LDAP

LDAP permite a DiskStation unirse a un servicio de directorio existente como cliente LDAP y obtener información de usuarios o de grupos de un servidor LDAP (o "Directory Server"). Puede administrar los privilegios de acceso de usuarios o grupos de LDAP a aplicaciones DSM y carpetas compartidas exactamente igual que haría con usuarios o grupos locales DSM. Para obtener más información acerca de LDAP, haga clic aquí.

El estándar LDAP admitido es la versión 3 de LDAP (RFC 2251).

Para unir DiskStation a un servicio de directorio:

  1. Vaya a Panel de control > Dominio/LDAP.
  2. Vaya a LDAP y marque Activar cliente LDAP.
  3. Introduzca la dirección IP o el nombre de dominio del servidor LDAP en el campo Dirección del servidor LDAP.
  4. Elija un tipo de cifrado en el menú desplegable Cifrado para cifrar la conexión LDAP al servidor LDAP.
  5. Introduzca el Base DN del servidor LDAP en el campo Base DN.
  6. Seleccione el Perfil adecuado según su servidor LDAP. Por ejemplo, elija Estándar si está utilizando el Synology LDAP Server o el Mac Open Directory.
  7. Para que los usuarios de un servidor LDAP que no admita esquemas Samba puedan acceder a los archivos de DiskStation a través de CIFS, marque la casilla Habilitar la autenticación de contraseñas en texto plano CIFS. Consulte la siguiente sección para asegurarse de que los usuarios de LDAP pueden usar sus ordenadores para acceder correctamente a los archivos de DiskStation a través CIFS.
  8. Haga clic en Aplicar.
  9. Escriba el Bind DN (o cuenta de administrador de LDAP) y la contraseña en los campos y luego haga clic en OK.

Acerca de la compatibilidad CIFS y la configuración del ordenador cliente

Una vez que la autenticación de contraseñas en texto plano CIFS esté habilitada, puede que los usuarios de LDAP tengan que modificar la configuración de su ordenador para poder acceder a los archivos de DiskStation a través de CIFS:

Para modificar la configuración de Windows:

  1. Vaya a Inicio > Ejecutar, escriba regedit en el campo y luego haga clic en OK para abrir el Editor del Registro.
  2. Dependiendo de su versión de Windows, busque o cree el siguiente registro:
    • Windows 2000, XP, Vista y Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 y Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Cree o modifique el valor DWORD EnablePlainTextPassword y cambie el dato de valor de 0 a 1.
  4. Reinicie Windows para que el cambio surta efecto.

Para modificar la configuración de Mac OS X:

  1. Vaya a Aplicaciones > Utilidades para abrir Terminal.
  2. Cree un archivo vacío /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Abra /etc/nsmb.conf con vi:
    sudo vi /etc/nsmb.conf
  4. Escriba "i" para insertar texto y pegue lo siguiente:
    [default]
    minauth=none
  5. Pulse la tecla Esc y luego escriba "ZZ" para guardar los cambios y salga de vi.

Para modificar la configuración de Linux:

Si está utilizando smbclient, agregue las siguientes claves en la sección [global] de smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Si está utilizando mount.cifs, ejecute el siguiente comando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para obtener más información, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Acerca de los perfiles

Es posible que diferentes servidores LDAP utilicen diferentes atributos para nombres de cuenta, nombres de grupo o para distinguir entre cuentas y grupos. La opción de Perfil le permite especificar o personalizar como se asigna la información de usuario y grupo a los atributos LDAP. Según su servidor LDAP se puede seleccionar uno de los siguientes perfiles:

Antes de personalizar la asignación de atributos LDAP, necesitará algunos conocimientos previos. Synology DSM y el editor de Perfil se adhieren a RFC 2307. Por ejemplo, puede especificar filter > passwd como userFilter, en cuyo caso DiskStation interpretará los registros con objectClass=userFilter en su servidor LDAP como cuentas LDAP. Si especifica passwd > uid como username, DiskStation interpretará username en su servidor LDAP como un nombre de cuenta. Si deja la asignación vacía, se aplicarán las reglas RFC 2307.

DiskStation necesita un entero fijo para que sirva de identificador de cuenta LDAP (uidNumber) o de identificador de grupo (gidNumber). Sin embargo, no todos los servidores LDAP utilizan enteros para representar dichos atributos. Por tanto, se proporciona una palabra clave HASH() para convertir dichos atributos a enteros. Por ejemplo, su servidor LDAP podría utilizar el atributo userid con un valor hexadecimal como identificador único para una cuenta LDAP. En este caso, usted puede configurar passwd > uidNumber como HASH(userid), y entonces DiskStation lo convertirá en un entero.

A continuación se muestra un resumen de atributos personalizables:

Acerca del cambio UID/GID

Para evitar conflictos UID/GID entre usuarios/grupos de LDAP y usuarios/grupos locales, puede habilitar el cambio UID/GID para cambiar el UID/GID de usuarios/grupos de LDAP en 1000000. Esta opción solo sirve para servidores LDAP que no son de Synology y que tienen un atributo de ID único para cada usuario/grupo.

Acerca de la expansión de grupos anidados

En un grupo anidado, el miembro de un grupo de LDAP pertenece a otro grupo de LDAP en el que se representa la jerarquía de una organización. Cuando los usuarios consultan a qué grupo pertenece un miembro determinado o buscan la lista de nombres de un grupo específico, DiskStation expandirá un grupo anidado en función de los atributos miembro del grupo de LDAP, donde se referencia al DN (nombre distintivo) de un grupo secundario por el atributo. La expansión de un grupo anidado puede llevar mucho tiempo según las circunstancias como, por ejemplo, cuando el servidor no indexa el atributo miembro o si el grupo está excesivamente anidado. Puede elegir no expandir un grupo anidado para evitar que esto ocurra.

Acerca de los certificados de cliente

Permitimos el uso de certificados de cliente. Algunos servidores LDAP específicos, como Google LDAP, utilizan certificados para autenticar a los clientes. Puede cargar el certificado de cliente después de marcar la opción Habilitar certificado de cliente.

Observación:

Esta función es compatible con DSM 6.2.2 o superior.