O LDAP permite que o DiskStation adira a um serviço de diretório existente como cliente LDAP e, em seguida, obtenha as informações de utilizador ou grupo a partir de um servidor LDAP (ou "directory server"). Poderá gerir privilégios de acesso de utilizadores ou grupos LDAP a aplicações DSM e pastas partilhadas, como faria com utilizadores ou grupos DSM locais. Para obter mais informações sobre LDAP, consulte aqui.
O padrão LDAP suportado é LDAP versão 3 (RFC 2251).
Após ativar a autenticação por palavra-passe em texto simples CIFS, os utilizadores LDAP poderão necessitar de modificar as definições dos seus computadores para conseguirem aceder a ficheiros de DiskStation através de CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Se estiver a utilizar o smbclient, adicione as chaves seguintes na secção [global] de smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Se estiver a utilizar mount.cifs, execute o comando seguinte:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para mais informação, aceda a https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Servidores LDAP diferentes poderão utilizar atributos diferentes para nomes de contas, nomes de grupos ou para distinguir entre contas e grupos. A opção Perfil permite especificar ou personalizar a forma como as informações do utilizador e do grupo são mapeadas para os atributos LDAP. É possível selecionar um dos seguintes perfis, dependendo do seu servidor LDAP:
Antes de personalizar os mapeamentos de atributos LDAP, necessitará de ter conhecimentos adquiridos. O Synology DSM e o editor Perfil seguem RFC 2307. Por exemplo, pode especificar filter > passwd como userFilter, em que DiskStation irá interpretar os registos com objectClass=userFilter no servidor LDAP como contas LDAP. Se especificar passwd > uid como username, o DiskStation irá interpretar username no servidor LDAP como um nome da conta. Se deixar o mapeamento vazio irá aplicar as regras da RFC 2307.
O DiskStation requer um número inteiro fixo para funcionar como identificador da conta LDAP (uidNumber) ou identificador do grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representarem esses atributos. Assim, é fornecida uma palavra-chave HASH() para converter esses atributos em números inteiros. Por exemplo, o servidor LDAP poderá utilizar o atributo userid com um valor hexadecimal como identificador exclusivo de uma conta LDAP. Neste caso, pode definir passwd > uidNumber como HASH(userid) e, em seguida, DiskStation irá converter num número inteiro.
Segue-se um resumo dos atributos personalizáveis:
Para evitar conflitos de UID/GID entre os utilizadores/grupos LDAP e os utilizadores/grupos locais, pode ativar a troca de UID/GID para trocar o UID/GID dos utilizadores/grupos LDAP por 1000000. Esta opção é apenas para os servidores LDAP que não sejam servidores LDAP não Synology e que disponham de um único atributo de ID numérico para cada utilizador/grupo.
Num grupo aninhado, um membro do grupo LDAP pertence a outro grupo LDAP, onde a hierarquia de uma organização é representada. Quando os utilizadores verificam a que grupo um membro específico pertence, ou uma lista de nomes de um grupo específico, o DiskStation expandirá um grupo aninhado de acordo com os atributos de membro de um grupo LDAP, onde o DN (Distinguished Name ou Nome distinto) de um grupo subordinado é referenciado pelo atributo. A expansão de um grupo aninhado pode demorar muito tempo em circunstâncias diferentes, como por ex., quando o servidor não indexa o atributo de membro ou o grupo está aninhado de forma profunda. Poderá optar por não expandir um grupo aninhado para evitar estas ocorrências.