LDAP

LDAP umożliwia DiskStation dołączenie do istniejącej usługi katalogowej jako klient LDAP, a następnie pobranie informacji o użytkowniku lub grupie z serwera LDAP (lub „directory server”). Użytkownik może zarządzać uprawnieniami dostępu użytkowników lub grup LDAP do aplikacji DSM i folderów współdzielonych podobnie jak w przypadku lokalnych użytkowników lub grup DSM. Więcej informacji na temat uwierzytelniania LDAP można znaleźć tutaj.

Obsługiwany standard LDAP to LDAP wersja 3 (RFC 2251).

Aby podłączyć urządzenia DiskStation do usługi katalogowej:

  1. Wybierz polecenie Panel sterowania > Domena/LDAP.
  2. Przejdź do karty LDAP i zaznacz Włącz klienta LDAP.
  3. Wprowadź adres IP lub nazwę domeny serwera LDAP w polu Adres serwera LDAP.
  4. Wybierz typ szyfrowania z menu rozwijanego Szyfrowanie, aby szyfrować połączenia LDAP do serwera LDAP.
  5. Wprowadź ustawienia Base DN lub serwera LDAP w polu Base DN.
  6. Wybierz odpowiedni Profil w zależności od używanego serwera LDAP. Wybierz np. Standardowy, jeśli korzystasz z serwera LDAP Server firmy Synology lub serwera Mac Open Directory.
  7. Aby umożliwić użytkownikom serwera LDAP, który nie obsługuje planu Samba, dostęp do plików urządzenia DiskStation za pośrednictwem CIFS, zaznacz pole wyboru Włącz autoryzację za pomocą hasła w postaci zwykłego tekstu CIFS. Zapoznaj się z poniższą sekcją, aby upewnić się, że użytkownicy LDAP mogą za pomocą swoich komputerów pomyślnie uzyskać dostęp do plików DiskStation przez CIFS.
  8. Kliknij Zastosuj.
  9. Wprowadź w polach Bind DN (lub konto administratora LDAP) oraz hasło, a następnie kliknij OK.

Informacje o obsłudze protokołu CIFS i ustawieniach komputerów klienckich

Po włączeniu uwierzytelnienia za pomocą hasła w postaci zwykłego tekstu CIFS od użytkowników LDAP może być wymagana modyfikacja ustawień komputera w celu uzyskania dostępu do plików urządzenia DiskStation za pośrednictwem CIFS:

Aby zmodyfikować ustawienia systemu Windows:

  1. Wybierz polecenie Start > Uruchom, wpisz regedit i kliknij OK, aby otworzyć Edytor rejestru.
  2. W zależności od wersji systemu Windows, odszukaj lub utwórz następujący wpis rejestru:
    • Windows 2000, XP, Vista i Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 oraz Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Utwórz lub zmodyfikuj wartość DWORD EnablePlainTextPassword i zmień wartość jej danych z 0 na 1.
  4. Uruchom ponownie system Windows, aby zastosować zmiany.

Aby zmodyfikować ustawienia systemu Mac OS X:

  1. Wybierz polecenie Aplikacje > Narzędzia, aby otworzyć okno Terminal.
  2. Utwórz pusty plik /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Otwórz plik /etc/nsmb.conf w programie vi:
    sudo vi /etc/nsmb.conf
  4. Wpisz „i”, aby wstawić tekst, a następnie wklej poniższy tekst:
    [default]
    minauth=none
  5. Naciśnij klawisz Esc, a następnie wpisz „ZZ”, aby zapisać zmiany i zamknąć program vi.

Aby zmodyfikować ustawienia systemu Linux:

Jeśli korzystasz z smbclient, dodaj następujące wpisy w sekcji [global] pliku smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Jeśli korzystasz z mount.cifs, wpisz poniższe polecenie:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Szczegółowe informacje znajdziesz pod adresem https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README.

Informacje o profilach

Poszczególne serwery LDAP mogą korzystać z różnych atrybutów dla nazw kont i nazw grup bądź też w celu rozróżnienia kont i grup. Opcja Profil umożliwia określenie lub skonfigurowanie sposobu, w jaki informacje o użytkowniku i grupie są mapowane do atrybutów LDAP. W zależności od używanego serwera LDAP można wybrać jeden z poniższych profili:

Przed konfiguracją atrybutów mapowania LDAP użytkownik powinien posiąść podstawową wiedzę w tym zakresie. System Synology DSM i edytor Profili są zgodne ze standardem RFC 2307. Użytkownik może określić filter > passwd jako userFilter, dzięki czemu DiskStation będzie interpretować zapisy za pomocą objectClass=userFilter na serwerze LDAP jako konta LDAP. Jeśli określisz passwd > uid jako username, DiskStation będzie interpretować username na serwerze LDAP jako nazwę konta. Pozostawienie pustych opcji mapowania spowoduje zastosowanie zasad standardu RFC 2307.

DiskStation wymaga stałej liczby całkowitej, która będzie służyć jako identyfikator konta LDAP (uidNumber) lub identyfikator grupy (gidNumber). Jednak nie wszystkie serwery LDAP używają liczb całkowitych jako takich atrybutów. Dlatego też słowo kluczowe HASH() może być użyte do konwertowania atrybutów na liczby całkowite. Na przykład serwer LDAP może używać atrybutu userid o wartości szesnastkowej jako unikatowego identyfikatora dla konta LDAP. W takim przypadku użytkownik może ustawić passwd > uidNumber na HASH(userid), po czym DiskStation przekonwertuje wartość na liczbę całkowitą.

Poniżej znajduje się podsumowanie atrybutów, które można zmodyfikować:

Informacje o przesunięciu UID/GID

Aby uniknąć konfliktów UID/GID pomiędzy użytkownikami/grupami LDAP i użytkownikami/grupami lokalnymi, można włączyć przesunięcie UID/GID w celu przesunięcia UID/GID dla użytkowników/grup serwera LDAP o 1 000 000. Ta opcja dotyczy tylko serwerów LDAP, które nie są serwerami LDAP firmy Synology i mają unikatowy, numeryczny atrybut identyfikatora ID dla każdego użytkownika/grupy.

Informacje związane z rozszerzaniem grup osadzonych

W przypadku grupy osadzonej członek grupy LDAP należy do innej grupy LDAP, co odzwierciedla hierarchię organizacji. Gdy użytkownik szuka informacji, do której grupy należy dany członek, lub chce poznać listę nazw członków określonej grupy, serwer DiskStation rozwinie grupę osadzoną zgodnie z atrybutami member (członek) grupy LDAP, gdzie nazwa wyróżniająca DN (Distinguished Name) grupy podrzędnej posiada odniesienie związane z tym atrybutem. W niektórych okolicznościach rozwinięcie grupy osadzonej może zająć dużo czasu, np. jeśli serwer nie indeksuje atrybutu member lub grupa jest głęboko osadzona. Aby tego uniknąć, możesz zrezygnować z rozwijania grupy osadzonej.

O certyfikatach klienta

Obsługujemy wykorzystanie certyfikatu klienta. Niektóre specyficzne serwery LDAP, np. Google LDAP, używają certyfikatów do uwierzytelniania klientów. Można przesłać certyfikat klienta po zaznaczeniu opcji Włącz certyfikat klienta .

Uwaga:

Funkcja ta jest obsługiwana przez system DSM w wersji 6.2.2 lub wyżej.