LDAP consente alla DiskStation di unire un servizio directory esistente come client LDAP e di recuperare le informazioni dell'utente o gruppo da un server LDAP (o "directory server"). È possibile gestire i privilegi di accesso agli utenti o gruppi LDAP alle applicazioni DSM e cartelle condivise, come con gli utenti o gruppi DSM locali. Per maggiori informazioni sul LDAP, fare riferimento qui.
lo standard LDAP supportato è LDAP versione 3 (RFC 2251).
Dopo avere attivato l'autenticazione della password come testo non crittografato CIFS, gli utenti LDAP potrebbero dover modificare le impostazioni dei computer per poter accedere ai file della DiskStation tramite CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Se si utilizza smbclient, aggiungere le seguenti chiavi nella sezione [global] di smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Se si sta utilizzando mount.cifs eseguire il seguente comando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Per maggiori informazioni, fare riferimento a https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Server LDAP diversi possono usare attributi diversi per nomi account, nomi gruppo o per distinguere tra account e gruppi. L'opzione Profilo consente di specificare o personalizzare come le informazioni utente e gruppo sono mappate agli attributi LDAP. È possibile selezionare uno dei profili seguenti in base al server LDAP in uso:
Per personalizzare le mappature dell'attributo LDAP, è necessarie disporre di alcune conoscenze di base. Synology DSM e l'editor Profilo aderiscono a RFC 2307. Ad esempio, è possibile specificare filter > passwd come userFilter, nel cui caso DiskStation interpreterà le registrazioni con objectClass=userFilter sul server LDAP come account LDAP. Se si specifica passwd > uid come username, il DiskStation interpreterà username sul server LDAP come nome account. Lasciando la mappatura vuota, saranno applicate le regole RFC 2307.
DiskStation richiede un valore intero fisso da utilizzare come identificatore di account LDAP (uidNumber) o identificatore di gruppo (gidNumber). Tuttavia, non tutti i server LDAP utilizzano valori interi per rappresentare tali attributi. Quindi, una parola chiave HASH() è fornita per convertire tali attributi a valori interi. Ad esempio, il server LDAP può utilizzare l'attributo userid con un valore esadecimale come identificatore unico per un account LDAP. In questo caso, è possibile impostare passwd > uidNumber su HASH(userid) e quindi DiskStation lo convertirà a un valore intero.
Di seguito un riepilogo degli attributi personalizzabili:
Per evitare conflitti UID/GID tra utenti/gruppi LDAP e utenti/gruppi locali, è possibile abilitare il passaggio UID/GID per impostare l'UID/GID degli utenti/gruppi LDAP in 1000.000. Questa opzione è valida solo per server LDAP non Synology e che dispongono di un ID numerico unico attribuito a ciascun utente/gruppo.
In un gruppo nidificato, un membro del gruppo LDAP appartiene a un altro gruppo LDAP, in cui viene rappresentata la gerarchia di un'organizzazione. Quando gli utenti ricercano il gruppo di appartenenza di uno specifico membro o l'elenco di nomi di un gruppo specifico, DiskStation espande un gruppo nidificato in base agli attributi member del gruppo LDAP, in cui il DN (Distinguished Name) di un gruppo child è indicato mediante l'attributo. L'espansione di un gruppo nidificato può richiedere molto tempo, a seconda delle circostante, es. se il server non indicizza l'attributo member oppure se il gruppo è nidificato in profondità. Per evitare che si verifichino queste condizioni, è possibile scegliere di non espandere un gruppo nidificato.
L'uso del certificato client è supportato. Alcuni server LDAP specifici, es. Google LDAP, usare i certificati per autenticare i client. È possibile caricare il certificato client dopo avere spuntato l'opzione Abilita certificato client.
questa funzione è supportata su DSM 6.2.2 o superiori.