LDAP

Protokol LDAP umožňuje zařízení DiskStation připojit se ke stávající adresářové službě jako klient LDAP a následně ze serveru LDAP (neboli „adresářového serveru“) načíst informace o uživatelích nebo skupinách. Spravovat je možné přístupová oprávnění uživatelů nebo skupin LDAP k aplikacím a sdíleným složkám systému DSM, stejně jako byste postupovali u místních uživatelů nebo skupin systému DSM. Další informace o protokolu LDAP najdete v tomto odkazu.

Podporovaný standard LDAP je LDAP verze 3 (RFC 2251).

Připojení zařízení DiskStation k adresářové službě:

O podpoře CIFS a nastavení klientských počítačů

Po povolení podpory CIFS bude možná nutné, aby uživatelé LDAP upravili nastavení svých počítačů tak, aby měli prostřednictvím systému CIFS přístup k souborům v zařízení DiskStation:

• Pokud se zařízení DiskStation připojí k adresářové službě poskytované serverem LDAP Synology (nebo jiným zařízením DiskStation, které má nainstalovaný a spuštěný balíček Directory Server), získají uživatelé LDAP přístup k vašim souborům zařízení DiskStation prostřednictvím systému CIFS, aniž by nastavení svých počítačů museli upravovat.
• Pokud se zařízení DiskStation připojí k jinému serveru LDAP než Synology, budou uživatelé LDAP muset na svých počítačích povolit podporu PAM, aby k souborům v zařízení DiskStation měli prostřednictvím systému CIFS přístup. Povede to však k přesunu hesla uživatelů LDAP na zařízení DiskStation ve formě prostého textu (bez šifrování), čímž se sníží úroveň zabezpečení.

Úprava nastavení systému Windows:

1. Přejděte na položky Start > Spustit, zadejte do pole regedit a potom klepněte na tlačítko OK pro otevření Editoru registru.
2. V závislosti na vaší verzi systému Windows najděte nebo vytvořte následující registr:
• Windows 2000, XP, Vista a Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 a Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Vytvořte nebo upravte hodnotu DWORD EnablePlainTextPassword a změňte její data hodnoty z 0 na 1.
4. Aby se změna uplatnila, je nutné systém Windows restartovat.

Úprava nastavení Mac OS X:

1. Přejděte do části Aplikace > Nástroje a otevřete část Terminál.
2. Vytvořte prázdný soubor /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Otevřete /etc/nsmb.conf s vi:

   sudo vi /etc/nsmb.conf

4. Stiskněte klávesu „i“, abyste mohli zadávat text, a vložte následující text:

   [default]
   > minauth=none

5. Stiskněte klávesu Esc a potom napište „ZZ“, tím změny uložíte a editor vi ukončíte.

Úprava nastavení systému Linux:

Pokud používáte klienta smbclient, doplňte do oddílu [global] souboru smb.conf následující klíče:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Pokud používáte soubor mount.cifs, spusťte následující příkaz:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Další informace naleznete na adrese https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

O profilech

Různé servery LDAP mohou používat pro názvy účtů, pro názvy skupin nebo pro rozlišení účtů a skupin různé atributy. Možnost Profil umožňuje stanovit či upravit, jak se informace o uživateli a skupině vůči atributům LDAP mapuje. Podle toho, jaký máte server LDAP, je možné vybrat jeden z následujících profilů:

• Standardní: U serverů se spuštěnými službami Synology Directory Server nebo Mac Open Directory.
• IBM Lotus Domino: U serverů se spuštěnou službou IBM Lotus Domino 8.5.
• Vlastní: Umožňuje upravit mapování. Podrobnosti naleznete v následující části.

Před úpravou mapování atributů LDAP budete muset mít určité znalosti o pozadí. Systém Synology DSM a editor profilů oba splňují normu RFC 2307. Například je možné jako hodnotu userFilter stanovit filter > passwd, takže zařízení DiskStation b bude záznamy s výrazem objectClass=userFilter na serveru LDAP interpretovat jako účty LDAP. Pokud jako hodnotu username nastavíte výraz passwd > uid, bude zařízení DiskStation interpretovat proměnnou username na serveru LDAP jako název účtu. Pokud zanecháte mapování prázdné, použijí se pravidla RFC 2307.

DiskStation vyžaduje fixní celé číslo, které slouží jako identifikátor účtu LDAP (uidNumber) nebo identifikátor skupiny (gidNumber). Ne všechny servery LDAP však používají k reprezentaci takovýchto atributů celá čísla. Proto se kvůli převodu takovýchto atributů na celá čísla používá klíčové slovo HASH(). Například server LDAP může jako jedinečný identifikátor účtu LDAP využívat atribut userid s šestnáctkovou hodnotou. V tomto případě je možné nastavit výraz passwd > uidNumber na hodnotu HASH(userid). Zařízení DiskStation ho poté převede na celé číslo.

Následuje shrnutí upravitelných atributů:

• filter
• group: vyžadujete hodnotu objectClass pro skupinu.
• passwd: vyžadujete hodnotu objectClass pro uživatele.
• shadow: vyžadujete hodnotu objectClass pro hesla uživatelů.
• group
• cn: název skupiny.
• gidNumber: číslo GID této skupiny.
• memberUid: členové této skupiny.
• passwd
• uidNumber: číslo UID tohoto uživatele.
• uid: jméno uživatele.
• gidNumber: primární číslo GID tohoto uživatele.
• shadow
• uid: jméno uživatele.
• userPassword: heslo uživatele.

O posunu UID/GID

Aby nedocházelo ke konfliktům UID/GID mezi uživateli/skupinami LDAP a místními uživateli/skupinami, můžete povolit posun UID/GID uživatelů/skupin LDAP o 1000000. Tato možnost je určena pouze pro jiné servery LDAP než Synology a má jedinečný číselný atribut ID pro každého uživatele/skupinu.