LDAP
O LDAP permite que seu DiskStation participe de um serviço de diretório existente como um cliente LDAP e recupere informações do usuário e do grupo de um servidor LDAP (ou "directory server"). Você pode gerenciar os privilégios de acesso dos usuários ou grupos do LDAP para aplicativos DSM e pastas compartilhadas, do mesmo modo que você faria com usuários ou grupos locais de DSM. Para obter mais informações sobre o LDAP, consulte aqui.
O padrão LDAP suportado é o LDAP versão 3 (RFC 2251).
Para ingressar no DiskStation para um serviço de diretório diferente:
- Vá para Painel de controle > Serviço de Diretório
- Vá para a guia LDAP e marque Habilitar Cliente LDAP.
- Digite o endereço IP ou nome de domínio do servidor LDAP no campo Endereço do servidor LDAP.
- Selecione um tipo de criptografia do menu suspenso Criptografia para criptografar a conexão do LDAP no servidor LDAP.
- Digite o Base DN do servidor LDAP no campo Base DN.
- Selecione o Perfil adequado, de acordo com seu servidor LDAP. Por exemplo, escolha Padrão se estiver usando o Synology Directory Server ou Mac Open Directory.
- Para permitir que os usuários do LDAP acessem os arquivos do DiskStation através do CIFS, marque Habilitar autenticação de senha de sem formatação CIFS. Consulte a seção abaixo para garantir que os usuários do LDAP possam usar seus computadores para acessar os arquivos do DiskStation com êxito através do CIFS.
- Clique em Aplicar.
-
Digite o Bind DN (ou conta de administrador LDAP) e a senha nos campos e clique em OK.
Sobre o Suporte do CIFS e as Configurações do computador do cliente
Depois que o suporte do CIFS estiver habilitado, os usuários do LDAP podem precisar modificar as configurações de seus computadores para poder acessar os arquivos do DiskStation através do CIFS:
-
Se o seu DiskStation se unir ao serviço de diretório fornecido por um servidor LDAP da Synology (ou outro DiskStation que tenha sido instalado e execute o pacote Directory Server), os usuários do LDAP podem acessar seus arquivos do DiskStation através do CIFS sem modificar as configurações de seus computadores.
-
Se o seu DiskStation se conectar a um servidor LDAP que não seja da Synology, os usuários do LDAP precisarão habilitar o suporte a PAM de seus computadores para poderem acessar arquivos do DiskStation através do CIFS. Entretanto, fazer isso transferirá a senha dos usuários do LDAP para o DiskStation em texto sem formatação (sem criptografia), diminuindo assim o nível de segurança.
Para modificar as configurações do Windows:
- Vá para Iniciar > Executar, digite regedit no campo e clique em OK para abrir o Editor de Registro.
-
Dependendo de sua versão do Windows, encontre ou crie o seguinte registro:
-
Windows 2000, XP, Vista e Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 e Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Criar ou modificar o valor DWORD EnablePlainTextPassword e altere seu valor de 0 para 1.
-
Reinicie o Windows para que a alteração entre em vigor.
Para modificar as configurações no Mac OS X:
- Vá até Aplicativos > Utilitários para abrir Terminal.
-
Crie um arquivo vazio em /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Abra /etc/nsmb.conf com o vi:
sudo vi /etc/nsmb.conf
-
Digite "i" para inserir texto e cole o seguinte:
[default]
minauth=none
-
Pressione a tecla Esc e digite "ZZ" para salvar as alterações e sair do vi.
Para modificar as configurações do Linux:
Se o smbclient estiver sendo usado, adicione as chaves a seguir na seção [global] do smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Se estiver usando o mount.cifs execute o comando a seguir:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Sobre os perfis
Diferentes servidores LDAP podem usar diferentes atributos para nomes de conta e de grupo, ou para diferenciar contas de grupos. A opção Perfil permite especificar ou personalizar como as informações do usuário e do grupo são mapeadas para os atributos do LDAP. Um dos seguintes perfis pode ser selecionado dependendo do seu servidor LDAP:
- Padrão: Para servidores executando o Synology Directory Server ou Mac Open Directory.
- IBM Lotus Domino: Para servidores executando o IBM Lotus Domino 8.5.
- Personalizado: Permite personalizar os mapeamentos. Consulte os detalhes na seção abaixo.
Antes de personalizar os mapeamentos do atributo LDAP, você precisa de um conhecimento básico. O Synology DSM e o editor do Perfil seguem o RFC 2307. Por exemplo, você pode especificar filter > passwd como userFilter, e nesse caso o DiskStation interpreta os registros com objectClass=userFilter no seu servidor LDAP como contas LDAP. Se você especificar passwd > uid como username, o DiskStation interpreta username no seu servidor LDAP como um nome de conta. Deixar o mapeamento vazio aplica as regras RFC 2307.
O DiskStation exige que um número inteiro fixo sirva como identificador da conta LDAP (uidNumber) ou identificador de grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representar esses atributos. Portanto, uma palavra-chave HASH() é fornecida para converter esses atributos em inteiros. Por exemplo, seu servidor LDAP pode usar o atributo userid com um valor hexadecimal como identificador único de uma conta LDAP. Neste caso, você pode configurar passwd > uidNumber como HASH(userid), e o DiskStation irá convertê-lo em um inteiro.
A seguir está um resumo dos atributos personalizáveis:
- filter
- group: objectClass exigido para o grupo.
- passwd: objectClass exigido para o usuário.
- shadow: objectClass exigido para senhas do usuário.
- group
- cn: nome do grupo.
- gidNumber: número GID deste grupo.
- memberUid: membros deste grupo.
- passwd
- uidNumber: número UID deste usuário.
- uid: nome de usuário.
- gidNumber: número GID primário deste usuário.
- shadow
- uid: nome de usuário.
- userPassword: senha do usuário.
Sobre a troca de UID/GID
Para evitar conflitos UID/GID entre usuários/grupos LDAP e usuários/grupos locais, você pode habilitar a mudança UID/GID para mudar o UID/GID dos usuários/grupos LDAP por 1000000. Essa opção é apenas para servidores LDAP que não são servidores Synology LDAP e têm um atributo de ID numérico exclusivo para cada usuário/grupo.