LDAP

LDAP lar din DiskStation bli med i en eksisterende katalogtjeneste som for eksempel en LDAP-klient, og deretter hente bruker- eller gruppeinformasjon fra en LDAP-server (eller "directory server"). Du kan håndtere LDAP-brukeres eller gruppers tilgangsrettigheter til DSM-applikasjoner og delte mapper, på samme måte som du ville gjort med lokale DSM-brukere eller -grupper. Hvis du vil ha mer informasjon om LDAP, se her.

Den støttede LDAP-standarden er LDAP versjon 3 (RFC 2251).

Slik knytter du DiskStation til en katalogtjeneste:

  1. Gå til Kontrollpanel > Katalogtjeneste
  2. Gå til fanen LDAP og merk av for Aktiver LDAP-klient.
  3. Angi IP-adressen eller domenenavnet til LDAP-serveren i feltet LDAP-serveradresse.
  4. Velg en krypteringstype fra rullegardinmenyen Kryptering for å kryptere LDAP-tilkoblingen til LDAP-serveren.
  5. Angi LDAP-serverens Base DN i feltet Base DN.
  6. Velg egnet Profil avhengig av din LDAP-server. For eksempel, velger du Standard hvis du bruker Synology Directory Server eller Mac Open Directory.
  7. Hvis du vil gi brukere på en LDAP-server som ikke støtter Samba-skjema tilgang til DiskStation-filer via CIFS, merker du av for Aktiver CIFS-passordbeskyttelse med ren tekst. Se avsnittet nedenfor for å sikre at LDAP-brukere kan bruke sine datamaskiner for å få tilgang til DiskStation-filer via CIFS.
  8. Klikk på Bruk.
  9. Angi Bind DN (eller LDAP-administratorkonto) og passord i feltene, og klikk deretter på OK.

Om CIFS-støtte og klientdatamaskinens innstillinger

Etter at CIFS-passordbeskyttelse med ren tekst er aktivert, må LDAP-brukere kanskje endre sine datamaskiners innstillinger for å få tilgang til DiskStation-filer via CIFS:

Slik endrer du Windows-innstillingene:

  1. Gå til Start > Kjør, skriv inn regedit i feltet, og klikk på OK for å åpne Registerredigering.
  2. Avhengig av Windows-versjonen finner du frem til følgende registernøkkel:
  3. Opprett eller endre DWORD-verdien EnablePlainTextPassword og endre dens verdidata fra 0 til 1.
  4. Start Windows på nytt for at endringen skal tre i kraft.

Slik endrer du innstillinger for Mac OS X:

  1. Gå til Programmer > Verktøy for å åpne Terminal.
  2. Opprett en tom fil /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
    
  3. Åpne /etc/nsmb.conf med vi:
    sudo vi /etc/nsmb.conf
    
  4. Skriv inn i for å sette inn tekst, og lim inn følgende:
    [default]
    minauth=none
  5. Trykk på Esc-tasten og skriv inn ZZ for å lagre endringene og avslutte vi.

Slik endrer du Linux-innstillingene:

Hvis du bruker smbclient, legger du til følgende nøkler i [global]-seksjonen av smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Hvis du bruker mount.cifs, utfører du følgende kommando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

For mer informasjon kan du gå til https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Om profiler

Forskjellige LDAP-servere kan bruke forskjellige attributter for å gjøre rede for kontonavn, gruppenavn, eller for å skille mellom kontoer og grupper. Alternatviet Profil lar deg spesifisere eller tilpasse hvordan bruker- og gruppeinformasjon tilordnes til LDAP-attributter. En av følgende profiler kan velges, avhengig av din LDAP-server:

Før du tilpasser tilordning av LDAP-attributter, vil du trenge noe bakgrunnsinformasjon. Synology DSM og Profil-redigeringsprogrammet overholder RFC 2307. For eksempel kan du spesifisere filter > passwd som userFilter, og da vil DiskStation tolke oppføringer med objectClass=userFilter på din LDAP-server som LDAP-kontoer. Hvis du spesifiserer passwd > uid som username, vil DiskStation tolke username på din LDAP-server som et kontonavn. Hvis du lar tilordningen stå tom, vil RFC 2307-regler gjelde.

DiskStation krever et fastsatt heltall som skal tjene som en LDAP-kontoidentifikator (uidNumber) eller en gruppeidentifikator (gidNumber). Men ikke alle LDAP-servere bruker heltall til å representere slike attributter. Derfor får du oppgitt et nøkkelord HASH() for å konvertere slike attributter til heltall. For eksempel kan din LDAP-server bruke attributten userid med en heksadesimalverdi som den unike identifikatoren for en LDAP-konto. I slike tilfeller, kan du angi passwd > uidNumber som HASH(userid), slik at DiskStation kan konvertere det om til et heltall.

Det følgende er et sammendrag av egendefinerbare attributter:

Om UID/GID-forskyvning

For å unngå UID/GID-konflikter mellom LDAP-brukere/-grupper og lokale brukere/grupper, kan du aktivere UID/GID-forskyvning for å forskyve UID/GID for LDAP-brukere/-grupper med 1 000 000. Dette alternativet er kun for LDAP-servere som ikke er fra Synology og som har en unik numerisk ID-attributt for hver bruker/gruppe.

Om nestet gruppeutvidelse

I en nestet gruppe tilhører et LDAP-gruppemedlem en annen LDAP-gruppe der en organisasjons hierarki er representert. Når brukere slår opp hvilken gruppe et spesifikt medlem tilhører, eller navnelisten til en spesifikk gruppe, vil DiskStation utvide en nestet gruppe i henhold til member-attributtene til LDAP-gruppen, med attributtreferanse til en underodnet gruppes unike navn (DN - Distinguished Name). Utvidelse av en nestet gruppe kan ta lang tid under ulike omstendigheter, f.eks. hvis serveren ikke indekserer member-attributten, eller hvis gruppen er kraftig nestet. Du kan velge ikke å utvide en nestet gruppe for å unngå slike tidkrevende operasjoner.