LDAP
LDAP 可讓您的 DiskStation 以 LDAP 用戶端的身分加入現有的目錄伺服,並從 LDAP 伺服器 (或稱「目錄伺服器」) 擷取帳號及群組資訊。您可以管理 LDAP 使用者或群組對 DSM 應用程式及共用資料夾的存取權限,就像管理本地 DSM 使用者或群組一樣容易。如需更多 LDAP 的相關資訊,請參閱此處。
支援的 LDAP 標準為 LDAP 第 3 版 (RFC 2251)。
若要讓 DiskStation 加入目錄服務:
- 前往控制台 > 網域/LDAP 。

- 前往 LDAP 頁籤,並勾選啟動 LDAP 用戶端。

- 在 LDAP 伺服器位置欄位中輸入 LDAP 伺服器的 IP 位址或網域名稱。

- 從加密下拉式選單中選擇加密類型,藉此為 DiskStation 與 LDAP 伺服器之間的 LDAP 連線進行加密。

- 在 Base DN 欄位中輸入 LDAP 伺服器的 Base DN。

- 依照您的 LDAP 伺服器選擇合適的設定檔。例如:假設您現在使用的是 Synology LDAP Server 或 Mac Open Directory,請選擇標準。

- 若要允許不支援 Samba schema 的 LDAP 使用者透過 CIFS 存取 DiskStation 檔案,請勾選啟動 CIFS 明文密碼驗證。請參閱下一節的說明來確定 LDAP 使用者可以使用他們的電腦透過 CIFS 成功存取 DiskStation 檔案。

- 按一下套用。
- 在欄位中輸入 Bind DN (或 LDAP 管理者帳號) 及密碼,然後按一下確定。

關於 CIFPS 支援及用戶端電腦的設定
啟動 CIFS 明文密碼驗證後,LDAP 使用者可能需要修改電腦的設定才能透過 CIFS 存取 DiskStation 檔案:
- 如果您的 DiskStation 所加入的目錄伺服是由 Synology LDAP 伺服器 (也就是已安裝並執行 LDAP Server 套件的另一台 Synology 產品) 提供的,或是該 LDAP 伺服器支援 Samba schema 且 LDAP 使用者皆有正確的 sambaNTPassword 屬性,LDAP 使用者無須勾選啟動 CIFS 明文密碼驗證或是修改電腦設定,即可透過 CIFS 存取 DiskStation 檔案。否則,LDAP 使用者需要啟動電腦的 PAM 支援功能才能透過 CIFS 存取 DiskStation 檔案。然而,這樣做會將 LDAP 使用者的密碼以未加密的純文字格式傳送至 DiskStation,因而降低安全層級。
若要修改 Windows 設定:
- 前往開始 > 執行,在欄位中輸入 regedit,然後按一下確定來開啟登錄編輯程式。
- 視您使用的 Windows 版本而定,請尋找或建立下列登錄機碼:
- Windows 2000、XP、Vista 及 Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
- Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
- Windows 95 (SP1)、98 及 Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
- 建立或修改 DWORD 值 EnablePlainTextPassword,並將其數值資料從 0 變更為 1。
- 重新啟動 Windows 來讓變更生效。
若要修改 Mac OS X 設定:
- 前往應用程式 > 工具程式來開啟終端機。
- 建立空檔案 /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
- 使用 vi 開啟 /etc/nsmb.conf:
sudo vi /etc/nsmb.conf
- 輸入「i」來插入文字,並貼上下列文字:
[default]
minauth=none
- 按下 Esc 鍵然後按下「ZZ」來儲存變更並離開 vi。
若要修改 Linux 設定:
若您使用 smbclient,請在 smb.conf 的 [global] 區塊中新增下列機碼:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
若您使用 mount.cifs,請執行下列指令:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
如需更多詳細資訊,請參閱 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
關於設定檔
不同 LDAP 伺服器可能使用不同屬性當做帳號名稱、群組名稱,或是區分帳號與群組。設定檔選項可讓您指定或自訂使用者及群組資訊如何對應至 LDAP 屬性。您可以依照您的 LDAP 伺服器選擇下列其中一個設定檔:
- 標準:適用於執行 Synology LDAP Server 或 Mac Open Directory 的伺服器。
- IBM Lotus Domino:適用於執行 IBM Lotus Domino 8.5 的伺服器。
- 自訂:可以自訂各種 LDAP 屬性的對應。請參閱下方區塊來瞭解更多資訊。
若要自訂各種 LDAP 屬性的對應,必須先有些背景知識。Synology DSM 遵循 RFC 2307 的規範,而設定檔的編輯器也遵循相同的原則。例如,您可以指定 filter 裡的 passwd 為 userFilter,DiskStation 便會將您 LDAP 伺服器裡符合 objectClass=userFilter 的資料視為 LDAP 帳號。如果指定 passwd 裡的 uid 為 username,DiskStation 便會將您 LDAP 伺服器上的 username 視為帳號名稱。若是留空不填則表示遵循 RFC 2307 規範。
DiskStation 需要一個固定不變的整數當作 LDAP 帳號的識別碼 (uidNumber) 與 LDAP 群組的識別碼 (gidNumber)。但不是所有 LDAP 伺服器都使用整數來表示這樣的屬性。因此,我們提供一個關鍵字 HASH() 來將其轉為整數。例如,您的 LDAP 伺服器可能使用一個值為 16 進位的屬性 userid 作為 LDAP 帳號。在此情況下,您可以將 passwd 的 uidNumber 設為 HASH(userid) 來讓 DiskStation 將其轉為整數。
以下是可供自訂屬性的摘要:
- filter
- group:群組應有的 objectClass。
- passwd:使用者應有的 objectClass。
- shadow:使用者密碼應有的 objectClass。
- group
- cn:群組名稱。
- gidNumber:此群組的 ID。
- memberUid:此群組的成員。
- passwd
- uidNumber:此使用者的 ID。
- uid:使用者名稱。
- gidNumber:此使用者的主要群組 ID。
- shadow
- uid:使用者名稱。
- userPassword:使用者密碼。
關於 UID / GID 位移
為避免 LDAP 使用者 / 群組及本地使用者 / 群組間發生 UID / GID 衝突,您可以啟動 UID / GID 位移來將 LDAP 使用者 / 群組的 UID / GID 位移 1000000。此選項僅適用於非 Synology 的 LDAP 伺服器,且該伺服器針對每個使用者 / 群組提供以數字組成、獨特的 ID 屬性。
關於巢狀群組的展開
在巢狀群組當中,LDAP 群組成員歸屬於另一個 LDAP 群組,並由此可見組織架構的階層關係。當使用者查詢特定成員所歸屬的群組,或是特定群組的成員名單時,DiskStation 會參照子群組的 DN (Distinguished Name),依循 LDAP 群組的 member 屬性來展開巢狀群組。因不同情形,巢狀群組的展開可能會相當耗時,例如當 LDAP 伺服器未對 member 屬性建立索引,或是群組的巢狀結構複雜時。您可以選擇不展開巢狀群組來避免這些問題。
關於用戶端憑證
我們支援使用用戶端憑證。某些 LDAP 伺服器 (例如: Google LDAP) 需透過用戶端憑證進行身分驗證。您可以勾選啟用用戶端憑證選項,並上傳用戶端憑證。
注意:
此功能僅支援 DSM 6.2.2 或以上版本。