LDAP

O LDAP permite que seu DiskStation participe de um serviço de diretório existente como um cliente LDAP e recupere informações do usuário e do grupo de um servidor LDAP (ou "directory server"). Você pode gerenciar os privilégios de acesso dos usuários ou grupos do LDAP para aplicativos DSM e pastas compartilhadas, do mesmo modo que você faria com usuários ou grupos locais de DSM. Para obter mais informações sobre o LDAP, consulte aqui.

O padrão LDAP suportado é o LDAP versão 3 (RFC 2251).

Para ingressar no DiskStation para um serviço de diretório diferente:

  1. Vá para Painel de controle > Serviço de diretório
  2. Vá para a guia LDAP e marque Habilitar Cliente LDAP.
  3. Digite o endereço IP ou nome de domínio do servidor LDAP no campo Endereço do servidor LDAP.
  4. Selecione um tipo de criptografia do menu suspenso Criptografia para criptografar a conexão do LDAP no servidor LDAP.
  5. Digite o Base DN do servidor LDAP no campo Base DN.
  6. Selecione o Perfil adequado, de acordo com seu servidor LDAP. Por exemplo, escolha Padrão se estiver usando o Synology Directory Server ou Mac Open Directory.
  7. Para permitir que os usuários de um servidor LDAP incompatível com o esquema Samba acessem os arquivos do DiskStation através do CIFS, marque Habilitar autenticação de senha de sem formatação CIFS. Consulte a seção abaixo para garantir que os usuários do LDAP possam usar seus computadores para acessar os arquivos do DiskStation com êxito através do CIFS.
  8. Clique em Aplicar.
  9. Digite o Bind DN (ou conta de administrador LDAP) e a senha nos campos e clique em OK.

Sobre o Suporte do CIFS e as Configurações do computador do cliente

Depois que a autenticação de senha sem formatação CIFS for habilitada, os usuários do LDAP talvez precisem modificar as configurações de seus computadores para poder acessar os arquivos do DiskStation através do CIFS:

Para modificar as configurações do Windows:

  1. Vá para Iniciar > Executar, digite regedit no campo e clique em OK para abrir o Editor de Registro.
  2. Dependendo de sua versão do Windows, encontre ou crie o seguinte registro:
  3. Criar ou modificar o valor DWORD EnablePlainTextPassword e altere seu valor de 0 para 1.
  4. Reinicie o Windows para que a alteração entre em vigor.

Para modificar as configurações no Mac OS X:

  1. Vá até Aplicativos > Utilitários para abrir Terminal.
  2. Crie um arquivo vazio em /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
    
  3. Abra /etc/nsmb.conf com o vi:
    sudo vi /etc/nsmb.conf
    
  4. Digite "i" para inserir texto e cole o seguinte:
    [default]
    minauth=none
  5. Pressione a tecla Esc e digite "ZZ" para salvar as alterações e sair do vi.

Para modificar as configurações do Linux:

Se o smbclient estiver sendo usado, adicione as chaves a seguir na seção [global] do smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Se estiver usando o mount.cifs execute o comando a seguir:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Sobre os perfis

Diferentes servidores LDAP podem usar diferentes atributos para nomes de conta e de grupo, ou para diferenciar contas de grupos. A opção Perfil permite especificar ou personalizar como as informações do usuário e do grupo são mapeadas para os atributos do LDAP. Um dos seguintes perfis pode ser selecionado dependendo do seu servidor LDAP:

Antes de personalizar os mapeamentos do atributo LDAP, você precisa de um conhecimento básico. O Synology DSM e o editor do Perfil seguem o RFC 2307. Por exemplo, você pode especificar filter > passwd como userFilter, e nesse caso o DiskStation interpreta os registros com objectClass=userFilter no seu servidor LDAP como contas LDAP. Se você especificar passwd > uid como username, o DiskStation interpreta username no seu servidor LDAP como um nome de conta. Deixar o mapeamento vazio aplica as regras RFC 2307.

O DiskStation exige que um número inteiro fixo sirva como identificador da conta LDAP (uidNumber) ou identificador de grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representar esses atributos. Portanto, uma palavra-chave HASH() é fornecida para converter esses atributos em inteiros. Por exemplo, seu servidor LDAP pode usar o atributo userid com um valor hexadecimal como identificador único de uma conta LDAP. Neste caso, você pode configurar passwd > uidNumber como HASH(userid), e o DiskStation irá convertê-lo em um inteiro.

A seguir está um resumo dos atributos personalizáveis:

Sobre a troca de UID/GID

Para evitar conflitos UID/GID entre usuários/grupos LDAP e usuários/grupos locais, você pode habilitar a mudança UID/GID para mudar o UID/GID dos usuários/grupos LDAP por 1000000. Essa opção é apenas para servidores LDAP que não são servidores Synology LDAP e têm um atributo de ID numérico exclusivo para cada usuário/grupo.

Sobre a expansão de grupos aninhados

Em um grupo aninhado, um membro do grupo LDAP pertence a outro grupo LDAP, em que a hierarquia de uma organização é representada. Quando os usuários procurarem a qual grupo um membro específico pertence ou a lista de nomes de um grupo específico, o DiskStation expandirá um grupo aninhado de acordo com os atributos member do grupo LDAP, em que o DN (nome diferenciado) de um grupo filho é referenciado pelo atributo. A expansão de um grupo aninhado pode ser muito demorada dependendo das circunstâncias: por exemplo, quando o servidor não indexa o atributo membro ou o grupo está aninhado muito profundamente. Você pode optar por não expandir um grupo aninhado para evitar que isso ocorra.