LDAP は DiskStation を LDAP クライアントとして既存のディレクトリサービスに追加し、LDAP サーバー(または「directory server」)からユーザー情報やグループ情報を取得できるようにします。ローカル DSM ユーザーやグループで行う場合と同じように、LDAP ユーザーまたはグループの DSM アプリケーションや共有フォルダへのアクセス権を管理することができます。LDAP に関する詳細は、ここを参照してください。
サポートされる LDAP 規格は LDAP バージョン 3 (RFC 2251) です。
CIFS を介して DiskStation ファイルにアクセスできるようにするには、CIFS 書式なしパスワード認証を有効にした後、LDAP ユーザーがコンピュータの設定を変更する必要があるかもしれません:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
smbclient をご使用の方は、smb.conf の [global] セクションに次のキーを追加してください:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
mount.cifs をお使いの方は、次のコマンドを実行してください:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
詳細はhttps://www.kernel.org/doc/readme/Documentation-filesystems-cifs-READMEを参照してください。
LDAP サーバーによってアカウント名、グループ名に使用する属性や、アカウントとグループを区別するための属性は異なります。[プロファイル] オプションは、ユーザーやグループ情報がどのように LDAP の属性に割り当てられるかを指定したり、カスタマイズしたりします。次のプロファイルの 1 つは、LDAP サーバーによって選択できます:
LDAP の属性のマッピングをカスタマイズするには、多少の知識が必要です。Synology DSM とプロファイル エディタ両方とも RFC 2307 に準拠しています。例えば、[filter] > [passwd] を userFilter として指定することができます。この場合、DiskStation は LDAP サーバー上の objectClass=userFilter を LDAP アカウントとして記録を解釈します。passwd > uid を username として指定すると、DiskStation は LDAP サーバー上の username をアカウント名として解釈します。マッピングを指定しなければ、RFC 2307 規則が適用されます。
DiskStation が LDAP アカウント識別子(uidNumber)、またはグループ識別子(gidNumber)として機能するには、固定整数が必要です。ただし、すべての LDAP サーバーが整数を使ってこのような属性を代表する訳ではありません。したがって、このような属性を整数に変換するために、HASH() と言うキーワードが提供されています。例えば、LDAP サーバーが十六進数を持つ userid と言う属性を LDAP アカウントの専用識別子として使用する場合があります。この場合、passwd > uidNumber を HASH(userid) に設定すると、DiskStation がそれを整数に変換します。
以下は、カスタマイズできる属性をまとめたものです。
LDAP ユーザー/グループとローカル ユーザー/グループの間で UID/GID の競合の発生を阻止するには、UID/GID シフトを有効にして、LDAP ユーザー/グループの UID/GID を 1000000 ごとシフトします。このオプションは、非 Synology LDAP サーバーである LDAP サーバー専用であり、各ユーザー/グループごとに専用の数字 ID を持っています。
ネスト化されたグループでは、LDAP グループ メンバーは、組織の階層が示されている、別の LDAP グループに属しています。ユーザーが、特定のメンバーが属するグループまたは特定のグループの名前リストを検索する際、DiskStation が、LDAP グループのメンバー属性に従ってネスト化されたグループを拡張します。ここでの子グループの DN(識別名)が属性によって参照されます。ネスト化されたグループの拡張は、さまざまな状況下において非常に時間がかかる作業となることがあります。たとえば、サーバーがメンバー属性をインデックス化しないことや、グループが深くネスト化されている場合などがあります。このようなことが発生しないようにするためにも、ネスト化されたグループの拡張を行わないことを選択することができます。
当社はクライアント証明書の使用をサポートしています。いくつかの特定の LDAP サーバー (例えば Google LDAP) はクライアントを認証するために証明書を使用します。[クライアント証明書を有効化] オプションにチェックを入れるとクライアント証明書をアップロードできます。
この機能は DSM 6.2.2 以降でサポートされています。