LDAP
LDAP gør det muligt for din DiskStation at være med i en eksisterende bibliotekstjenestem som LDAP-klient og så hente bruger- eller gruppeoplysninger fra en LDAP-server (eller "directory server"). Du kan styre LDAP-brugeres eller -gruppers adgangsprivilegier til DSM-programmer og delte mapper, lige som du ville med lokale DSM-brugere eller grupper. Yderligere oplysninger om LDAP findes her.
Den understøttede LDAP-standard er LDAP-version 3 (RFC 2251).
Sådan tilmelder du DiskStation til en bibliotekstjeneste:
- Gå til Kontrolpanel > Katalogtjeneste
- Gå til fanen LDAP, og marker Aktiver LDAP-klient.
- Indtast IP-adressen eller domænenavnet for LDAP-serveren i feltet LDAP-serveradresse.
- Vælg en krypteringstype i rullemenuen Kryptering for at kryptere LDAP-forbindelsen med LDAP-serveren.
- Indtast Base DN for LDAP-serveren i feltet Base DN.
- Vælg den korrekte Profil, afhængigt af din LDAP-server. Vælg f.eks. Standard, hvis du bruger Synology Directory Server eller Mac Open Directory.
- Marker Aktiver CIFS-adgangskodegodkendelse med almindelig tekst for at give LDAP-brugere adgang til DiskStation -filer via CIFS. Se nedenstående afsnit for at sikre, at LDAP-brugere kan bruge deres computere til at få adgang til DiskStation filer via CIFS.
- Klik på Anvend.
-
Indtast Bind DN (eller LDAP-administratorkonto) og adgangskoden i felterne, og klik så på OK.
Om CIFS-support og indstillinger for klientcomputer
Når CIFS-supper er aktiveret, skal LDAP-brugere måske ændre deres computeres indstillinger, så de kan få adgang til DiskStation filer via CIFS:
-
Hvis din DiskStation er med i den bibliotekstjeneste, der leveres af en Synology LDAP-server (eller en anden DiskStation, der indeholder og kører pakken Directory Server), kan LDAP-brugere åbne dine DiskStation-filer via CIFS uden at ændre deres computerindstillinger.
-
Hvis din DiskStation er bundet til en ikke-Synology LDAP-server, skal LDAP-brugere aktivere deres computers PAM-support for at kunne åbne DiskStation-filer via CIFS. Dette vil dog overføre LDAP-brugeres adgangskode til DiskStation i almindeligt tekstformat (uden kryptering), hvilket sænker sikkerhedsniveauet.
Sådan ændrer du Windows-indstillinger:
- Gå til Start > Kør, indtast regedit i feltet, og klik så på OK for at åbne registreringsdatabasens editor.
-
Afhængigt af din Windows-version skal du finde eller oprette følgende registreringsdatabase:
-
Windows 2000, XP, Vista og Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 og Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Opret eller ret DWORD-værdien EnablePlainTextPassword, og ret værdidataene fra 0 til 1.
-
Genstart Windows for at ændringen skal træde i kraft.
Sådan ændrer du Mac OS X's indstillinger:
- Gå til Programmer > Hjælpeværktøjer for at åbne Terminal.
-
Opret en tom fil /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Åbn /etc/nsmb.conf med vi:
sudo vi /etc/nsmb.conf
-
Indtast "i" for at indsætte tekst, og indsæt følgende:
[standard]
minauth=none
-
Tryk på Esc-tasten, og indtast så "ZZ" for at gemme ændringer og afslutte vi.
Sådan ændrer du Linux-indstillingerne:
Hvis du bruger smbclient, skal du tilføje følgende nøgler i afsnittet [global] i smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Hvis du bruger mount.cifs, skal du udføre følgende kommando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Yderligere oplysninger findes under https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Om profiler
Forskellige LDAP-servere kan bruge forskellige attributter til kontonavne, gruppenavne eller til at skelne mellem konti og grupper. Valgmuligheden Profil sætter dig i stand til at specificere eller tilpasse, hvordan bruger- og gruppeoplysninger tilknyttes til LDAP-attributter. En af følgende profiler kan vælges, afhængigt af din LDAP-server:
- Standard: For servere, der kører Synology Directory Server eller Mac Open Directory.
- IBM Lotus Domino: For servere, der kører IBM Lotus Domino 8.5.
- Tilpasset: Sætter dig i stand til at tilpasse tilknytninger. Se i afsnittet nedenfor for at få detaljer.
Før LDAP-attributtilknytning tilpasses, skal du have lidt baggrundkendskab. Synology DSM og Profil-editoren overholder begge RFC 2307. Du kan f.eks. specificere filter > passwd som userFilter, hvorefter DiskStation vil fortolke records med objectClass=userFilter på din LDAP-server som LDAP-konti. Hvis du specificerer passwd > uid som username, vil DiskStation fortolke username på LDAP-serveren som et kontonavn. Hvis du lader tilknytning være tom, gælder RFC 2307-regler.
DiskStation kræver et fast heltal, der skal bruges som en LDAP-konto-id (uidNumber) eller en gruppe-id (gidNumber). IDog bruger ikke alle LDAP-servere heltal til at repræsenterer sådanne attributter. Derfor angives et søgeord HASH() til at konvertere sådanne attributter til heltal. Din LDSP-server kan dog f.eks. bruge attributten userid med en hexadecimalværdi som entydig id til en LDAP-konto. I det tilfælde kan du angive passwd > uidNumber til HASH(userid), og så vil DiskStation konvertere det til et heltal.
Her følger en oversigt over attributter, der kan tilpasses:
- filter
- group: krævet objectClass for gruppe.
- passwd: krævet objectClass for bruger.
- shadow: krævet objectClass for brugeradgangskoder.
- group
- cn: gruppenavn.
- gidNumber: GID-nr. på denne gruppe.
- memberUid: medlemmer af denne gruppe.
- passwd
- uidNumber: UID-nr. for denne bruger.
- uid: brugernavn.
- gidNumber: primært GID-nr. på denne bruger.
- shadow
- uid: brugernavn.
- userPassword: brugeradgangskode.
Om UID/GID-skifte
Undgå UID/GID-konflikter mellem LDAP-brugere/-grupper og lokale brugere/-grupper ved at aktivere UID/GID-skifte for at skifte UID/GID for LDAP-brugere/-grupper med 1.000.000. Denne mulighed er kun for LDAP-servere, som er ikke-Synology LDAP-servere og har en unik numerisk id-attribut for hver bruger/gruppe.