LDAP

LDAP ermöglicht es Synology NAS, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Zugriffsberechtigungen von LDAP-Benutzern oder -Gruppen auf DSM-Anwendungen und gemeinsamen Ordnern verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen über LDAP finden Sie hier.

Beim unterstützten LDAP-Standard handelt es sich um LDAP-Version 3 (RFC 2251).

So stellen Sie eine Verbindung zwischen Synology NAS und einem Verzeichnisdienst her:

CIFS-Unterstützung und Einstellungen des Client-Computers

Nachdem die CIFS-Unterstützung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien des Synology NAS zugreifen zu können:

• Wenn Synology NAS mit dem durch einen Synology LDAP-Server (oder einen anderen Synology NAS, auf dem das Paket Directory Server installiert ist) bereitgestellten Verzeichnisdienst verbunden ist, können LDAP-Benutzer auf die Dateien Ihres Synology NAS über CIFS zugreifen, ohne die Einstellungen ihrer Computer zu ändern.
• Wenn Synology NAS mit einem LDAP-Server verbunden ist, der nicht von Synology stammt, müssen LDAP-Benutzer die PAM-Unterstützung für ihre Computer aktivieren, um auf Dateien des Synology NAS über CIFS zugreifen zu können. Dabei wird allerdings das Passwort der LDAP-Benutzer in reiner Textform (ohne Verschlüsselung) an Synology NAS übertragen, sodass die Sicherheitsstufe sinkt.

So ändern Sie die Einstellungen unter Windows:

1. Gehen Sie zu Start > Ausführen, geben Sie regedit in das Feld ein, und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
2. Je nach Windows-Version sehen oder erstellen Sie folgende Registrierungseinträge:
• Windows 2000, XP, Vista und Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 und Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword und ändern Sie dessen Wert von 0 auf 1.
4. Starten Sie Windows neu, um die Änderungen zu übernehmen.

So ändern Sie die Einstellungen des Mac OS X:

1. Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
2. Erstellen Sie eine leere Datei /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Öffnen Sie /etc/nsmb.conf mit vi:

   sudo vi /etc/nsmb.conf

4. Geben Sie „i“ ein, um Text einzufügen, und fügen Sie Folgendes ein:

   [default]
   > minauth=none

5. Drücken Sie die Esc-Taste und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.

So ändern Sie die Einstellungen unter Linux:

Wenn Sie smbclient verwenden, fügen Sie bitte die folgenden Schlüssel im Bereich [global] von smb.conf ein:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Wenn Sie mount.cifs verwenden, führen Sie den folgenden Befehl aus:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Details zu Profilen

Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder eine Unterscheidung zwischen Konten und Gruppen treffen. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppen-Informationen den LDAP-Attributen zugeordnet werden. Eines der folgenden Profile kann je nach LDAP-Server ausgewählt werden:

• Standard: Für Server mit Synology Directory Server oder Mac Open Directory.
• IBM Lotus Domino: Für Server mit IBM Lotus Domino 8.5.
• Benutzerdefiniert: Erlaubt die Anpassung der Zuordnungen. Konsultieren Sie den folgenden Abschnitt für weitere Einzelheiten.

Vor der Anpassung der LDAP-Attributzuordnungen benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor folgen beide RFC 2307. Zum Beispiel können Sie filter > passwd als userFilter festlegen, dann interpretiert Synology NAS die Datensätze mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert Synology NAS Benutzername auf Ihrem LDAP-Server als Kontonamen. Bleibt das Mapping leer, gelten die RFC 2307-Regeln.

Synology NAS erfordert eine feststehende ganze Zahl als LDAP-Kontokennung (uidNumber) oder eine Gruppenkennung (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() zur Verfügung gestellt, um solche Attribute in ganze Zahlen umzuwandeln. Ihr LDAP-Server könnte zum Beispiel das Attribut userid mit einem Hexadezimalwert als eindeutige Kennung für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) festlegen, dann wandelt Synology NAS das Attribut in eine ganze Zahl um.

Es folgt eine Zusammenfassung der anpassbaren Attribute:

• filter
• group: Erforderliche objectClass für Gruppe.
• passwd: Erforderliche objectClass für Benutzer.
• shadow: Erforderliche objectClass für Benutzer-Passwörter.
• group
• cn: Gruppenname.
• gidNumber: GID-Nummer dieser Gruppe.
• memberUid: Mitglieder dieser Gruppe.
• passwd
• uidNumber: UID-Nummer des Benutzers.
• uid: Benutzername.
• gidNumber: Primäre GID-Nummer des Benutzers.
• shadow
• uid: Benutzername.
• userPassword: Benutzer-Passwort.

Über UID/GID-Verschiebung

Um UID/GID-Konflikte zwischen LDAP-Benutzern/Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID von LDAP-Benutzer/Gruppen um 1000000 zu verschieben. Diese Option gilt nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribute für jede(n) Benutzer/Gruppe besitzen.