Protokol LDAP umožňuje zařízení DiskStation připojit se ke stávající adresářové službě jako klienta LDAP a následně ze serveru LDAP (neboli „adresářového serveru“) načíst informace o uživatelích nebo skupinách. Spravovat je možné přístupová oprávnění uživatelů nebo skupin LDAP k aplikacím a sdíleným složkám systému DSM, stejně jako byste postupovali u místních uživatelů nebo skupin systému DSM. Další informace o protokolu LDAP se nacházejí pod tímto odkazem.
Podporovaný standard LDAP je LDAP verze 3 (RFC 2251).
Po povolení ověření hesla CIFS pomocí prostého textu bude možná nutné, aby uživatelé LDAP upravili nastavení svých počítačů tak, aby mohli mít přístup k souborům v zařízení DiskStation prostřednictvím systému CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Pokud používáte klienta smbclient, doplňte do oddílu [global] souboru smb.conf následující klíče:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Pokud používáte soubor mount.cifs, spusťte následující příkaz:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Další informace se nacházejí na adrese https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Různé servery LDAP mohou používat pro názvy účtů, pro názvy skupin nebo k rozlišení účtů a skupin různé atributy. Možnost Profil umožňuje stanovit či upravit, jak se informace o uživateli a skupině vůči atributům LDAP mapuje. Podle toho, jaký máte server LDAP, je možné vybrat jeden z následujících profilů:
Před úpravou mapování atributů LDAP budete potřebovat určité znalosti pozadí. Systém Synology DSM a editor profilů oba splňují normu RFC 2307. Například je možné jako hodnotu userFilter stanovit filter > passwd, takže zařízení DiskStation bude záznamy s výrazem objectClass=userFilter na serveru LDAP interpretovat jako účty LDAP. Pokud jako hodnotu username nastavíte výraz passwd > uid, bude zařízení DiskStation interpretovat proměnnou username na serveru LDAP jako název účtu. Pokud zanecháte mapování prázdné, použijí se pravidla RFC 2307.
Zařízení DiskStation vyžaduje, aby jako identifikátor účtu LDAP (uidNumber) nebo identifikátor skupiny (gidNumber) sloužilo fixní celé číslo. Ne všechny servery LDAP však používají k reprezentaci takovýchto atributů celá čísla. Proto se kvůli převodu takovýchto atributů na celá čísla používá klíčové slovo HASH(). Například server LDAP může jako jedinečný identifikátor účtu LDAP využívat atribut userid s šestnáctkovou hodnotou. V tomto případě je možné nastavit výraz passwd > uidNumber na hodnotu HASH(userid). Zařízení DiskStation ho poté převede na celé číslo.
Následuje shrnutí upravitelných atributů:
Aby nedocházelo ke konfliktům UID/GID mezi uživateli/skupinami LDAP a místními uživateli/skupinami, je možné povolit posun UID/GID uživatelů/skupin LDAP o 1000000. Tato možnost je určena pouze pro jiné servery LDAP než Synology a má jedinečný číselný atribut ID pro každého uživatele/skupinu.
Ve vnořené skupině patří člen skupiny LDAP do jiné skupiny LDAP představující hierarchii organizace. Když uživatelé vyhledávají, do které skupiny patří určitý člen, nebo vyhledávají seznam jmen v určité skupině, provede zařízení DiskStation rozbalení vnořené skupiny podle atributů člen skupiny LDAP, kde se na rozlišující název (DN) podřízené skupiny odkazuje tímto atributem. Rozbalení vnořené skupiny může být za určitých okolností časově velice náročné, například v situaci, kdy server neindexuje atribut člen nebo je skupina hluboce vnořená. Aby k tomu nedocházelo, můžete se rozhodnout vnořenou skupinu nerozbalovat.
Podporujeme používání certifikátu klienta. Některé specifické servery LDAP, například Google LDAP, používají certifikáty k ověřování klientů. Po zaškrtnutí možnosti Povolit certifikát klienta můžete certifikát klienta odeslat.
Tato funkce je podporována v systému DSM 6.2.2 a novějších verzích.