LDAP

Ваше устройство DiskStation можно подключать по протоколу LDAP к имеющейся службе каталогов в качестве клиента LDAP, а затем извлекать сведения о пользователях или группах с сервера LDAP (или «directory server»). Правами доступа пользователей или групп LDAP к программам или общим папкам DSM можно управлять точно так же, как правами доступа локальных пользователей или групп DSM. Дополнительные сведения о LDAP см. здесь.

Поддерживается стандарт LDAP версии 3 (RFC 2251).

Подключение устройства DiskStation к службе каталогов:

  1. Выберите Панель управления > Домен/LDAP.
  2. Перейдите на вкладку LDAP и установите флажок Включить клиент LDAP.
  3. Введите IP-адрес или имя домена сервера LDAP в поле Адрес сервера LDAP.
  4. В раскрывающемся меню Шифрование выберите способ шифрования, чтобы шифровать LDAP-подключение к серверу LDAP.
  5. Введите Base DN (отличительное имя) сервера LDAP в поле Base DN.
  6. В зависимости от сервера LDAP выберите нужный Профиль. Например, если вы используете Synology LDAP Server или Mac Open Directory, выберите Стандартный.
  7. Чтобы разрешить пользователям сервера LDAP (который не поддерживает схему Samba) доступ к файлам на устройстве DiskStation по протоколу CIFS, установите флажок Включить проверку подлинности пароля в формате обычного текста CIFS. В следующем разделе описано, как пользователи LDAP могут настроить свои компьютеры для доступа к файлам на устройстве DiskStation по протоколу CIFS.
  8. Нажмите Применить.
  9. Введите Bind DN (или LDAP учетной записи администратора) и пароль в полях, а затем нажмите OK.

Поддержка протокола CIFS и настройки клиентского компьютера

После включения проверки подлинности пароля в формате обычного текста CIFS пользователям LDAP, возможно, придется изменить настройки своих компьютеров, чтобы получать доступ к файлам на устройстве DiskStation по протоколу CIFS:

Порядок изменения настроек в Windows:

  1. Выберите Пуск > Выполнить, в поле введите regedit и нажмите OK, чтобы открыть Редактор реестра.
  2. В зависимости от вашей версии Windows найдите или создайте соответствующую запись.
    • Windows 2000, XP, Vista, и Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 и Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Создайте или измените значение DWORD EnablePlainTextPassword и измените его значение с 0 на 1.
  4. Перезапустите Windows, чтобы изменения вступили в силу.

Порядок изменения настроек в Mac OS X:

  1. Выберите Приложения > Утилиты, чтобы открыть Терминал.
  2. Создайте пустой файл /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Откройте /etc/nsmb.conf с помощью редактора vi:
    sudo vi /etc/nsmb.conf
  4. Введите «i», чтобы вставить текст, и вставьте следующее:
    [default]
    minauth=none
  5. Нажмите клавишу Esc и затем введите «ZZ», чтобы сохранить настройки и закрыть редактор vi.

Порядок изменения настроек в Linux:

При использовании smbclient добавьте следующие ключи в разделе [global] файла smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

При использовании mount.cifs выполните следующую команду:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Подробную информацию см. на сайте: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

О профилях

Разные серверы LDAP должны использовать разные атрибуты для имен учетных записей, имен групп или чтобы отличать учетные записи от групп. Опция Профиль позволяет указывать или настраивать то, как информация о пользователе и группе сопоставлена с атрибутами LDAP. В зависимости от вашего сервера LDAP можно выбрать один из следующих профилей:

Перед настройкой сопоставлений атрибутов LDAP необходимо учитывать следующие сведения. Synology DSM и редактор Профиль оба относятся к RFC 2307. Например, можно указать filter > passwd как userFilter. В этом случае DiskStation интерпретирует записи с objectClass=userFilter на вашем сервере LDAP как учетные записи LDAP. Если указать passwd > uid как username, DiskStation интерпретирует username на вашем сервере LDAP как имя учетной записи. Если оставить сопоставление незаполненным, будут применены правила RFC 2307.

DiskStation требует указания целого числа в качестве идентификатора учетной записи LDAP (uidNumber) или идентификатора группы (gidNumber). Однако не все серверы LDAP используют целые числа для представления таких атрибутов. Поэтому для преобразования атрибутов в целые числа предоставляется ключевое слово HASH(). Например, ваш сервер LDAP может использовать атрибут userid с шестнадцатеричным значением в качестве уникального идентификатора для учетной записи LDAP. В этом случае можно указать passwd > uidNumber для HASH(userid), а затем DiskStation преобразует его в целое число.

Ниже представлена сводная информация о настраиваемых атрибутах.

Изменение UID/GID

Во избежание конфликтов UID/GID между пользователями/группами LDAP и локальными пользователями/группами можно включить изменение UID/GID для переключения UID/GID пользователей/групп LDAP на 1 000 000. Этот параметр предназначен только для серверов LDAP других производителей (не Synology), которые имеют атрибут уникального числового идентификатора для каждого пользователя или группы.

О развертывании вложенных групп

Во вложенной группе участник группы LDAP принадлежит другой группе LDAP, в которой представлена иерархия организации. Когда пользователь смотрит, к какой группе относится определенный участник, или просматривает список имен в определенной группе, DiskStation разворачивает вложенную группу в соответствии с атрибутами member группы LDAP, в которой атрибут ссылается на различающееся имя (DN) дочерней группы. Развертывание вложенной группы может отнимать много времен при различных обстоятельствах, например, когда сервер не индексирует атрибут member, или группа имеет глубокую структуру. Вы можете не разворачивать вложенную группу, чтобы предотвратить подобные случаи.

О сертификатах клиентов

Мы поддерживаем использование сертификата клиента. Определенные серверы LDAP, например Google LDAP, для аутентификации клиентов используют сертификаты. Чтобы загрузить сертификат клиента, необходимо установить флажок Включить сертификат клиента.

Примечание.

Эта функция поддерживается в DSM 6.2.2 или более поздней версии.