LDAP
LDAP lar din DiskStation bli med i en eksisterende katalogtjeneste som for eksempel en LDAP-klient, og deretter hente bruker- eller gruppeinformasjon fra en LDAP-server (eller "directory server"). Du kan håndtere LDAP-brukeres eller gruppers tilgangsrettigheter til DSM-applikasjoner og delte mapper, på samme måte som du ville gjort med lokale DSM-brukere eller -grupper. Hvis du vil ha mer informasjon om LDAP, se her.
Den støttede LDAP-standarden er LDAP versjon 3 (RFC 2251).
Slik knytter du DiskStation til en katalogtjeneste:
- Gå til Kontrollpanel > Katalogtjeneste.
- Gå til fanen LDAP og merk av for Aktiver LDAP-klient.
- Angi IP-adressen eller domenenavnet til LDAP-serveren i feltet LDAP-serveradresse.
- Velg en krypteringstype fra rullegardinmenyen Kryptering for å kryptere LDAP-tilkoblingen til LDAP-serveren.
- Angi LDAP-serverens Base DN i feltet Base DN.
- Velg egnet Profil avhengig av din LDAP-server. For eksempel, velger du Standard hvis du bruker Synology Directory Server eller Mac Open Directory.
- Hvis du vil gi LDAP-brukere tilgang til DiskStation-filer via CIFS, merker du av for Aktiver CIFS-passordbeskyttelse med ren tekst. Se avsnittet nedenfor for å sikre at LDAP-brukere kan bruke sine datamaskiner for å få tilgang til DiskStation-filer via CIFS.
- Klikk på Bruk.
-
Angi Bind DN (eller LDAP-administratorkonto) og passord i feltene, og klikk deretter på OK.
Om CIFS-støtte og klientdatamaskinens innstillinger
Etter at CIFS-støtte er aktivert, må LDAP-brukere kanskje endre sine datamaskiners innstillinger for å få tilgang til DiskStation-filer via CIFS:
-
Hvis din DiskStation blir med i katalogtjenesten som tilbys av en Synology LDAP-server (eller en annen DiskStation som har installert og kjørt Directory Server-pakken), har LDAP-brukere tilgang til dine DiskStation-filer via CIFS uten å endre datamaskinenes innstillinger.
-
Hvis din DiskStation bindes til en ikke-Synology LDAP-server, må LDAP-brukere aktivere sine datamaskiners PAM-støtte for å kunne gå inn på DiskStation-filer via CIFS. Hvis du gjør det, vil imidlertid LDAP-brukeres passord overføres til DiskStation som vanlig tekst (uten kryptering), slik at sikkerhetsnivået senkes.
Slik endrer du Windows-innstillingene:
- Gå til Start > Kjør, skriv inn regedit i feltet, og klikk på OK for å åpne Registerredigering.
-
Avhengig av Windows-versjonen finner du frem til følgende registernøkkel:
-
Windows 2000, XP, Vista og Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 og Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Opprett eller endre DWORD-verdien EnablePlainTextPassword og endre dens verdidata fra 0 til 1.
-
Start Windows på nytt for at endringen skal tre i kraft.
Slik endrer du innstillinger for Mac OS X:
- Gå til Programmer > Verktøy for å åpne Terminal.
-
Opprett en tom fil /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Åpne /etc/nsmb.conf med vi:
sudo vi /etc/nsmb.conf
-
Skriv inn i for å sette inn tekst, og lim inn følgende:
[default]
minauth=none
-
Trykk på Esc-tasten og skriv inn ZZ for å lagre endringene og avslutte vi.
Slik endrer du Linux-innstillingene:
Hvis du bruker smbclient, legger du til følgende nøkler i [global]-seksjonen av smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Hvis du bruker mount.cifs, utfører du følgende kommando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
For mer informasjon kan du gå til https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Om profiler
Forskjellige LDAP-servere kan bruke forskjellige attributter for å gjøre rede for kontonavn, gruppenavn, eller for å skille mellom kontoer og grupper. Alternatviet Profil lar deg spesifisere eller tilpasse hvordan bruker- og gruppeinformasjon tilordnes til LDAP-attributter. En av følgende profiler kan velges, avhengig av din LDAP-server:
- Standard: For servere som kjører Synology Directory Server eller Mac Open Directory.
- IBM Lotus Domino: For servere som kjører IBM Lotus Domino 8.5.
- Tilpass: Lar deg tilpasse tilordninger. Rådfør deg med avsnittet nedenfor for detaljer.
Før du tilpasser tilordning av LDAP-attributter, vil du trenge noe bakgrunnsinformasjon. Synology DSM og Profil-redigeringsprogrammet overholder RFC 2307. For eksempel kan du spesifisere filter > passwd som userFilter, og da vil DiskStation tolke oppføringer med objectClass=userFilter på din LDAP-server som LDAP-kontoer. Hvis du spesifiserer passwd > uid som username, vil DiskStation tolke username på din LDAP-server som et kontonavn. Hvis du lar tilordningen stå tom, vil RFC 2307-regler gjelde.
DiskStation krever et fastsatt heltall som skal tjene som en LDAP-kontoidentifikator (uidNumber) eller en gruppeidentifikator (gidNumber). Men ikke alle LDAP-servere bruker heltall til å representere slike attributter. Derfor får du oppgitt et nøkkelord HASH() for å konvertere slike attributter til heltall. For eksempel kan din LDAP-server bruke attributten userid med en heksadesimalverdi som den unike identifikatoren for en LDAP-konto. I slike tilfeller, kan du angi passwd > uidNumber som HASH(userid), slik at DiskStation kan konvertere det om til et heltall.
Det følgende er et sammendrag av egendefinerbare attributter:
- filter
- group: påkrevd objectClass for gruppe.
- passwd: påkrevd objectClass for bruker.
- shadow: påkrevd objectClass for brukerpassord.
- group
- cn: gruppenavn.
- gidNumber: GID-nummeret til denne gruppen.
- memberUid: medlemmer i denne gruppen.
- passwd
- uidNumber: UID-nummer for denne brukeren.
- uid: brukernavn.
- gidNumber: primært GID-nummer for denne brukeren.
- shadow
- uid: brukernavn.
- userPassword: brukerpassord.
Om UID/GID-forskyvning
For å unngå UID/GID-konflikter mellom LDAP-brukere/-grupper og lokale brukere/grupper, kan du aktivere UID/GID-forskyvning for å forskyve UID/GID for LDAP-brukere/-grupper med 1 000 000. Dette alternativet er kun for LDAP-servere som ikke er fra Synology og som har en unik numerisk ID-attributt for hver bruker/gruppe.