LDAP
O LDAP permite que o DiskStation adira a um serviço de diretório existente como cliente LDAP e, em seguida, obtenha as informações de utilizador ou grupo a partir de um servidor LDAP (ou "directory server"). Poderá gerir privilégios de acesso de utilizadores ou grupos LDAP a aplicações DSM e pastas partilhadas, como faria com utilizadores ou grupos DSM locais. Para obter mais informações sobre LDAP, consulte aqui.
O padrão LDAP suportado é LDAP versão 3 (RFC 2251).
Para associar o DiskStation a um serviço de diretório:
- Aceda a Painel de Controlo > Serviço de Diretório
- Aceda ao separador LDAP e assinale Ativar Cliente LDAP.
- Introduza o endereço IP ou nome de domínio do servidor LDAP no campo Endereço do Servidor LDAP.
- Escolha um tipo de encriptação no menu pendente Encriptação para encriptar a ligação LDAP ao servidor LDAP.
- Introduza o Base DN do servidor LDAP no campo Base DN.
- Selecione o Perfil adequado consoante o servidor LDAP. Por exemplo, escolha Padrão se estiver a utilizar o Synology Directory Server ou Mac Open Directory.
- Para permitir que os utilizadores LDAP acedam a ficheiros do DiskStation através de CIFS, assinale Ativar autenticação de palavra-passe CIFS de texto simples. Consulte a secção abaixo para garantir que utilizadores LDAP podem utilizar os seus computadores para aceder com êxito a ficheiros de DiskStation através de CIFS.
- Clique em Aplicar.
-
Introduza o Bind DN (ou conta de administrador LDAP) e a palavra-passe nos campos e, em seguida, clique em OK.
Acerca do Suporte CIFS e Definições do Computador Cliente
Após ativar o suporte CIFS, os utilizadores LDAP poderão necessitar de modificar as definições dos seus computadores para conseguirem aceder a ficheiros de DiskStation através de CIFS:
-
Se o DiskStation aderir ao serviço de diretório fornecido por um servidor Synology LDAP (ou outro DiskStation que tenha instalado e executado o pacote Directory Server), os utilizadores LDAP podem aceder aos seus ficheiros de DiskStation através de CIFS sem modificar as definições do computador.
-
Se o DiskStation estiver associado a um servidor LDAP não Synology, os utilizadores LDAP terão de ativar o suporte PAM do computador para poderem aceder aos ficheiros de DiskStation através de CIFS. No entanto, este procedimento irá transferir a palavra-passe dos utilizadores LDAP para DiskStation em texto simples (sem encriptação), reduzindo o nível de segurança.
Para modificar as definições do Windows:
- Vá para Iniciar > Executar, introduza regedit no campo e clique em OK para abrir o Editor de Registo.
-
Dependendo da sua versão do Windows, procure ou crie o seguinte registo:
-
Windows 2000, XP, Vista e Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 e Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Crie ou modifique o valor DWORD EnablePlainTextPassword e altere o respetivo valor de 0 para 1.
-
Reinicie o Windows para que as alterações entrem em vigor.
Para modificar as definições do Mac OS X:
- Vá para Aplicações > Utilitários para abrir Terminal.
-
Crie um ficheiro /etc/nsmb.conf vazio:
sudo touch /etc/nsmb.conf
-
Abra /etc/nsmb.conf com vi:
sudo vi /etc/nsmb.conf
-
Escreva "i" para introduzir texto e cole o seguinte:
[default]
minauth=none
-
Prima a tecla Esc e escreva "ZZ" para guardar as alterações e sair do vi.
Para modificar as definições do Linux:
Se estiver a utilizar o smbclient, adicione as chaves seguintes na secção [global] de smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
Se estiver a utilizar mount.cifs, execute o comando seguinte:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Acerca de Perfis
Servidores LDAP diferentes poderão utilizar atributos diferentes para nomes de contas, nomes de grupos ou para distinguir entre contas e grupos. A opção Perfil permite especificar ou personalizar a forma como as informações do utilizador e do grupo são mapeadas para os atributos LDAP. É possível selecionar um dos seguintes perfis, dependendo do seu servidor LDAP:
- Padrão: Para os servidores com o Synology Directory Server ou Mac Open Directory.
- IBM Lotus Domino: Para os servidores com o IBM Lotus Domino 8.5.
- Personalizar: Permite personalizar os mapeamentos. Consulte a secção em baixo para obter detalhes.
Antes de personalizar os mapeamentos de atributos LDAP, necessitará de ter conhecimentos adquiridos. O Synology DSM e o editor de Perfil aderiram à RFC 2307. Por exemplo, pode especificar filter > passwd como userFilter, em que DiskStation irá interpretar os registos com objectClass=userFilter no servidor LDAP como contas LDAP. Se especificar passwd > uid como username, o DiskStation irá interpretar username no servidor LDAP como um nome da conta. Se deixar o mapeamento vazio irá aplicar as regras da RFC 2307.
O DiskStation requer um número inteiro fixo para funcionar como identificador da conta LDAP (uidNumber) ou identificador do grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representarem esses atributos. Assim, é fornecida uma palavra-chave HASH() para converter esses atributos em números inteiros. Por exemplo, o servidor LDAP poderá utilizar o atributo userid com um valor hexadecimal como identificador exclusivo de uma conta LDAP. Neste caso, pode definir passwd > uidNumber como HASH(userid) e, em seguida, DiskStation irá converter num número inteiro.
Segue-se um resumo dos atributos personalizáveis:
- filter
- group: objectClass necessário para o grupo.
- passwd: objectClass necessário para o utilizador.
- shadow: objectClass necessário para as palavras-passe de utilizador.
- group
- cn: nome do grupo.
- gidNumber: número GID deste grupo.
- memberUid: membros deste grupo.
- passwd
- uidNumber: número UID deste utilizador.
- uid: nome de utilizador.
- gidNumber: número GID principal deste utilizador.
- shadow
- uid: nome de utilizador.
- userPassword: palavra-passe do utilizador.
Acerca da troca UID/GID
Para evitar conflitos UID/GID entre utilizadores/grupos LDAP e utilizadores/grupos locais, pode activar a transição UID/GID para transitar o UID/GID de utilizadores/grupos LDAP em 1000000. Esta opção é apenas para servidores LDAP que não sejam servidores Synology LDAP e tenham um atributo ID numérico único para cada utilizador/grupo.