LDAP

LDAP 可让您的 DiskStation 以 LDAP 客户端的身份加入现有的目录服务,并从 LDAP 服务器(或称“目录服务器”)检索用户及群组信息。您可以管理 LDAP 用户或群组对 DSM 应用程序及共享文件夹的访问权限,就像管理 DSM 本地用户或群组一样容易。如需更多有关 LDAP 的信息,请参阅此处

支持的 LDAP 标准为 LDAP 第 3 版 (RFC 2251)。

若要将 DiskStation 加入目录服务:

  1. 进入控制面板 > 域/LDAP
  2. 进入 LDAP 选项卡并勾选启用 LDAP 客户端
  3. LDAP 服务器地址栏中输入 LDAP 服务器的 IP 地址或域名。
  4. 加密下拉菜单中选择加密类型,藉此加密连接至 LDAP 服务器的 LDAP 连接。
  5. Base DN 栏中输入 LDAP 服务器的 Base DN。
  6. 根据您的 LDAP 服务器来选择适当的配置文件。例如,如果您使用 Synology LDAP Server 或 Mac Open Directory,请选择标准
  7. 若要允许 LDAP 服务器的用户不支持 Samba schema 通过 CIFS 访问 DiskStation 文件,请勾选启用 CIFS 纯文本密码验证。请参阅下一节的说明来确认 LDAP 用户可以使用他们的计算机通过 CIFS 成功访问 DiskStation 文件。
  8. 单击应用
  9. 在栏中输入 Bind DN(或 LDAP 管理员帐户)和密码,然后单击确定

关于 CIFS 支持及客户端计算机的设置

启用 CIFS 纯文本密码验证后,LDAP 用户可能需要修改计算机的设置才能通过 CIFS 访问 DiskStation 文件:

若要修改 Windows 设置:

  1. 进入开始 > 运行,在栏中输入 regedit,然后单击确定来打开“注册表编辑器”。
  2. 根据所使用的 Windows 版本,查找或创建下列注册表:
    • Windows 2000、XP、Vista 和 Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1)、98 和 Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. 创建或修改 DWORD 值 EnablePlainTextPassword,并将其数值数据从 0 更改为 1
  4. 重新启动 Windows 来让变更生效。

若要修改 Mac OS X 设置:

  1. 请进入应用程序 > 实用工具打开终端机
  2. 创建空文件 /etc/nsmb.conf
    sudo touch /etc/nsmb.conf
  3. 使用 vi 打开 /etc/nsmb.conf
    sudo vi /etc/nsmb.conf
  4. 输入“i”来插入文本,并粘贴下列文本:
    [default]
    minauth=none
  5. 按下 Esc 键然后按下“ZZ”来保存变更并退出 vi。

若要修改 Linux 设置:

如果您正在使用 smbclient,请在 smb.conf[global] 区域添加下列键:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

如果您正在使用 mount.cifs,请执行以下命令:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

要了解更多信息,请参阅 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

关于配置文件

不同的 LDAP 服务器可能使用不同属性的帐户名和群组名来区别帐户和群组。配置文件选项可让您指定或自定义用户和群组信息映射至 LDAP 属性的方式。可根据您的 LDAP 服务器选择以下配置文件之一:

在自定义 LDAP 属性映射之前,您需要了解一些背景知识。Synology DSM 和配置文件编辑器都符合 RFC 2307 标准。例如,您可将 filter > passwd 指定为 userFilter,在此情况下,DiskStation 会将 LDAP 服务器上的 objectClass=userFilter 记录解析为 LDAP 帐户。如果您将 passwd > uid 指定为 username,则 DiskStation 会将 LDAP 服务器上的 username 解析为帐户名。让映射保留为空将应用 RFC 2307 规则。

DiskStation 需要固定整数来用作 LDAP 帐户标识符 (uidNumber) 或群组标识符 (gidNumber)。然而,并非所有的 LDAP 服务器均使用整数来表示此类属性。因此,提供关键字 HASH() 可将此类属性转换为整数。例如,您的 LDAP 服务器可能将一个十六进制值的属性 userid 用作 LDAP 帐户的唯一标识符。在此情况下,您可以将 passwd > uidNumber 设置为 HASH(userid),然后 DiskStation 会将其转换为整数。

以下为可自定义属性的汇总:

关于 UID/GID 转换

为避免 LDAP 用户/群组和本地用户/群组之间的 UID/GID 冲突,您可启用 UID/GID 转换以将 LDAP 用户/群组的 UID/GID 转换 1000000。此选项仅适用于为非 Synology LDAP 服务器的 LDAP 服务器,并使每个用户/群组有唯一的数值 ID 属性。

关于嵌套组扩充

在嵌套组中,LDAP 群组成员属于另一个 LDAP 群组,其中将显示组织的权限层级。当用户查找特定成员所属的群组,或特定群组的名称列表时,DiskStation 将根据 LDAP 群组的 member 属性扩充嵌套组,其中子群组的 DN(识别名)会由属性引用。嵌套组的扩充在不同的情况下可能非常耗时,如服务器没有为 member 属性建立索引或者群组深度嵌套。您可选择不扩充嵌套组以防此类情况的出现。

关于客户端证书

我们支持使用客户端证书。某些特定 LDAP 服务器(如 Google LDAP)使用证书来验证客户端。可以在勾选启用客户端证书选项之后上传客户端证书。

注:

DSM 6.2.2 或以上版本支持此功能。