LDAP

O LDAP permite que seu Synology NAS participe de um serviço de diretório existente como um cliente LDAP e recupere informações do usuário e do grupo de um servidor LDAP (ou "directory server"). Você pode gerenciar os privilégios de acesso dos usuários ou grupos do LDAP para aplicativos DSM e pastas compartilhadas, do mesmo modo que você faria com usuários ou grupos locais de DSM. Para obter mais informações sobre o LDAP, consulte aqui.

O padrão LDAP suportado é o LDAP versão 3 (RFC 2251).

Para ingressar no Synology NAS para um serviço de diretório diferente:

Sobre o Suporte do CIFS e as Configurações do computador do cliente

Depois que o suporte do CIFS estiver habilitado, os usuários do LDAP podem precisar modificar as configurações de seus computadores para poder acessar os arquivos do Synology NAS através do CIFS:

• Se o seu Synology NAS se unir ao serviço de diretório fornecido por um servidor LDAP da Synology (ou outro Synology NAS que tenha sido instalado e execute o pacote Directory Server), os usuários do LDAP podem acessar seus arquivos do Synology NAS através do CIFS sem modificar as configurações de seus computadores.
• Se o seu Synology NAS se conectar a um servidor LDAP que não seja da Synology, os usuários do LDAP precisarão habilitar o suporte a PAM de seus computadores para poderem acessar arquivos do Synology NAS através do CIFS. Entretanto, fazer isso transferirá a senha dos usuários do LDAP para o Synology NAS em texto sem formatação (sem criptografia), diminuindo assim o nível de segurança.

Para modificar as configurações do Windows:

1. Vá para Iniciar > Executar, digite regedit no campo e clique em OK para abrir o Editor de Registro.
2. Dependendo de sua versão do Windows, encontre ou crie o seguinte registro:
• Windows 2000, XP, Vista e Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 e Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Criar ou modificar o valor DWORD EnablePlainTextPassword e altere seu valor de 0 para 1.
4. Reinicie o Windows para que a alteração entre em vigor.

Para modificar as configurações no Mac OS X:

1. Vá até Aplicativos > Utilitários para abrir Terminal.
2. Crie um arquivo vazio em /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Abra /etc/nsmb.conf com o vi:

   sudo vi /etc/nsmb.conf

4. Digite "i" para inserir texto e cole o seguinte:

   [padrão]
   > minauth=none

5. Pressione a tecla Esc e digite "ZZ" para salvar as alterações e sair do vi.

Para modificar as configurações do Linux:

Se o smbclient estiver sendo usado, adicione as chaves a seguir na seção [global] do smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Se o mount.cifs estiver sendo usado, execute o comando a seguir:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Sobre os perfis

Diferentes servidores LDAP podem usar diferentes atributos para nomes de conta e de grupo, ou para diferenciar contas de grupos. A opção Perfil permite especificar ou personalizar como as informações do usuário e do grupo são mapeadas para os atributos do LDAP. Um dos seguintes perfis pode ser selecionado dependendo do seu servidor LDAP:

• Padrão: Para servidores executando o Synology Directory Server ou Mac Open Directory.
• IBM Lotus Domino: Para servidores executando o IBM Lotus Domino 8.5.
• Personalizado: Permite personalizar os mapeamentos. Consulte os detalhes na seção abaixo.

Antes de personalizar os mapeamentos do atributo LDAP, você precisa de um conhecimento básico. O Synology DSM e o editor de Perfis aderem ao RFC 2307. Por exemplo, você pode especificar filter > passwd como userFilter, e nesse caso o Synology NAS interpreta os registros com objectClass=userFilter no seu servidor LDAP como contas LDAP. Se você especificar passwd > uid como username, o Synology NAS interpreta username no seu servidor LDAP como um nome de conta. Deixar o mapeamento vazio aplica as regras RFC 2307.

O Synology NAS exige que um número inteiro fixo sirva como identificador da conta LDAP (uidNumber) ou identificador de grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representar esses atributos. Portanto, uma palavra-chave HASH() é fornecida para converter esses atributos em inteiros. Por exemplo, seu servidor LDAP pode usar o atributo userid com um valor hexadecimal como identificador único de uma conta LDAP. Neste caso, você pode configurar passwd > uidNumber como HASH(userid), e o Synology NAS irá convertê-lo em um inteiro.

A seguir está um resumo dos atributos personalizáveis:

• filter
• group: objectClass exigido para o grupo.
• passwd: objectClass exigido para o usuário.
• shadow: objectClass exigido para senhas do usuário.
• group
• cn: nome do grupo.
• gidNumber: número GID deste grupo.
• memberUid: membros desse grupo.
• passwd
• uidNumber: número UID deste usuário.
• uid: nome de usuário.
• gidNumber: número GID primário desse usuário.
• shadow
• uid: nome de usuário.
• userPassword: senha do usuário.

Sobre a troca de UID/GID

Para evitar conflitos de UID/GID entre usuários/grupos LDAP e usuários/grupos locais, você pode ativar a troca de UID/GID para trocar o UID/GID de usuários/grupos LDAP por 1000000. Essa opção é apenas para servidores LDAP que não sejam servidores LDAP da Synology e tenham um atributo de ID numérico único para cada usuário/grupo.