LDAP
LDAP ermöglicht es DiskStation, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Zugriffsberechtigungen von LDAP-Benutzern oder -Gruppen auf DSM-Anwendungen und gemeinsamen Ordnern verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen über LDAP finden Sie hier.
Beim unterstützten LDAP-Standard handelt es sich um LDAP-Version 3 (RFC 2251).
So stellen Sie eine Verbindung zwischen DiskStation und einem Verzeichnisdienst her:
- Gehen Sie zu Systemsteuerung > Verzeichnisdienst.
- Gehen Sie auf die Registerkarte LDAP und markieren SieLDAP-Client aktivieren.
- Geben Sie die IP-Adresse oder den Domainnamen des LDAP-Servers in das Feld LDAP-Server-Adresse ein.
- Wählen Sie einen Verschlüsselungstyp im Dropdown-Menü Verschlüsselung, um die LDAP-Verbindung zum LDAP-Server zu verschlüsseln.
- Geben Sie die Base DN des LDAP-Servers in das Feld Base DN ein.
- Wählen Sie je nach LDAP-Server das korrekte Profil. Wählen Sie zum Beispiel Standard, wenn Sie Synology Directory Server oder Mac Open Directory verwenden.
- Wenn Sie LDAP-Benutzern den Zugriff auf Dateien des DiskStation über CIFS erlauben möchten, aktivieren Sie die Option CIFS-Klartext-Kennwort-Authentifizierung aktivieren. Lesen Sie den folgenden Abschnitt, um sicher zu stellen, dass LDAP-Benutzer mit ihren Computern erfolgreich über CIFS auf Dateien von DiskStation zugreifen können.
- Klicken Sie auf Übernehmen.
-
Geben Sie die Bind DN (oder das LDAP-Administratorkonto) und das Passwort in die Felder ein, und klicken Sie anschließend auf OK.
CIFS-Unterstützung und Einstellungen des Client-Computers
Nachdem die CIFS-Unterstützung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien des DiskStation zugreifen zu können:
-
Wenn DiskStation mit dem durch einen Synology LDAP-Server (oder einen anderen DiskStation, auf dem das Paket Directory Server installiert ist) bereitgestellten Verzeichnisdienst verbunden ist, können LDAP-Benutzer auf die Dateien Ihres DiskStation über CIFS zugreifen, ohne die Einstellungen ihrer Computer zu ändern.
-
Wenn DiskStation mit einem LDAP-Server verbunden ist, der nicht von Synology stammt, müssen LDAP-Benutzer die PAM-Unterstützung für ihre Computer aktivieren, um auf Dateien des DiskStation über CIFS zugreifen zu können. Dabei wird allerdings das Passwort der LDAP-Benutzer in reiner Textform (ohne Verschlüsselung) an DiskStation übertragen, sodass die Sicherheitsstufe sinkt.
So ändern Sie die Einstellungen unter Windows:
- Gehen Sie zu Start > Ausführen, geben Sie regedit in das Feld ein, und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
-
Je nach Windows-Version sehen oder erstellen Sie folgende Registrierungseinträge:
-
Windows 2000, XP, Vista und Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 und Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword und ändern Sie dessen Wert von 0 auf 1.
-
Starten Sie Windows neu, um die Änderungen zu übernehmen.
So ändern Sie die Einstellungen des Mac OS X:
- Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
-
Erstellen Sie eine leere Datei /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Öffnen Sie /etc/nsmb.conf mit vi:
sudo vi /etc/nsmb.conf
-
Geben Sie "i" ein, um Text einzufügen, und fügen Sie Folgendes ein:
[default]
minauth=none
-
Drücken Sie die Esc-Taste und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.
So ändern Sie die Einstellungen unter Linux:
Wenn Sie smbclient verwenden, fügen Sie bitte die folgenden Schlüssel im Bereich [global] von smb.conf ein:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Führen Sie, wenn Sie mount.cifs verwenden, den folgenden Befehl aus:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Details zu Profilen
Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder eine Unterscheidung zwischen Konten und Gruppen treffen. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppen-Informationen den LDAP-Attributen zugeordnet werden. Eines der folgenden Profile kann je nach LDAP-Server ausgewählt werden:
- Standard: Für Server mit Synology Directory Server oder Mac Open Directory.
- IBM Lotus Domino: Für Server mit IBM Lotus Domino 8.5.
- Benutzerdefiniert: Erlaubt die Anpassung von Zuordnungen. Konsultieren Sie den folgenden Abschnitt für weitere Einzelheiten.
Vor der Anpassung der LDAP-Attributzuordnungen benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor folgen beide RFC 2307. Zum Beispiel können Sie filter > passwd als userFilter festlegen, dann interpretiert DiskStation die Datensätze mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert DiskStation Benutzername auf Ihrem LDAP-Server als Kontonamen. Bleibt das Mapping leer, gelten die RFC 2307-Regeln.
DiskStation erfordert eine feststehende ganze Zahl als LDAP-Kontokennung (uidNumber) oder eine Gruppenkennung (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() zur Verfügung gestellt, um solche Attribute in ganze Zahlen umzuwandeln. Ihr LDAP-Server könnte zum Beispiel das Attribut userid mit einem Hexadezimalwert als eindeutige Kennung für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) festlegen, dann wandelt DiskStation das Attribut in eine ganze Zahl um.
Es folgt eine Zusammenfassung der anpassbaren Attribute:
- filter
- group: Erforderliche objectClass für Gruppe
- passwd: Erforderliche objectClass für Benutzer
- shadow: Erforderliche objectClass für Kennwörter
- group
- cn: Gruppenname
- gidNumber: GID-Nummer dieser Gruppe.
- memberUid: Mitglieder dieser Gruppe
- passwd
- uidNumber: UID-Nummer des Benutzers.
- uid: Benutzername
- gidNumber: Primäre GID-Nummer dieses Benutzers
- shadow
- uid: Benutzername
- userPassword: Benutzerkennwort
Über UID/GID-Verschiebung
Um UID/GID-Konflikte zwischen LDAP-Benutzern/-Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID von LDAP-Benutzern/-Gruppen um 1000000 zu verschieben. Diese Option gilt nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribute für jede(n) Benutzer/Gruppe besitzen.