LDAP permite a DiskStation unirse a un servicio de directorio existente como cliente LDAP y obtener información de usuarios o de grupos de un servidor LDAP (o "Directory Server"). Puede administrar los privilegios de acceso de usuarios o grupos de LDAP a aplicaciones DSM y carpetas compartidas exactamente igual que haría con usuarios o grupos locales DSM. Para obtener más información acerca de LDAP, haga clic aquí.
El estándar LDAP admitido es la versión 3 de LDAP (RFC 2251).
Una vez que la autenticación de contraseñas en texto plano CIFS esté habilitada, puede que los usuarios de LDAP tengan que modificar la configuración de su ordenador para poder acceder a los archivos de DiskStation a través de CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Si está utilizando smbclient, agregue las siguientes claves en la sección [global] de smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Si está utilizando mount.cifs, ejecute el siguiente comando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para obtener más información, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Es posible que diferentes servidores LDAP utilicen diferentes atributos para nombres de cuenta, nombres de grupo o para distinguir entre cuentas y grupos. La opción de Perfil le permite especificar o personalizar como se asigna la información de usuario y grupo a los atributos LDAP. Según su servidor LDAP se puede seleccionar uno de los siguientes perfiles:
Antes de personalizar la asignación de atributos LDAP, necesitará algunos conocimientos previos. Synology DSM y el editor de Perfil se adhieren a RFC 2307. Por ejemplo, puede especificar filter > passwd como userFilter, en cuyo caso DiskStation interpretará los registros con objectClass=userFilter en su servidor LDAP como cuentas LDAP. Si especifica passwd > uid como username, DiskStation interpretará username en su servidor LDAP como un nombre de cuenta. Si deja la asignación vacía, se aplicarán las reglas RFC 2307.
DiskStation necesita un entero fijo para que sirva de identificador de cuenta LDAP (uidNumber) o de identificador de grupo (gidNumber). Sin embargo, no todos los servidores LDAP utilizan enteros para representar dichos atributos. Por tanto, se proporciona una palabra clave HASH() para convertir dichos atributos a enteros. Por ejemplo, su servidor LDAP podría utilizar el atributo userid con un valor hexadecimal como identificador único para una cuenta LDAP. En este caso, usted puede configurar passwd > uidNumber como HASH(userid), y entonces DiskStation lo convertirá en un entero.
A continuación se muestra un resumen de atributos personalizables:
Para evitar conflictos UID/GID entre usuarios/grupos de LDAP y usuarios/grupos locales, puede habilitar el cambio UID/GID para cambiar el UID/GID de usuarios/grupos de LDAP en 1000000. Esta opción solo sirve para servidores LDAP que no son de Synology y que tienen un atributo de ID único para cada usuario/grupo.
En un grupo anidado, el miembro de un grupo de LDAP pertenece a otro grupo de LDAP en el que se representa la jerarquía de una organización. Cuando los usuarios consultan a qué grupo pertenece un miembro determinado o buscan la lista de nombres de un grupo específico, DiskStation expandirá un grupo anidado en función de los atributos miembro del grupo de LDAP, donde se referencia al DN (nombre distintivo) de un grupo secundario por el atributo. La expansión de un grupo anidado puede llevar mucho tiempo según las circunstancias como, por ejemplo, cuando el servidor no indexa el atributo miembro o si el grupo está excesivamente anidado. Puede elegir no expandir un grupo anidado para evitar que esto ocurra.
Permitimos el uso de certificados de cliente. Algunos servidores LDAP específicos, como Google LDAP, utilizan certificados para autenticar a los clientes. Puede cargar el certificado de cliente después de marcar la opción Habilitar certificado de cliente.
Esta función es compatible con DSM 6.2.2 o superior.