Ваше устройство DiskStation можно подключать по протоколу LDAP к имеющейся службе каталогов в качестве клиента LDAP, а затем извлекать сведения о пользователях или группах с сервера LDAP (или «directory server»). Правами доступа пользователей или групп LDAP к программам или общим папкам DSM можно управлять точно так же, как правами доступа локальных пользователей или групп DSM. Дополнительные сведения о LDAP см. здесь.
Поддерживается стандарт LDAP версии 3 (RFC 2251).
После включения проверки подлинности пароля в формате обычного текста CIFS пользователям LDAP, возможно, придется изменить настройки своих компьютеров, чтобы получать доступ к файлам на устройстве DiskStation по протоколу CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
При использовании smbclient добавьте следующие ключи в разделе [global] файла smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
При использовании mount.cifs выполните следующую команду:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Подробную информацию см. на сайте: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Разные серверы LDAP должны использовать разные атрибуты для имен учетных записей, имен групп или чтобы отличать учетные записи от групп. Опция Профиль позволяет указывать или настраивать то, как информация о пользователе и группе сопоставлена с атрибутами LDAP. В зависимости от вашего сервера LDAP можно выбрать один из следующих профилей:
Перед настройкой сопоставлений атрибутов LDAP необходимо учитывать следующие сведения. Synology DSM и редактор Профиль оба относятся к RFC 2307. Например, можно указать filter > passwd как userFilter. В этом случае DiskStation интерпретирует записи с objectClass=userFilter на вашем сервере LDAP как учетные записи LDAP. Если указать passwd > uid как username, DiskStation интерпретирует username на вашем сервере LDAP как имя учетной записи. Если оставить сопоставление незаполненным, будут применены правила RFC 2307.
DiskStation требует указания целого числа в качестве идентификатора учетной записи LDAP (uidNumber) или идентификатора группы (gidNumber). Однако не все серверы LDAP используют целые числа для представления таких атрибутов. Поэтому для преобразования атрибутов в целые числа предоставляется ключевое слово HASH(). Например, ваш сервер LDAP может использовать атрибут userid с шестнадцатеричным значением в качестве уникального идентификатора для учетной записи LDAP. В этом случае можно указать passwd > uidNumber для HASH(userid), а затем DiskStation преобразует его в целое число.
Ниже представлена сводная информация о настраиваемых атрибутах.
Во избежание конфликтов UID/GID между пользователями/группами LDAP и локальными пользователями/группами можно включить изменение UID/GID для переключения UID/GID пользователей/групп LDAP на 1 000 000. Этот параметр предназначен только для серверов LDAP других производителей (не Synology), которые имеют атрибут уникального числового идентификатора для каждого пользователя или группы.
Во вложенной группе участник группы LDAP принадлежит другой группе LDAP, в которой представлена иерархия организации. Когда пользователь смотрит, к какой группе относится определенный участник, или просматривает список имен в определенной группе, DiskStation разворачивает вложенную группу в соответствии с атрибутами member группы LDAP, в которой атрибут ссылается на различающееся имя (DN) дочерней группы. Развертывание вложенной группы может отнимать много времен при различных обстоятельствах, например, когда сервер не индексирует атрибут member, или группа имеет глубокую структуру. Вы можете не разворачивать вложенную группу, чтобы предотвратить подобные случаи.
Мы поддерживаем использование сертификата клиента. Определенные серверы LDAP, например Google LDAP, для аутентификации клиентов используют сертификаты. Чтобы загрузить сертификат клиента, необходимо установить флажок Включить сертификат клиента.
Эта функция поддерживается в DSM 6.2.2 или более поздней версии.