LDAP
DiskStation은(는) LDAP를 통해 기존 디렉터리 서비스에 LDAP 클라이언트로 가입한 다음 LDAP 서버(또는 "디렉토리 서버")에서 사용자 또는 그룹 정보를 검색할 수 있습니다. 로컬 DSM 사용자 또는 그룹에서처럼 LDAP 사용자 또는 그룹의 액세스 권한을 DSM 응용 프로그램 및 공유 폴더로 관리할 수 있습니다. LDAP에 대한 자세한 정보를 보려면 여기를 참조하십시오.
지원하는 LDAP 표준은 LDAP 버전 3(RFC 2251)입니다.
DiskStation을(를) 디렉터리 서비스에 가입하기:
- 제어판 > 디렉터리 서비스로 이동합니다.
- LDAP 탭으로 이동하고 LDAP 클라이언트 활성화를 선택합니다.
- LDAP 서버 주소 필드에 LDAP 서버의 IP 주소나 도메인 이름을 입력하십시오.
- 암호화 드롭다운 메뉴에서 암호화 유형을 선택하여 LDAP 연결을 LDAP 서버로 암호화하십시오.
- Base DN 필드에 LDAP 서버의 Base DN을 입력하십시오.
- 사용자의 LDAP 서버에 따라 적절한 프로파일을 선택합니다. 예를 들어 Synology Directory Server 또는 Mac Open Directory를 사용할 경우 표준을 선택합니다.
- LDAP 사용자가 CIFS를 통해 DiskStation 파일에 액세스하도록 허용하려면 CIFS 일반 텍스트 패스워드 인증 활성화를 선택합니다. LDAP 사용자가 자신의 컴퓨터에서 CIFS를 통해 DiskStation 파일에 액세스하도록 하려면 아래 섹션을 참조하십시오.
- 적용을 클릭합니다.
-
필드에 Bind DN(또는 LDAP 관리자 계정) 및 패스워드를 입력한 다음 확인을 클릭합니다.
CIFS 지원 및 클라이언트 컴퓨터 설정 정보
LDAP 사용자가 CIFS 지원을 활성화하고 나면 CIFS를 통해 DiskStation 파일에 액세스하기 위해 자신의 컴퓨터 설정을 수정해야 합니다.
-
DiskStation이(가) Synology LDAP 서버(또는 다른 Directory Server 패키지를 설치하고 실행한 DiskStation)에서 제공한 디렉터리 서비스에 가입한 경우, LDAP 사용자는 자신의 컴퓨터 설정을 수정하지 않고도 CIFS를 통해 DiskStation 파일에 액세스할 수 있습니다.
-
DiskStation이(가) Synology LDAP가 아닌 서버에 연결한 경우 LDAP 사용자가 CIFS를 통해 DiskStation 파일에 액세스하려면 컴퓨터의 PAM 지원을 활성화해야 합니다. 이렇게 하면 LDAP 사용자의 패스워드가 DiskStation에 암호화되지 않은 일반 텍스트로 전송되어 보안 단계가 낮아집니다.
Windows 설정 수정하기:
- 시작 > 실행을 선택한 다음 필드에 regedit을 입력하고 확인을 클릭하여 레지스트리 편집기를 여십시오.
-
Windows 버전에 따라 다음 레지스트리를 찾거나 만드십시오.
-
Windows 2000, XP, Vista 및 Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 및 Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
DWORD 값 EnablePlainTextPassword을 작성하거나 수정한 다음 해당 값 데이터를 0에서 1로 변경하십시오.
-
변경 사항을 적용하려면 Windows를 다시 시작하십시오.
Mac OS X의 설정을 수정하려면 다음과 같이 하십시오.
- 응용 프로그램 > 유틸리티로 이동해서 터미널을 여십시오.
-
빈 파일 /etc/nsmb.conf을 만드십시오.
sudo touch /etc/nsmb.conf
-
vi로 /etc/nsmb.conf를 여십시오.
sudo vi /etc/nsmb.conf
-
"i"를 입력하여 텍스트를 삽입하고 다음을 붙여넣으십시오.
[default]
minauth=none
-
Esc 키를 누르고 "ZZ"을 입력하여 변경 사항을 저장하고 vi를 종료하십시오.
Linux의 설정을 수정하려면 다음과 같이 하십시오.
smbclient를 사용하는 경우, smb.conf의 [global] 섹션에서 다음 키를 추가하십시오.
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
mount.cifs를 사용하는 경우, 다음의 명령을 실행하십시오.
echo 0x30030 > /proc/fs/cifs/SecurityFlags
보다 자세한 정보는 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README을 참조하십시오.
프로파일 정보
각 LDAP 서버는 계정 이름, 그룹 이름에 서로 다른 속성을 사용하여 계정과 그룹을 구별할 수 있습니다. 프로파일 옵션을 사용하여 사용자 및 그룹 정보를 LDAP 속성에 연결하는 방법을 지정하거나 사용자 지정할 수 있습니다. 사용자의 LDAP 서버에 따라 다음 프로파일 중 하나를 선택할 수 있습니다:
- 표준: Synology Directory Server 또는 Mac Open Directory를 실행하는 서버.
- IBM Lotus Domino: IBM Lotus Domino 8.5를 실행하는 서버.
- 사용자 지정: 매핑을 사용자 지정할 수 있습니다. 세부 내용은 아래 섹션을 참조하십시오.
LDAP 속성 매핑을 사용자 지정하기 전에 몇 가지 배경 지식이 필요합니다. Synology DSM과 프로파일 편집기 둘다 RFC 2307을 준수합니다. 예를 들어, 필터 > passwd를 userFilter로 지정할 수 있습니다. 이 경우 DiskStation은(는) LDAP 서버에서 objectClass=userFilter가 있는 레코드를 LDAP 계정으로 해석합니다. passwd > uid를 username으로 지정하는 경우, DiskStation에서는 LDAP 서버의 username을 계정 이름으로 해석합니다. 매핑을 비워두면 RFC 2307 규칙을 적용합니다.
DiskStation에서는 LDAP 계정 식별자(uidNumber) 또는 그룹 식별자(gidNumber) 역할에 고정된 정수를 필요로 합니다. 그러나 모든 LDAP 서버가 정수를 사용하여 이런 속성을 표현하는 것은 아닙니다. 따라서 이런 속성을 정수로 변환하기 위해 키워드 HASH()이 제공됩니다. 예를 들어, LDAP 서버가 십육진수 값을 가진 userid 속성을 LDAP 계정의 고유한 식별자로 사용할 수 있습니다. 이 경우, passwd > uidNumber를 HASH(userid)에 설정하면 DiskStation이(가) 이를 정수로 변환합니다.
다음은 사용자 지정 가능한 속성에 대한 요약입니다:
- 필터
- 그룹: 그룹에 대한 필수 objectClass.
- passwd: 사용자에 대한 필수 objectClass.
- shadow: 사용자 패스워드에 대한 필수 objectClass.
- 그룹
- cn: 그룹 이름.
- gidNumber: 이 그룹의 GID 수.
- memberUid: 이 그룹의 구성원.
- passwd
- uidNumber: 이 사용자의 UID 수.
- uid: 사용자 이름.
- gidNumber: 이 사용자의 기본 GID 수.
- shadow
- uid: 사용자 이름.
- userPassword: 사용자 패스워드.
UID/GID 전환 정보
LDAP 사용자/그룹 및 로컬 사용자/그룹 간 UID/GID 충돌을 방지하려면, UID/GID 전환을 활성화하여 LDAP 사용자/그룹의 UID/GID를 1000000으로 전환할 수 있습니다. 이 옵션은 비-Synology LDAP 서버이면서 각 사용자/그룹에 대해 고유한 숫자 ID 속성을 가진 LDAP 서버만을 위한 것입니다.