LDAP
LDAP 可让您的 DiskStation 以 LDAP 客户端的身份加入现有的目录服务,并从 LDAP 服务器(或称“目录服务器”)检索用户及群组信息。您可以管理 LDAP 用户或群组对 DSM 应用程序及共享文件夹的访问权限,就像管理 DSM 本地用户或群组一样容易。如需更多有关 LDAP 的信息,请参阅此处。
支持的 LDAP 标准为 LDAP 第 3 版 (RFC 2251)。
若要将 DiskStation 加入目录服务:
- 进入控制面板 > 域/LDAP。

- 进入 LDAP 选项卡并勾选启用 LDAP 客户端。

- 在 LDAP 服务器地址栏中输入 LDAP 服务器的 IP 地址或域名。

- 从加密下拉菜单中选择加密类型,藉此加密连接至 LDAP 服务器的 LDAP 连接。

- 在 Base DN 栏中输入 LDAP 服务器的 Base DN。

- 根据您的 LDAP 服务器来选择适当的配置文件。例如,如果您使用 Synology LDAP Server 或 Mac Open Directory,请选择标准。

- 若要允许 LDAP 服务器的用户不支持 Samba schema 通过 CIFS 访问 DiskStation 文件,请勾选启用 CIFS 纯文本密码验证。请参阅下一节的说明来确认 LDAP 用户可以使用他们的计算机通过 CIFS 成功访问 DiskStation 文件。

- 单击应用。
- 在栏中输入 Bind DN(或 LDAP 管理员帐户)和密码,然后单击确定。

关于 CIFS 支持及客户端计算机的设置
启用 CIFS 纯文本密码验证后,LDAP 用户可能需要修改计算机的设置才能通过 CIFS 访问 DiskStation 文件:
- 如果您的 DiskStation 所加入的目录服务是由 Synology LDAP 服务器(也就是已安装并运行 LDAP Server 套件的另一部 DiskStation)提供的,或 LDAP 服务器支持 Samba schema 且所有 LDAP 用户皆有正确的 sambaNTPassword 属性,则 LDAP 用户可以通过 CIFS 访问 DiskStation 文件而无需勾选启用 CIFS 纯文本密码验证或修改计算机设置。否则,LDAP 用户需要启用其计算机的 PAM 支持才能通过 CIFS 访问 DiskStation 文件。然而,这样做会以纯文本的未加密格式传送 LDAP 用户的密码到 DiskStation,因而降低安全级别。
若要修改 Windows 设置:
- 进入开始 > 运行,在栏中输入 regedit,然后单击确定来打开“注册表编辑器”。
- 根据所使用的 Windows 版本,查找或创建下列注册表:
- Windows 2000、XP、Vista 和 Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
- Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
- Windows 95 (SP1)、98 和 Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
- 创建或修改 DWORD 值 EnablePlainTextPassword,并将其数值数据从 0 更改为 1。
- 重新启动 Windows 来让变更生效。
若要修改 Mac OS X 设置:
- 请进入应用程序 > 实用工具打开终端机。
- 创建空文件 /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
- 使用 vi 打开 /etc/nsmb.conf:
sudo vi /etc/nsmb.conf
- 输入“i”来插入文本,并粘贴下列文本:
[default]
minauth=none
- 按下 Esc 键然后按下“ZZ”来保存变更并退出 vi。
若要修改 Linux 设置:
如果您正在使用 smbclient,请在 smb.conf 的 [global] 区域添加下列键:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
如果您正在使用 mount.cifs,请执行以下命令:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
要了解更多信息,请参阅 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
关于配置文件
不同的 LDAP 服务器可能使用不同属性的帐户名和群组名来区别帐户和群组。配置文件选项可让您指定或自定义用户和群组信息映射至 LDAP 属性的方式。可根据您的 LDAP 服务器选择以下配置文件之一:
- 标准:适用于运行 Synology LDAP Server 或 Mac Open Directory 的服务器。
- IBM Lotus Domino:适用于运行 IBM Lotus Domino 8.5 的服务器。
- 自定义:可让您自定义映射。请参阅以下部分来了解详情。
在自定义 LDAP 属性映射之前,您需要了解一些背景知识。Synology DSM 和配置文件编辑器都符合 RFC 2307 标准。例如,您可将 filter > passwd 指定为 userFilter,在此情况下,DiskStation 会将 LDAP 服务器上的 objectClass=userFilter 记录解析为 LDAP 帐户。如果您将 passwd > uid 指定为 username,则 DiskStation 会将 LDAP 服务器上的 username 解析为帐户名。让映射保留为空将应用 RFC 2307 规则。
DiskStation 需要固定整数来用作 LDAP 帐户标识符 (uidNumber) 或群组标识符 (gidNumber)。然而,并非所有的 LDAP 服务器均使用整数来表示此类属性。因此,提供关键字 HASH() 可将此类属性转换为整数。例如,您的 LDAP 服务器可能将一个十六进制值的属性 userid 用作 LDAP 帐户的唯一标识符。在此情况下,您可以将 passwd > uidNumber 设置为 HASH(userid),然后 DiskStation 会将其转换为整数。
以下为可自定义属性的汇总:
- 过滤器
- group:群组所需的 objectClass 属性。
- passwd:用户所需的 objectClass 属性。
- shadow:用户密码所需的 objectClass 属性。
- 群组
- cn:群组名称。
- gidNumber:该群组的 GID 号。
- memberUid:该群组的成员。
- passwd
- uidNumber:该用户的 UID 号。
- uid:用户名。
- gidNumber:该用户的主 GID 号。
- shadow
- uid:用户名。
- userPassword:用户密码。
关于 UID/GID 转换
为避免 LDAP 用户/群组和本地用户/群组之间的 UID/GID 冲突,您可启用 UID/GID 转换以将 LDAP 用户/群组的 UID/GID 转换 1000000。此选项仅适用于为非 Synology LDAP 服务器的 LDAP 服务器,并使每个用户/群组有唯一的数值 ID 属性。
关于嵌套组扩充
在嵌套组中,LDAP 群组成员属于另一个 LDAP 群组,其中将显示组织的权限层级。当用户查找特定成员所属的群组,或特定群组的名称列表时,DiskStation 将根据 LDAP 群组的 member 属性扩充嵌套组,其中子群组的 DN(识别名)会由属性引用。嵌套组的扩充在不同的情况下可能非常耗时,如服务器没有为 member 属性建立索引或者群组深度嵌套。您可选择不扩充嵌套组以防此类情况的出现。
关于客户端证书
我们支持使用客户端证书。某些特定 LDAP 服务器(如 Google LDAP)使用证书来验证客户端。可以在勾选启用客户端证书选项之后上传客户端证书。
注:
DSM 6.2.2 或以上版本支持此功能。