LDAP

LDAP umożliwia DiskStation dołączenie do istniejącej usługi katalogowej jako klient LDAP, a następnie pobranie informacji o użytkowniku lub grupie z serwera LDAP (lub „directory server”). Użytkownik może zarządzać uprawnieniami dostępu użytkowników lub grup LDAP do aplikacji DSM i folderów współdzielonych podobnie jak w przypadku lokalnych użytkowników lub grup DSM. Więcej informacji na temat uwierzytelniania LDAP można znaleźć tutaj.

Obsługiwany standard LDAP to LDAP wersja 3 (RFC 2251).

Aby podłączyć DiskStation do usługi katalogowej:

Informacje o obsłudze protokołu CIFS i ustawieniach komputerów klienckich

Po włączeniu obsługi CIFS od użytkowników LDAP może być wymagana modyfikacja ustawień komputera w celu uzyskania dostępu do plików DiskStation przez CIFS:

• Jeśli DiskStation dołączy do usługi katalogowej oferowanej przez serwer Synology LDAP (lub inne urządzenie DiskStation z zainstalowanym i uruchomionym pakietem Directory Server), użytkownicy będą mogli uzyskać dostęp do plików DiskStation przez CIFS bez konieczności modyfikowania ustawień komputera.
• Jeśli DiskStation dołączy do serwera LDAP innej firmy niż Synology, użytkownicy LDAP będą musieli włączyć w swoich komputerach obsługę PAM, aby móc uzyskać dostęp do plików DiskStation przez CIFS. Spowoduje to jednak przesłanie haseł użytkowników LDAP do urządzenia DiskStation w postaci zwykłego tekstu (bez szyfrowania), co obniży poziom bezpieczeństwa.

Aby zmodyfikować ustawienia systemu Windows:

1. Wybierz polecenie Start > Uruchom, wpisz regedit i kliknij OK, aby otworzyć Edytor rejestru.
2. W zależności od wersji systemu Windows, odszukaj lub utwórz następujący wpis rejestru:
• Windows 2000, XP, Vista i Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 i Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Utwórz lub zmodyfikuj wartość DWORD EnablePlainTextPassword i zmień wartość jej danych z 0 na 1.
4. Uruchom ponownie system Windows, aby zastosować zmiany.

Aby zmodyfikować ustawienia systemu Mac OS X:

1. Wybierz polecenie Aplikacje > Narzędzia, aby otworzyć okno Terminal.
2. Utwórz pusty plik /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Otwórz /etc/nsmb.conf w programie vi:

   sudo vi /etc/nsmb.conf

4. Wpisz „i”, aby wstawić tekst, a następnie wklej poniższy tekst:

   [default]
   > minauth=none

5. Naciśnij klawisz Esc, a następnie wpisz „ZZ”, aby zapisać zmiany i zamknąć program vi.

Aby zmodyfikować ustawienia systemu Linux:

Jeśli korzystasz z smbclient, dodaj następujące wpisy w sekcji [global] pliku smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Jeśli korzystasz z mount.cifs, wpisz poniższe polecenie:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Szczegółowe informacje znajdziesz pod adresem https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README.

Informacje o profilach

Poszczególne serwery LDAP mogą korzystać z różnych atrybutów dla nazw kont i nazw grup bądź też w celu rozróżnienia kont i grup. Opcja Profil umożliwia określenie lub skonfigurowanie sposobu, w jaki informacje o użytkowniku i grupie są mapowane do atrybutów LDAP. W zależności od używanego serwera LDAP można wybrać jeden z poniższych profili:

• Standardowy: Dla serwerów Directory Server firmy Synology lub serwerów Mac Open Directory.
• IBM Lotus Domino: Dla serwerów IBM Lotus Domino 8.5.
• Niestandardowy: Umożliwia konfigurację mapowania. Więcej szczegółowych informacji można znaleźć w sekcji poniżej.

Przed konfiguracją atrybutów mapowania LDAP użytkownik powinien posiąść podstawową wiedzę w tym zakresie. System Synology DSM i edytor Profili są zgodne ze standardem RFC 2307. Użytkownik może określić filter > passwd jako userFilter, dzięki czemu DiskStation będzie interpretować zapisy za pomocą objectClass=userFilter na serwerze LDAP jako konta LDAP. Jeśli określisz passwd > uid jako username, DiskStation będzie interpretować username na serwerze LDAP jako nazwę konta. Pozostawienie pustych opcji mapowania spowoduje zastosowanie zasad standardu RFC 2307.

DiskStation wymaga stałej liczby całkowitej, która będzie służyć jako identyfikator konta LDAP (uidNumber) lub identyfikator grupy (gidNumber). Jednak nie wszystkie serwery LDAP używają liczb całkowitych jako takich atrybutów. Dlatego też słowo kluczowe HASH() może być użyte do konwertowania atrybutów na liczby całkowite. Na przykład serwer LDAP może używać atrybutu userid o wartości szesnastkowej jako unikatowego identyfikatora dla konta LDAP. W takim przypadku użytkownik może ustawić passwd > uidNumber na HASH(userid), po czym DiskStation przekonwertuje wartość na liczbę całkowitą.

Poniżej znajduje się podsumowanie atrybutów, które można zmodyfikować:

• filter
• group: wymagany element objectClass dla grupy.
• passwd: wymagany element objectClass dla użytkownika.
• shadow: wymagany element objectClass dla haseł użytkowników.
• group
• cn: nazwa grupy.
• gidNumber: Numer GID dla tej grupy.
• memberUid: członkowie tej grupy.
• passwd
• uidNumber: Numer UID dla tego użytkownika.
• uid: nazwa użytkownika.
• gidNumber: podstawowy numer GID dla tego użytkownika.
• shadow
• uid: nazwa użytkownika.
• userPassword: hasło użytkownika.

Informacje o przesunięciu UID/GID

Aby uniknąć konfliktów UID/GID pomiędzy użytkownikami/grupami LDAP i użytkownikami/grupami lokalnymi, można włączyć przesunięcie UID/GID w celu przesunięcia UID/GID dla użytkowników/grup serwera LDAP o 1 000 000. Ta opcja dotyczy tylko serwerów LDAP, które nie są serwerami LDAP firmy Synology i mają unikatowy, numeryczny atrybut identyfikatora ID dla każdego użytkownika/grupy.