LDAP

LDAP permet à votre Synology NAS de rejoindre un service d'annuaire existant en tant que client LDAP, puis de récupérer les informations d'utilisateur ou de groupe depuis un serveur LDAP (ou « directory service »). Vous pouvez gérer les privilèges d'accès des utilisateurs ou groupes LDAP aux applications DSM et dossiers partagés, exactement comme vous le feriez pour les utilisateurs ou groupes locaux DSM. Pour plus d'informations sur le LDAP, voir ici.

Le standard LDAP pris en charge est LDAP version 3 (RFC2251).

Pour joindre un Synology NAS à un service d'annuaire :

À propos de la prise en charge de CIFS et des paramètres de l'ordinateur client

Après l'activation de la prise en charge de CIFS, les utilisateurs LDAP devront peut-être modifier les paramètres de leurs ordinateurs pour pouvoir accéder aux fichiers du Synology NAS via CIFS :

• Si votre Synology NAS rejoint le service d'annuaire par un serveur LDAP Synology (ou un autre Synology NAS sur lequel a été installé et exécuté le progiciel Directory Server), les utilisateurs LDAP peuvent accéder à vos fichiers Synology NAS via CIFS sans modifier les paramètres de leurs ordinateurs.
• Si votre Synology NAS se lie à un serveur LDAP non-Synology, les utilisateurs LDAP devront activer la prise en charge PAM de leur ordinateur pour pouvoir accéder aux fichiers du Synology NAS via CIFS. Cependant, cela transférera le mot de passe des utilisateurs LDAP au Synology NAS en texte brut (sans chiffrement), réduisant ainsi le niveau de sécurité.

Pour modifier les paramètres Windows :

1. Sélectionnez Démarrer > Exécuter, saisissez regedit dans le champ, puis cliquez sur OK pour ouvrir l'Éditeur de registres.
2. Selon votre version de Windows, trouvez ou créez le registre suivant :
• Windows 2000, XP, Vista et Windows 7 :
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT :
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 et Me :
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Créez ou modifiez la valeur DWORD EnablePlainTextPassword et changez sa donnée de valeur de 0 à 1.
4. Redémarrez Windows pour que la modification prenne effet.

Pour modifier les paramètres de Mac OS X :

1. Allez dans Applications > Utilitaires pour ouvrir Terminal.
2. Créez un fichier vide /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Ouvrez /etc/nsmb.conf avec vi:

   sudo vi /etc/nsmb.conf

4. Saisissez « i » pour insérer du texte et collez ce qui suit :

   [default]
   > minauth=none

5. Appuyez sur la touche Échap, puis saisissez « ZZ » pour enregistrer les modifications et quitter vi.

Pour modifier les paramètres de Linux :

Si utilisez smbclient, veuillez ajouter les clés suivantes dans la section [global] de smb.conf :

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Si vous utilisez mount.cifs, exécutez la commande suivante :

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Pour plus de renseignements, veuillez consulterhttps://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

A propos des profils

Des serveurs LDAP différents peuvent utiliser des attributs différents pour les noms de compte, les noms de groupes ou pour différencier les comptes et les groupes. L'option Profil vous permet de spécifier ou de personnaliser la manière dont les informations sur les utilisateurs et les groupes sont mappées avec les attributs LDAP. Vous pouvez sélectionner l'un des profils suivants en fonction de votre serveur LDAP :

• Standard : Pour les serveurs exécutant Synology Directory Server ou Mac Open Directory.
• IBM Lotus Domino : Pour les serveurs exécutant IBM Lotus Domino 8.5.
• Personnalisé : Vous permet de personnaliser les mappages personnalisés. Consultez la section ci-dessous pour plus de détails.

Avant de personnaliser les mappages d'attributs LDAP, vous avez besoin de quelques connaissances de base. Synology DSM et l'éditeur du Profil adhèrent à la norme RFC 2307. Par exemple, vous pouvez spécifier filter > passwd en tant que userFilter, auquel cas le Synology NAS interprétera les enregistrements à l'aide de objectClass=userFilter sur votre serveur LDAP comme des comptes LDAP. Si vous spécifiez passwd > uid comme username, le Synology NAS interprétera username sur votre serveur LDAP comme un nom de compte. Si le mappage est laissé vide, les règles RFC 2307 s'appliqueront.

Synology NAS requiert un nombre entier fixe pour faire office d'identifiant de compte LDAP (uidNumber) ou d'identifiant de groupe (gidNumber). Cependant, certains servers LDAP n'utilisent pas les nombres entiers pour représenter ces attributs. Par conséquent, un mot-clé HASH() est fourni pour convertir ces attributs en nombres entiers. Par exemple, votre serveur LDAP peut utiliser l'attribut userid avec une valeur hexadécimale en tant qu'identifiant unique pour un compte LDAP. Dans ce cas, vous pouvez définir passwd > uidNumber sur HASH(userid), et le Synology NAS le convertira alors en un nombre entier.

Ce qui suit est un résumé des attributs personnalisables :

• filtre
• group: objectClass requis pour un groupe.
• passwd: objectClass requis pour un utilisateur.
• shadow: objectClass requis pour les mots de passe utilisateur.
• groupe
• cn: nom de groupe.
• gidNumber : le numéro GID de ce groupe.
• memberUid: membres de ce groupe.
• passwd
• uidNumber : numéro UID de cet utilisateur.
• uid: nom utilisateur.
• gidNumber: le numéro GID primaire de cet utilisateur.
• shadow
• uid: nom utilisateur.
• userPassword: mot de passe utilisateur.

A propos du changement UID/GID

Pour éviter les conflits entre les utilisateurs/groupes LDAP et les utilisateurs/groupes locaux, vous pouvez activer le changement UID/GID des utilisateurs/groupes LDAP par 1000000. Cette option est uniquement pour les serveurs LDAP qui sont des serveurs LDAP non Synology et qui ont un attribut numérique unique pour chaque utilisateur/groupe.