LDAP gør det muligt for din DiskStation at være med i en eksisterende bibliotekstjenestem som LDAP-klient og så hente bruger- eller gruppeoplysninger fra en LDAP-server (eller "directory server"). Du kan styre LDAP-brugeres eller -gruppers adgangsprivilegier til DSM-programmer og delte mapper, lige som du ville med lokale DSM-brugere eller grupper. Yderligere oplysninger om LDAP findes her.
Den understøttede LDAP-standard er LDAP-version 3 (RFC 2251).
Når CIFS-adgangskodegodkendelse i almindelig tekst er aktiveret, skal LDAP-brugere måske ændre deres computeres indstillinger, så de kan få adgang til DiskStation filer via CIFS:
sudo touch /etc/nsmb.conf
sudo vi /etc/nsmb.conf
[standard]
minauth=none
Hvis du bruger smbclient, skal du tilføje følgende nøgler i afsnittet [global] i smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Hvis du bruger mount.cifs, skal du udføre følgende kommando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Yderligere oplysninger findes under https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Forskellige LDAP-servere kan bruge forskellige attributter til kontonavne, gruppenavne eller til at skelne mellem konti og grupper. Valgmuligheden Profil sætter dig i stand til at specificere eller tilpasse, hvordan bruger- og gruppeoplysninger tilknyttes til LDAP-attributter. En af følgende profiler kan vælges, afhængigt af din LDAP-server:
Før LDAP-attributtilknytning tilpasses, skal du have lidt baggrundkendskab. Synology DSM og Profil-editoren overholder begge RFC 2307. Du kan f.eks. specificere filter > passwd som userFilter, hvorefter DiskStation vil fortolke records med objectClass=userFilter på din LDAP-server som LDAP-konti. Hvis du specificerer passwd > uid som username, vil DiskStation fortolke username på LDAP-serveren som et kontonavn. Hvis du lader tilknytning være tom, gælder RFC 2307-regler.
DiskStation kræver et fast heltal, der skal bruges som en LDAP-konto-id (uidNumber) eller en gruppe-id (gidNumber). IDog bruger ikke alle LDAP-servere heltal til at repræsenterer sådanne attributter. Derfor angives et søgeord HASH() til at konvertere sådanne attributter til heltal. Din LDSP-server kan dog f.eks. bruge attributten userid med en hexadecimalværdi som entydig id til en LDAP-konto. I det tilfælde kan du angive passwd > uidNumber til HASH(userid), og så vil DiskStation konvertere det til et heltal.
Her følger en oversigt over attributter, der kan tilpasses:
Undgå UID/GID-konflikter mellem LDAP-brugere/-grupper og lokale brugere/-grupper ved at aktivere UID/GID-skifte for at skifte UID/GID for LDAP-brugere/-grupper med 1.000.000. Denne mulighed er kun for LDAP-servere, som er ikke-Synology LDAP-servere og har en unik numerisk id-attribut for hver bruger/gruppe.
I en indlejret gruppe tilhører en LDAP-gruppe en anden LDAP-gruppe, hvor hierarkiet for en organisation er repræsenteret. Når brugere slår den gruppe op, som et bestemt medlem hører til, eller navnelisten for en bestemt gruppe, vil DiskStation udvide en indlejret gruppe i overensstemmelse med medlemsattributterne for LDAP-gruppen, hvor DN (Distinguished Name) for en underordnet gruppe refereres til af attributten. Udvidelsen af en indlejret gruppe kan være meget tidskrævende under forskellige betingelser, f.eks. hvor serven ikke indekserer medlemsattributten, eller gruppen er dybt indlejret. Du kan vælge ikke at udvide en indlejret gruppe for at forhindre den type forekomster.