LDAP

Az LDAP lehetővé teszi, hogy a(z) DiskStation egy meglévő könyvtárszolgáltatáshoz csatlakozzon LDAP-kliensként, majd lekérje a felhasználói vagy csoportinformációkat az LDAP-szerverről (avagy „címtárszerverről”). Az LDAP felhasználóinak vagy csoportjainak DSM alkalmazásokhoz és megosztott mappákhoz való hozzáférési jogosultságait ugyanúgy kezelheti, mint a DSM helyi felhasználóiét vagy csoportjaiét. Az LDAP protokollról további információkat talál itt.

A támogatott LDAP-szabvány az LDAP 3-as verzió (RFC 2251).

A(z) DiskStation összekapcsolása egy könyvtárszolgáltatással:

A CIFS támogatásról és a kliens számítógépének beállításairól

A CIFS támogatásának engedélyezését követően előfordulhat, hogy az LDAP felhasználóinak módosítaniuk kell számítógépük beállítását, hogy CIFS-en keresztül elérhessék a(z) DiskStation fájljait:

• Ha a(z) DiskStation egy Synology LDAP-szerver (vagy a Directory Server csomagot futtató másik DiskStation) által biztosított könyvtárszolgáltatáshoz kapcsolódik, az LDAP felhasználói megnyithatják a(z) DiskStation fájljait a CIFS-en keresztül, anélkül, hogy módosítaniuk kellene a számítógépük beállításait.
• Ha a(z) DiskStation egy nem-Synology LDAP-szerverhez kapcsolódik, az LDAP-felhasználóknak engedélyezniük kell a számítógépük PAM támogatását, hogy CIFS-en keresztül hozzáférjenek a(z) DiskStation fájljaihoz. Ez azonban azzal jár, hogy egyszerű szövegként (titkosítás nélkül) elküldik LDAP-felhasználói jelszavukat a(z) DiskStation eszköznek, ami alacsonyabb biztonsági szinthez vezet.

A Windows beállításainak módosítása:

1. Lépjen a Start > Futtatás menübe, írja be a mezőbe, hogy regedit, majd kattintson az OK gombra a Regisztráció szerkesztő megnyitásához.
2. A Windows verziójától függően keresse meg vagy hozza létre a következő regisztrációt:
• Windows 2000, XP, Vista és Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 és Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Hozza létre vagy módosítsa a DWORD értéket az EnablePlainTextPassword alatt, és módosítsa az adatot 0 és 1 között.
4. Indítsa újra a Windows rendszert a változtatások érvényesítéséhez.

Mac operációs rendszer beállítások módosítása:

1. Lépjen az Alkalmazások > Segédeszközök oldalra, és nyissa meg a Terminál pontot.
2. Hozzon létre egy üres fájlt: /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Nyissa meg az /etc/nsmb.conf fájlt a vi-vel:

   sudo vi /etc/nsmb.conf

4. Írja be: „i“ a szöveg beillesztéséhez, majd illessze be a következőt:

   [default]
   > minauth=none

5. Nyomja meg az Esc gombot, majd írja be: „ZZ”, hogy mentse a módosításokat és kilépjen a vi-ből.

A Linux beállításainak módosítása:

smbclient használata esetén adja hozzá az alábbi kódot az smb.conf [global] szakaszához:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

mount.cifs használata esetén adja ki az alábbi parancsot:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

További információkért tekintse meg az alábbi oldalt: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Profilok bemutatása

Előfordulhat, hogy a különböző LDAP-szerverek különböző attribútumokat használnak a fióknevekre vagy csoportnevekre, illetve a fiókok vagy csoportok megkülönböztetésére. A Profil opció segítségével megadhatja, hogy a rendszer hogyan képezze le a felhasználó- és csoportadatokat LDAP-attribútumokká. Az LDAP-szerver típusától függően az alábbiak közül választhat:

• Normál: Synology Directory Server vagy Mac Open Directory csomagot futtató szerverek esetén.
• IBM Lotus Domino: Az IBM Lotus Domino 8.5-ös verzióját futtató szerverek esetén.
• Egyedi: Egyedi leképezések adhatók meg. A részleteket az alábbi szakaszokban találja.

Az LDAP-attribútumleképezések testreszabása előtt némi háttértudásra lesz szüksége. A Synology DSM és a Profi szerkesztő egyaránt az RFC 2307 szabvány előírásait követi. A userFilter lehetőségnél például megadhatja a következőt: filter > passwd. Ebben az esetben a(z) DiskStation eszköz az objectClass=userFilter szöveggel rendelkező bejegyzéseket LDAP-fiókokként fogja kezelni az LDAP-szerveren. Amennyiben a passwd > uid lehetőségnél a username értéket adja meg, a(z) DiskStation eszköz a username szöveget fióknévként fogja értelmezni az LDAP-szerveren. A leképezés üresen hagyása esetén a rendszer az RFC 2307 szabályait alkalmazza.

DiskStation rögzített egész szám használata szükséges az LDAP-fiók azonosítójaként (uidNumber) vagy a csoport azonosítójaként (gidNumber). Ezeket az attribútumokat azonban nem minden LDAP-szerver képezi le egész számokként. Ezért ezen attribútumok egész számmá való konvertálásához egy kulcsszót (HASH()) biztosítunk. Előfordulhat például, hogy az Ön által használt LDAP-szerver hexadecimális értéket ad meg a userid változónál az LDAP-fiók egyedi azonosítójaként. Ebben az esetben állítsa HASH(userid) értékre a passwd > uidNumber lehetőséget, így a(z) DiskStation eszköz egész számmá konvertálja azt.

Az alábbiakban a testre szabható attribútumokat soroljuk fel:

• filter
• group: a csoporthoz szükséges objectClass.
• passwd: a felhasználóhoz szükséges objectClass.
• shadow: a felhasználói jelszavakhoz szükséges objectClass.
• group
• cn: csoportnév.
• gidNumber: A csoport GID-száma.
• memberUid: a csoport tagjai.
• passwd
• uidNumber: A felhasználó UID-száma.
• uid: felhasználónév.
• gidNumber: a felhasználó elsődleges GID-száma.
• shadow
• uid: felhasználónév.
• userPassword: felhasználói jelszó.

UID-/GID-eltolás

Az LDAP-felhasználók/-csoportok és a helyi felhasználók/csoportok közötti ütközések elkerülése érdekében bekapcsolja az UID-/GID-eltolást, így a rendszer 1000000-val eltolja az LDAP-felhasználók/-csoportok UID-/GID-értékeit. Ez az opció kizárólag azon nem-Synology LDAP-szerverek számára áll rendelkezésre, melyek numerikus azonosítóattribútummal rendelkeznek az egyes felhasználók/csoportok számára.