가 CIFS를 통해 DiskStation 파일에 액세스할 수 있도록 CIFS 일반 텍스트 패스워드 인증 활성화를 선택합니다. LDAP 사용자가 자신의 컴퓨터를 사용하여 CIFS를 통해 성공적으로 DiskStation 파일에 액세스할 수 있도록 아래 섹션을 참조하십시오.
  8. 적용을 클릭합니다.
  9. 필드에 Bind DN(또는 LDAP 관리자 계정) 및 패스워드를 입력한 후 확인을 클릭합니다.

CIFS 지원 및 클라이언트 컴퓨터 설정 정보

CIFS 일반 텍스트 패스워드 인증이 활성화된 후 LDAP 사용자는 CIFS를 통해 DiskStation 파일에 액세스할 수 있도록 자신의 컴퓨터 설정을 수정해야 합니다.

Windows 설정 수정하기:

  1. 시작 > 실행으로 이동하고 필드에 regedit를 입력한 후 확인을 클릭하여 레지스트리 편집기를 엽니다.
  2. Windows 버전에 따라 다음 레지스트리를 찾거나 생성합니다.
    • Windows 2000, XP, Vista 및 Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95(SP1), 98 및 Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. DWORD 값 EnablePlainTextPassword를 생성 또는 수정하고 해당 값 데이터를 0에서 1로 변경합니다.
  4. Windows를 다시 시작하여 변경 사항을 적용합니다.

Mac OS X 설정 수정하기:

  1. 응용 프로그램 > 유틸리티로 이동하여 터미널을 엽니다.
  2. 빈 파일 /etc/nsmb.conf를 생성합니다.
    sudo touch /etc/nsmb.conf
  3. vi를 사용하여 /etc/nsmb.conf를 엽니다.
    sudo vi /etc/nsmb.conf
  4. "i"를 입력하여 텍스트를 삽입하고 다음을 붙여 넣습니다.
    [default]
    minauth=none
  5. Esc 키를 누른 후 "ZZ"을 입력하여 변경 사항을 저장하고 vi를 종료합니다.

Linux 설정 수정하기:

smbclient를 사용하는 경우, smb.conf[global] 섹션에서 다음 키를 추가하십시오.

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

mount.cifs를 사용하는 경우, 다음 명령을 실행합니다.

echo 0x30030 > /proc/fs/cifs/SecurityFlags

보다 자세한 정보는 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README를 참조하십시오.

프로필 정보

각 LDAP 서버는 서로 다른 계정 이름, 그룹 이름 속성을 사용하거나 계정과 그룹을 구별할 수 있습니다. 프로필 옵션을 사용하여 사용자 및 그룹 정보를 LDAP 속성에 매핑하는 방법을 지정하거나 사용자 지정할 수 있습니다. LDAP 서버에 따라 다음 프로필 중 하나를 선택할 수 있습니다.

LDAP 속성 매핑을 사용자 지정하기 전에 몇 가지 배경 지식이 필요합니다. Synology DSM과 프로필 편집기 모두 RFC 2307을 준수합니다. 예를 들어, filter > passwduserFilter로 지정할 수 있습니다. 이 경우 DiskStation은(는) LDAP 서버에서 objectClass=userFilter가 있는 레코드를 LDAP 계정으로 해석합니다. passwd > uidusername으로 지정하는 경우, DiskStation은(는) LDAP 서버의 username을 계정 이름으로 해석합니다. 매핑을 비워두면 RFC 2307 규칙이 적용됩니다.

DiskStation에는 LDAP 계정 식별자(uidNumber) 또는 그룹 식별자(gidNumber) 역할을 수행하는 고정된 정수가 있어야 합니다. 하지만 모든 LDAP 서버가 정수를 사용하여 해당 속성을 표현하는 것은 아닙니다. 따라서 해당 속성을 정수로 변환하기 위해 키워드 HASH()가 제공됩니다. 예를 들어, LDAP 서버가 십육진수 값을 가진 userid 속성을 LDAP 계정의 고유한 식별자로 사용할 수 있습니다. 이 경우, passwd > uidNumberHASH(userid)로 설정하면 DiskStation이(가) 이를 정수로 변환합니다.

다음은 사용자 지정 가능한 속성에 대한 요약입니다.

UID/GID 전환 정보

LDAP 사용자/그룹과 로컬 사용자/그룹 간에 UID/GID 충돌을 방지하기 위해 UID/GID 전환을 활성화하여 1000000을 통해 LDAP 사용자/그룹의 UID/GID를 전환할 수 있습니다. 이 옵션은 Synology LDAP 서버가 아닌 LDAP 서버 전용이며 각 사용자/그룹의 고유한 번호 ID 속성을 가집니다.

중첩된 그룹 확장 정보

중첩된 그룹에서 LDAP 그룹 구성원은 조직의 계층 구조가 표시되는 다른 LDAP 그룹에 속합니다. 사용자가 특정 구성원이 속한 그룹이나 특정 그룹의 이름 목록을 조회하는 경우, DiskStation이(가) LDAP 그룹의 member 속성에 따라 중첩된 그룹을 확장합니다. 여기에서 속성은 하위 그룹의 DN(구별되는 이름)을 참조합니다. 중첩된 그룹 확장은 다양한 상황에 따라 시간이 많이 걸릴 수 있습니다(예: 서버가 member 속성을 인덱싱하지 않거나 그룹이 깊게 중첩된 경우). 이런 상황을 방지하기 위해 중첩된 그룹을 확장하지 않도록 선택할 수 있습니다.

클라이언트 인증서 정보

Synology는 클라이언트 인증서 사용을 지원합니다. 일부 특정 LDAP 서버(예: Google LDAP)는 인증서를 사용하여 클라이언트를 인증합니다. 클라이언트 인증서 활성화 옵션을 선택하면 클라이언트 인증서를 업로드할 수 있습니다.

참고:

이 기능은 DSM 6.2.2 이상에서 지원됩니다.