LDAP lar din DiskStation bli med i en eksisterende katalogtjeneste som for eksempel en LDAP-klient, og deretter hente bruker- eller gruppeinformasjon fra en LDAP-server (eller "directory server"). Du kan håndtere LDAP-brukeres eller gruppers tilgangsrettigheter til DSM-applikasjoner og delte mapper, på samme måte som du ville gjort med lokale DSM-brukere eller -grupper. Hvis du vil ha mer informasjon om LDAP, se her.
Den støttede LDAP-standarden er LDAP versjon 3 (RFC 2251).
Etter at CIFS-passordbeskyttelse med ren tekst er aktivert, må LDAP-brukere kanskje endre sine datamaskiners innstillinger for å få tilgang til DiskStation-filer via CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Hvis du bruker smbclient, legger du til følgende nøkler i [global]-seksjonen av smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Hvis du bruker mount.cifs, utfører du følgende kommando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
For mer informasjon kan du gå til https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Forskjellige LDAP-servere kan bruke forskjellige attributter for å gjøre rede for kontonavn, gruppenavn, eller for å skille mellom kontoer og grupper. Alternatviet Profil lar deg spesifisere eller tilpasse hvordan bruker- og gruppeinformasjon tilordnes til LDAP-attributter. En av følgende profiler kan velges, avhengig av din LDAP-server:
Før du tilpasser tilordning av LDAP-attributter, vil du trenge noe bakgrunnsinformasjon. Synology DSM og Profil-redigeringsprogrammet overholder RFC 2307. For eksempel kan du spesifisere filter > passwd som userFilter, og da vil DiskStation tolke oppføringer med objectClass=userFilter på din LDAP-server som LDAP-kontoer. Hvis du spesifiserer passwd > uid som username, vil DiskStation tolke username på din LDAP-server som et kontonavn. Hvis du lar tilordningen stå tom, vil RFC 2307-regler gjelde.
DiskStation krever et fastsatt heltall som skal tjene som en LDAP-kontoidentifikator (uidNumber) eller en gruppeidentifikator (gidNumber). Men ikke alle LDAP-servere bruker heltall til å representere slike attributter. Derfor får du oppgitt et nøkkelord HASH() for å konvertere slike attributter til heltall. For eksempel kan din LDAP-server bruke attributten userid med en heksadesimalverdi som den unike identifikatoren for en LDAP-konto. I slike tilfeller, kan du angi passwd > uidNumber som HASH(userid), slik at DiskStation kan konvertere det om til et heltall.
Det følgende er et sammendrag av egendefinerbare attributter:
For å unngå UID/GID-konflikter mellom LDAP-brukere/-grupper og lokale brukere/grupper, kan du aktivere UID/GID-forskyvning for å forskyve UID/GID for LDAP-brukere/-grupper med 1 000 000. Dette alternativet er kun for LDAP-servere som ikke er fra Synology og som har en unik numerisk ID-attributt for hver bruker/gruppe.
I en nestet gruppe tilhører et LDAP-gruppemedlem en annen LDAP-gruppe der en organisasjons hierarki er representert. Når brukere slår opp hvilken gruppe et spesifikt medlem tilhører, eller navnelisten til en spesifikk gruppe, vil DiskStation utvide en nestet gruppe i henhold til member-attributtene til LDAP-gruppen, med attributtreferanse til en underodnet gruppes unike navn (DN - Distinguished Name). Utvidelse av en nestet gruppe kan ta lang tid under ulike omstendigheter, f.eks. hvis serveren ikke indekserer member-attributten, eller hvis gruppen er kraftig nestet. Du kan velge ikke å utvide en nestet gruppe for å unngå slike tidkrevende operasjoner.