LDAP

Az LDAP lehetővé teszi, hogy a(z) DiskStation egy meglévő könyvtárszolgáltatáshoz csatlakozzon LDAP-kliensként, majd lekérje a felhasználói vagy csoportinformációkat az LDAP-szerverről (avagy „címtárszerverről”). Az LDAP felhasználóinak vagy csoportjainak DSM alkalmazásokhoz és megosztott mappákhoz való hozzáférési jogosultságait ugyanúgy kezelheti, mint a DSM helyi felhasználóiét vagy csoportjaiét. Az LDAP protokollról további információkat talál itt.

A támogatott LDAP-szabvány az LDAP 3-as verzió (RFC 2251).

A(z) DiskStation összekapcsolása egy könyvtárszolgáltatással:

  1. Lépjen a Vezérlőpult > Könyvtárszolgáltatás menüpontra
  2. Lépjen az LDAP lapra, ahol jelölje be az LDAP kliens engedélyezése jelölőnégyzetet.
  3. Adja meg az LDAP-szerver IP-címét vagy tartománynevét az LDAP-szerver címe mezőben.
  4. Válasszon titkosítási típust a Titkosítás legördülő menüből az LDAP-szerverhez való LDAP-kapcsolódás titkosításához.
  5. Adja meg az LDAP szerver Base DN-jét a Base DN mezőben.
  6. Válassza ki az LDAP-szervernek megfelelő Profil beállítást. Synology Directory Server vagy Mac Open Directory használata esetén például válassza a Normál lehetőséget.
  7. Amennyiben szeretné engedélyezni, hogy a Samba sémát nem támogató LDAP-szerver felhasználói is hozzáférhessenek a(z) DiskStation eszközön tárolt fájlokhoz CIFS-en keresztül, jelölj be a CIFS egyszerű szöveges jelszó-hitelesítés engedélyezése jelölőnégyzetet. Olvassa el az alábbi részt, ha engedélyezni szeretné, hogy az LDAP-felhasználók számítógépükről CIFS-en keresztül elérjék a(z) DiskStation fájljait.
  8. Kattintson az Alkalmaz gombra.
  9. Adja meg a Bind DN értéket (vagy az LDAP-rendszergazdai fiókot) és a jelszót a mezőkben, majd kattintson az OK gombra.

A CIFS támogatásról és a kliens számítógépének beállításairól

A CIFS egyszerű szöveges jelszó-hitelesítés engedélyezését követően előfordulhat, hogy az LDAP felhasználóinak módosítaniuk kell számítógépük beállítását, hogy CIFS-en keresztül elérhessék a(z) DiskStation fájljait:

A Windows beállításainak módosítása:

  1. Lépjen a Start > Futtatás menübe, írja be a mezőbe, hogy regedit, majd kattintson az OK gombra a Regisztráció szerkesztő megnyitásához.
  2. A Windows verziójától függően keresse meg vagy hozza létre a következő regisztrációt:
  3. Hozza létre vagy módosítsa a DWORD értéket az EnablePlainTextPassword alatt, és módosítsa az adatot 0 és 1 között.
  4. Indítsa újra a Windows rendszert a változtatások érvényesítéséhez.

A Mac OS X beállításainak módosítása:

  1. Lépjen az Alkalmazások > Segédeszközök oldalra, és nyissa meg a Terminál menüpontot.
  2. Hozzon létre egy üres fájlt: /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Nyissa meg az /etc/nsmb.conf fájlt a vi-vel:
    sudo vi /etc/nsmb.conf
  4. Írja be: „i“ a szöveg beillesztéséhez, majd illessze be a következőt:
    [default]
    > minauth=none
  5. Nyomja meg az Esc gombot, majd írja be: „ZZ”, hogy mentse a módosításokat és kilépjen a vi-ből.

A Linux beállításainak módosítása:

smbclient használata esetén adja hozzá az alábbi kódot az smb.conf [global] szakaszához:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

mount.cifs használata esetén adja ki az alábbi parancsot:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

További információkért tekintse meg az alábbi oldalt: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Profilok bemutatása

Előfordulhat, hogy a különböző LDAP-szerverek különböző attribútumokat használnak a fióknevekre vagy csoportnevekre, illetve a fiókok vagy csoportok megkülönböztetésére. A Profil opció segítségével megadhatja, hogy a rendszer hogyan képezze le a felhasználó- és csoportadatokat LDAP-attribútumokká. Az LDAP-szerver típusától függően az alábbiak közül választhat:

Az LDAP-attribútumleképezések testreszabása előtt némi háttértudásra lesz szüksége. A Synology DSM és a Profi szerkesztő egyaránt az RFC 2307 szabvány előírásait követi. A userFilter lehetőségnél például megadhatja a következőt: filter > passwd. Ebben az esetben a(z) DiskStation eszköz az objectClass=userFilter szöveggel rendelkező bejegyzéseket LDAP-fiókokként fogja kezelni az LDAP-szerveren. Amennyiben a passwd > uid lehetőségnél a username értéket adja meg, a(z) DiskStation eszköz a username szöveget fióknévként fogja értelmezni az LDAP-szerveren. A leképezés üresen hagyása esetén a rendszer az RFC 2307 szabályait alkalmazza.

A(z) DiskStation esetében rögzített egész számot kell használnia az LDAP-fiók azonosítójaként (uidNumber) vagy a csoport azonosítójaként (gidNumber). Ezeket az attribútumokat azonban nem minden LDAP-szerver képezi le egész számokként. Ezért ezen attribútumok egész számmá való konvertálásához egy kulcsszót (HASH()) biztosítunk. Előfordulhat például, hogy az Ön által használt LDAP-szerver hexadecimális értéket ad meg a userid változónál az LDAP-fiók egyedi azonosítójaként. Ebben az esetben állítsa HASH(userid) értékre a passwd > uidNumber lehetőséget, így a(z) DiskStation eszköz egész számmá konvertálja azt.

Az alábbiakban a testre szabható attribútumokat soroljuk fel:

UID-/GID-eltolás

Az LDAP-felhasználók/-csoportok és a helyi felhasználók/csoportok közötti ütközések elkerülése érdekében bekapcsolja az UID-/GID-eltolást, így a rendszer 1000000-val eltolja az LDAP-felhasználók/-csoportok UID-/GID-értékeit. Ez az opció kizárólag azon nem-Synology LDAP-szerverek számára áll rendelkezésre, melyek numerikus azonosítóattribútummal rendelkeznek az egyes felhasználók/csoportok számára.

A beágyazott csoportok kibontásáról

Beágyazott csoportról beszélünk, ha egy LDAP-csoporttag a vállalati hierarchia szerint egy másik LDAP-csoporthoz tartozik. Amikor a felhasználók megnézik, hogy egy adott tag mely csoporthoz tartozik, illetve megnyitják egy adott csoport névlistáját, a(z) DiskStation az LDAP-csoport member attribútuma szerint kibontja a beágyazott csoportot, ahol az alárendelt csoport DN-jére (megkülönböztető nevére) az attribútum hivatkozik. A beágyazott csoport kibontása rendkívül időigényes lehet, ha például a szerver nem indexeli a member attribútumot, vagy a csoport mélyre van ágyazva. Ennek elkerüléséhez megadhatja, hogy a rendszer ne bontsa ki a beágyazott csoportot.