LDAP
Met LDAP kunt u uw DiskStation aanmelden bij een aanwezige adreslijstdienst als een LDAP-client. Vervolgens kunt u gebruikers- of groepsgegevens van een LDAP-server (of "directory server") ophalen. U kunt toegangsrechten van LDAP-gebruikers of -groepen voor DSM-toepassingen en gedeelde mappen instellen, net als bij lokale DSM-gebruikers of -groepen. Meer informatie over LDAP vindt u hier.
De ondersteunde LDAP-standaard is LDAP-versie 3 (RFC 2251).
Uw DiskStation aan directory-service toevoegen:
- Ga naar Configuratiescherm > Adreslijstservice
- Ga naar het tabblad LDAP en schakel het selectievakje LDAP-client inschakelen in.
- Voer het ip-adres of domeinnaam van de LDAP-server in bij het veld LDAP-serveradres.
- Kies een coderingstype in de keuzelijst Codering om de LDAP-verbinding met de LDAP-server te versleutelen.
- Voer in het veld Base DN de Base DN van de LDAP-server in.
- Selecteer het geschikte Profiel in overstemming met uw LDAP-server. Bijvoorbeeld: selecteer Standaard als u Synology Directory Server of Mac Open Directory gebruikt.
- Schakel het selectievakje CIFS-platte tekst wachtwoordverificatie inschakelen in zodat LDAP-gebruikers via CIFS toegang krijgen tot de bestanden op DiskStation. Zie onderstaande sectie om te verzekeren dat LDAP-gebruikers via hun computer via CIFS toegang hebben tot bestanden op DiskStation.
- Klik op Toepassen.
-
Voer Bind DN (of LDAP administrator-account) en het wachtwoord in de velden in en klik vervolgens op OK.
Info over CIFS-ondersteuning en de instellingen van de clientcomputer
Zodra CIFS-ondersteuning is ingeschakeld, moeten LDAP-gebruikers eventueel de instellingen van hun computer aanpassen zodat ze via CIFS toegang krijgen tot bestanden op DiskStation:
-
Als DiskStation zich aanmeldt bij de adreslijstdienst van een Synology LDAP-server (of ander DiskStation waarop het pakket Directory Server is geïnstalleerd), krijgen LDAP-gebruikers via CIFS toegang tot de bestanden op DiskStation zonder dat ze de instellingen van hun computer hoeven aan te passen.
-
Als DiskStation is gekoppeld aan een niet-Synology LDAP-server, moeten LDAP-gebruikers op hun computer ondersteuning voor PAM inschakelen zodat ze via CIFS toegang hebben tot DiskStation-bestanden. Hierdoor worden wachtwoorden van LDAP-gebruikers echter in platte tekst (zonder versleuteling) naar DiskStation gestuurd, waardoor het veiligheidsniveau dus lager is.
Om de Windows-instellingen te wijzigen:
- Ga naar Start > Uitvoeren, voer in het veld regedit in en klik op OK om de Register-editor te openen.
-
Afhankelijk van uw Windows-versie, zoekt of maakt u het volgende:
-
Windows 2000, XP, Vista en Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 en Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Maak of verander de DWORD-waarde EnablePlainTextPassword en wijzig de waarde van 0 in 1.
-
Start Windows opnieuw op om de wijziging te activeren.
Om Mac OS X-instellingen aan te passen:
- Ga naar Toepassingen > Hulpprogramma's om Terminal te openen.
-
Maak een leeg bestand /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Open /etc/nsmb.conf met vi:
sudo vi /etc/nsmb.conf
-
Voer "i" in om tekst te bewerken en plak de volgende tekst:
[default]
minauth=none
-
Druk op de Esc-toets en voer "ZZ" in om de wijzigingen op te slaan en vi te sluiten.
Om Linux-instellingen aan te passen:
Als u smbclient gebruikt, voeg dan de volgende sleutels toe in het gedeelte [global] van smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Als u mount.cifs gebruikt, voer dan de volgende opdracht uit:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Voor meer informatie zie https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Over profielen
Verschillende LDAP-servers kunnen verschillende kenmerken gebruiken voor accountnamen, groepnamen of om accounts en groepen te onderscheiden. Met de optie Profiel kunt u aangeven of aanpassen hoe gebruikers- en groepsinformatie worden toegewezen aan LDAP-kenmerken. Afhankelijk van uw LDAP-server kunt u een van de volgende profielen selecteren:
- Standaard: voor servers met Synology Directory Server of Mac Open Directory.
- IBM Lotus Domino: voor servers met IBM Lotus Domino 8.5.
- Aangepast: maakt het aanpassen toewijzingen mogelijk. Raadpleeg het gedeelte hieronder voor gedetailleerde informatie.
Het aanpassen van LDAP-kenmerktoewijzingen vereist enige basiskennis. Synology DSM en de Profiel-editor volgen RFC 2307. U kunt bijvoorbeeld filter > passwd als userFilter toewijzen waardoor DiskStation records met objectClass=userFilter op uw LDAP-server interpreteert als LDAP-accounts. Specificeert u passwd > uid als username dan zal DiskStation de record username op uw LDAP-server interpreteren als accountsnaam. Door de toewijzing leeg te laten worden de RFC 2307-regels van toepassing.
DiskStation vereist een vaste integer (gehele getal) die als een LDAP-account-id (uidNumber) of een groeps-id (gidNumber) fungeert. Maar niet alle LDAP-servers gebruiken integers (gehele getallen) om dergelijke kenmerken te vertegenwoordigen. Daarom bestaat een trefwoord HASH() om dergelijke kenmerken in integers om te zetten. Zo kan bijvoorbeeld uw LDAP-server het kenmerk userid met een hexadecimale waarde gebruiken als unieke id voor een LDAP-account. In dit geval kunt u passwd > uidNumber instellen op HASH(userid) en vervolgens zal DiskStation het omzetten naar een integer.
Hieronder vindt u een samenvatting van eigenschappen die kunnen worden aangepast:
- filter
- groep: vereist objectClass voor groep.
- passwd: vereist objectClass voor gebruiker.
- shadow: vereist objectClass voor gebruikerwachtwoorden.
- groep
- cn: groepsnaam.
- gidNumber: GID-nummer van deze groep.
- memberUid: leden van deze groep.
- passwd
- uidNumber: UID-nummer van deze gebruiker.
- uid: gebruikersnaam.
- gidNumber: primair GID-nummer van deze gebruiker.
- shadow
- uid: gebruikersnaam.
- userPassword: gebruikerswachtwoord.
Over UID/GID-verschuiving
Om UID/GID-conflicten tussen LDAP-gebruikers/groepen en lokale gebruiker/groepen te voorkomen, kunt u UID/GID-verschuiving inschakelen om UID/GID van LDAP-gebruikers/groepen te verschuiven met 1000000. Deze optie is alleen voor LDAP-servers die non-Synology LDAP-servers zijn en die een unieke numerieke ID toewijzen aan elke gebruiker/groep.