LDAP
LDAP 可让您的 DiskStation 以 LDAP 客户端的身分加入现有的目录服务,并从 LDAP 服务器(或称“目录服务器”)检索用户及组信息。您可以管理 LDAP 用户或群组对 DSM 应用程序及共享共享文件夹的访问权限,就像管理 DSM 本地用户或群组一样容易。如需更多有关 LDAP 的信息,请参阅此处。
支持的 LDAP 标准为 LDAP 第 3 版(RFC 2251)。
若要将 DiskStation 加入目录服务:
- 请进入控制面板 > 目录服务。
- 进入 LDAP 选项卡并勾选启用 LDAP 客户端。
- 在 LDAP 服务器地址栏中输入 LDAP 服务器的 IP 地址或域名。
- 从加密下拉菜单中选择加密类型,藉此加密连接至 LDAP 服务器的 LDAP 连接。
- 在 Base DN 栏中输入 LDAP 服务器的 Base DN。
- 根据您的 LDAP 服务器来选择适当的配置文件。例如,如果您使用 Synology Directory Server 或 Mac Open Directory,请选择标准。
- 若要允许 LDAP 用户通过 CIFS 访问 DiskStation 文件,请勾选启用 CIFS 纯文本密码验证。请参阅下一区块的说明来确认 LDAP 用户可以使用他们的计算机通过 CIFS 成功访问 DiskStation 文件。
- 单击应用。
-
在栏中输入 Bind DN(或 LDAP 管理员帐户)和密码,然后单击确定。
关于 CIFPS 支持及客户端计算机的设置
启用 CIFS 支持后, LDAP 用户可能需要修改计算机的设置才能通过 CIFS 访问 DiskStation 文件。
-
如果您的 DiskStation 所加入的目录服务是由 Synology LDAP 服务器(也就是已安装并运行 Directory Server 套件的另一部 DiskStation)提供的,则 LDAP 用户可以通过 CIFS 访问 DiskStation 文件,过程中无须修改计算机设置。
-
如果 DiskStation 已连接至非 Synology 的 LDAP 服务器,则 LDAP 用户需要启动计算机的 PAM 支持功能才能通过 CIFS 访问 DiskStation 文件。然而,这样做会以纯文本的未加密格式传送 LDAP 用户的密码到 DiskStation,因而降低安全层级。
若要修改 Windows 设置:
- 请进入开始 > 运行,在栏中输入 regedit,然后单击确定来打开“注册表编辑器”。
-
视您使用的 Windows 版本,查找或创建下列注册表:
-
Windows 2000、XP、Vista 和 Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95(SP1)、98 和 Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
创建或修改 DWORD 值 EnablePlainTextPassword,并将其数值数据从 0 变更为 1。
-
重新启动 Windows 来让变更生效。
若要修改 Mac OS X 设置:
- 请进入应用程序 > 实用工具打开终端机。
-
创建空文件 /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
使用 vi 打开 /etc/nsmb.conf:
sudo vi /etc/nsmb.conf
-
输入“i”来插入文本,并贴上下列文本:
[default]
minauth=none
-
按下 Esc 键然后按下“ZZ”来保存变更并退出 vi。
若要修改 Linux 设置:
如果您正在使用 smbclient,请在 smb.conf 的 [global] 区域添加下列密钥:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
如果您正在使用 mount.cifs,请执行以下命令:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
要了解更多信息,请参阅 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README。
关于配置文件
不同的 LDAP 服务器可能使用不同属性的帐户名和群组名来区别帐户和群组。配置文件选项可让您指定或自定义用户和群组信息映射至 LDAP 属性的方式。可根据您的 LDAP 服务器类型选择以下配置文件之一:
- 标准:适用于运行 Synology Directory Server 或 Mac Open Directory 的服务器。
- IBM Lotus Domino:适用于运行 IBM Lotus Domino 8.5 的服务器。
- 自定义:可让您自定义映射。请参阅以下部分来了解详情。
在自定义 LDAP 属性映射之前,您需要了解一些背景知识。Synology DSM 与配置文件编辑器都符合 RFC 2307 规定。例如,您可将 filter > passwd 指定为 userFilter,在此情况下,DiskStation 会将 LDAP 服务器上的 objectClass=userFilter 记录解析为 LDAP 帐户。如果您将 passwd > uid 指定为 username,则 DiskStation 会将 LDAP 服务器上的用户帐户解析为帐户名。让映射保留为空将应用 RFC 2307 规则。
DiskStation 需要固定整数来用作 LDAP 帐户标识符(uidNumber)或群组标识符(gidNumber)。然而,并非所有的 LDAP 服务器均使用整数来表示此类属性。因此,提供关键字 HASH() 可将此类属性转换为整数。例如,您的 LDAP 服务器可能将一个十六进制值的属性 userid 用作 LDAP 帐户的唯一标识符。在此情况下,您可以将 passwd > uidNumber 设置为 HASH(userid),然后 DiskStation 会将其转换为整数。
以下为可自定义属性的简介:
- 过滤器
- group:群组所需的 objectClass 属性。
- passwd:用户所需的 objectClass 属性。
- shadow:用户密码所需的 objectClass 属性。
- 群组
- cn:群组名称。
- gidNumber:该群组的 GID 号。
- memberUid:该群组的成员。
- passwd
- uidNumber:该用户的 UID 号。
- uid:用户名。
- gidNumber:该用户的主 GID 号。
- shadow
- uid:用户名。
- userPassword:用户密码。
关于 UID/GID 转换
为避免 LDAP 用户/群组和本地用户/群组之间的 UID/GID 冲突,您可启用 UID/GID 转换以将 LDAP 用户/群组的 UID/GID 转换 1000000。此选项仅适用于 LDAP 服务器,该服务器为非 Synology LDAP 服务器,并使每个用户/群组有唯一的数值 ID 属性。