Informacje o wsparciu protokołu CIFS i ustawieniach komputerów klienckich

Po włączeniu obsługi CIFS użytkownicy LDAP być może będą musieli zmodyfikować ustawienia komputera tak, aby móc uzyskać dostęp do plików serwera Synology NAS za pośrednictwem CIFS:

• Jeżeli serwer Synology NAS dołączy do usługi katalogowej oferowanej przez serwer Synology LDAP (lub inny serwer Synology NAS z zainstalowanym i uruchomionym pakietem Directory Server), użytkownicy LDAP będą mogli uzyskać dostęp do plików serwera Synology NAS za pośrednictwem CIFS bez konieczności modyfikowania ustawień komputera.
• Jeżeli serwer Synology NAS dołączy do serwera LDAP innej firmy niż Synology, użytkownicy LDAP będą musieli włączyć w swoich komputerach obsługę PAM, aby móc uzyskać dostęp do plików serwera Synology NAS za pośrednictwem CIFS. Spowoduje to jednak przesyłanie haseł użytkowników LDAP do serwera Synology NAS w postaci zwykłego tekstu (bez szyfrowania), co obniży poziom zabezpieczeń.

Aby zmodyfikować ustawienia systemu Windows:

1. Przejdź do menu Start > Uruchom, wpisz regedit w polu, a następnie kliknij OK aby otworzyć Edytor rejestru.
2. W zależności od wersji systemu Windows odszukaj lub utwórz następujący wpis rejestru:
• Windows 2000, XP, Vista i Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 i Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Utwórz lub zmodyfikuj wartość DWORD EnablePlainTextPassword i zmień wartość jej danych z 0 na 1.
4. Uruchom ponownie system Windows, aby zmiany zostały zastosowane.

Aby zmodyfikować ustawienia systemu Mac OS X:

1. Przejdź do opcji Aplikacje > Narzędzia, aby otworzyć okno Terminal.
2. Utwórz pusty plik /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf
   

3. Otwórz /etc/nsmb.conf w programie vi:

   sudo vi /etc/nsmb.conf
   

4. Wpisz „i”, aby wstawić tekst, a następnie wklej poniższy tekst:

   [default]
   
   minauth=none
   

5. Naciśnij klawisz Esc, a następnie wpisz „ZZ”, aby zapisać zmiany i wyjść z programu vi.

Aby zmodyfikować ustawienia systemu Linux:

Jeżeli używasz smbclient, dodaj następujące klucze w sekcji [global] pliku smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Jeżeli używasz mount.cifs, wykonaj następujące polecenie:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Więcej informacji można uzyskać pod adresem https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Informacje o profilach

Różne serwery LDAP mogą używać różnych atrybutów nazw kont i nazw grup lub w celu rozróżniania kont i grup. Opcja Profil umożliwia określenie lub dostosowanie sposobu mapowania informacji o użytkownikach lub grupach do atrybutów LDAP. W zależności od serwera LDAP można wybrać jeden z następujących profili:

• Standardowy: W przypadku serwerów z oprogramowaniem Synology Directory Server lub Mac Open Directory.
• IBM Lotus Domino: W przypadku serwerów z oprogramowaniem IBM Lotus Domino 8.5.
• Niestandardowe: Umożliwia dostosowanie mapowania. Szczegółowe informacje zawiera sekcja poniżej.

Przed dostosowaniem mapowania atrybutów LDAP należy zapoznać się z pewnymi podstawowymi informacjami. Synology DSM i edytor Profil są zgodne ze specyfikacją RFC 2307. Można na przykład określić filter > passwd jako userFilter. W takim przypadku serwer Synology NAS będzie interpretować rekordy z objectClass=userFilter na serwerze LDAP jako konta LDAP. Jeżeli określisz passwd > uid jako username, serwer Synology NAS będzie interpretować username na serwerze LDAP jako nazwę konta. Pozostawienie pustego mapowania spowoduje zastosowanie reguł RFC 2307.

Serwer Synology NAS wymaga stałej liczby całkowitej jako identyfikatora konta LDAP (uidNumber) lub identyfikatora grupy (gidNumber). Nie wszystkie serwery LDAP używają jednak liczb całkowitych do reprezentowania takich atrybutów. W związku z tym dostępne jest słowo kluczowe HASH() umożliwiające konwersję takich atrybutów na liczby całkowite. Na przykład serwer LDAP może używać jako unikatowego identyfikatora konta LDAP atrybutu userid z wartością szesnastkową. W takim przypadku można ustawić passwd > uidNumber na HASH(userid), a serwer Synology NAS przekonwertuje tę wartość na liczbę całkowitą.

Poniżej przedstawiono podsumowanie atrybutów, które można dostosować:

• filter
• group: wymagana klasa objectClass dla grupy.
• passwd: wymagana klasa objectClass dla użytkownika.
• shadow: wymagana klasa objectClass dla haseł użytkowników.
• group
• cn: nazwa grupy.
• gidNumber: numer GID tej grupy.
• memberUid: członkowie tej grupy.
• passwd
• uidNumber: numer UID tego użytkownika.
• uid: nazwa użytkownika.
• gidNumber: podstawowy numer GID tego użytkownika.
• shadow
• uid: nazwa użytkownika.
• userPassword: hasło użytkownika.

Informacje o powiększaniu UID/GID

Aby uniknąć konfliktów identyfikatorów UID/GID między użytkownikami/grupami LDAP oraz lokalnymi użytkownikami/grupami, można włączyć powiększanie identyfikatorów UID/GID, aby powiększać wartości identyfikatorów UID/GID użytkowników/grup LDAP o 1 000 000. Ta opcja jest przeznaczona tylko dla serwerów LDAP, które nie są serwerami LDAP firmy Synology i mają unikatowy, numeryczny atrybut identyfikatora dla każdego użytkownika/grupy.