Met LDAP kunt u uw DiskStation aanmelden bij een aanwezige adreslijstservice als een LDAP-client. Vervolgens kunt u gebruikers- of groepsgegevens van een LDAP-server (of "directory server") ophalen. U kunt toegangsrechten van LDAP-gebruikers of -groepen voor DSM-toepassingen en gedeelde mappen instellen, net als bij lokale DSM-gebruikers of -groepen. Meer informatie over LDAP vindt u hier.
De ondersteunde LDAP-standaard is LDAP-versie 3 (RFC 2251).
Na het inschakelen van CIFS-platte tekst wachtwoordverificatie moeten LDAP-gebruikers eventueel de instellingen van hun computer aanpassen zodat ze via CIFS toegang krijgen tot bestanden op DiskStation:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[default]
minauth=none
Als u smbclient gebruikt, voegt u de volgende sleutels toe in het gedeelte [global] van smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Als u mount.cifs gebruikt, voer dan de volgende opdracht uit:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Voor meer informatie zie https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Verschillende LDAP-servers kunnen verschillende kenmerken gebruiken voor accountnamen, groepnamen of om accounts en groepen te onderscheiden. Met de optie Profiel kunt u aangeven of aanpassen hoe gebruikers- en groepsinformatie worden toegewezen aan LDAP-kenmerken. Afhankelijk van uw LDAP-server kunt u een van de volgende profielen selecteren:
Het aanpassen van LDAP-kenmerktoewijzingen vereist enige basiskennis. Synology DSM en de Profiel-editor volgen RFC 2307. U kunt bijvoorbeeld filter > passwd als userFilter toewijzen waardoor DiskStation records met objectClass=userFilter op uw LDAP-server interpreteert als LDAP-accounts. Specificeert u passwd > uid als username dan zal DiskStation de record username op uw LDAP-server interpreteren als accountsnaam. Door de toewijzing leeg te laten worden de RFC 2307-regels van toepassing.
DiskStation vereist een vaste integer (gehele getal) die als een LDAP-account-id (uidNumber) of een groeps-id (gidNumber) fungeert. Maar niet alle LDAP-servers gebruiken integers (gehele getallen) om dergelijke kenmerken te vertegenwoordigen. Daarom bestaat een trefwoord HASH() om dergelijke kenmerken in integers om te zetten. Zo kan bijvoorbeeld uw LDAP-server het kenmerk userid met een hexadecimale waarde gebruiken als unieke id voor een LDAP-account. In dit geval kunt u passwd > uidNumber instellen op HASH(userid) en vervolgens zal DiskStation het omzetten naar een integer.
Hieronder vindt u een samenvatting van eigenschappen die kunnen worden aangepast:
Om UID/GID-conflicten tussen LDAP-gebruikers/groepen te voorkomen, kunt u UID/GID-verschuiving inschakelen om de UID/GID van LDAP-gebruikers/groepen bij 1000000 te verschiven. Deze optie is alleen beschikbaar voor LDAP-servers die non-Synology LDAP-servers zijn en een uniek numeriek ID-attribuut voor elke gebruiker/groep hebben.
In een geneste groep behoort een LDAP-groepslid tot een andere LDAP-groep waar de hiërarchie van een organisatie wordt weergegeven. Wanneer gebruikers willen weten tot welke groep een bepaald lid behoort of de naamlijst van een specifieke groep zal DiskStation een geneste groep uitvouwen naargelang de attributen van het lid van de LDAP-groep, waarbij de DN (Distinguished Name) van een child-groep op attribuut wordt aangeduid. De uitbreiding van een geneste groep kan onder bepaalde omstandigheden erg tijdsintensief zijn, bijv. bij servers waarbij leden niet op attribuut worden geïndexeerd of de groep diep genest is. Om dit te voorkomen kunt u ervoor kiezen om een geneste groep niet uit te breiden.
Wij ondersteunen het gebruik van clientcertificaten. Sommige LDAP-servers, bijv. Google LDAP, gebruiken certificaten om clients te verifiëren. U kunt het clientcertificaat uploaden nadat u het selectievakje van optie Clientcertificaat inschakelen hebt ingeschakeld.
deze functie wordt ondersteund op DSM 6.2.2 of hoger.