LDAP

O LDAP permite que o Synology NAS adira a um serviço de diretório existente como cliente LDAP e, em seguida, obtenha as informações de utilizador ou grupo a partir de um servidor LDAP (ou "directory server"). Poderá gerir privilégios de acesso de utilizadores ou grupos LDAP a aplicações DSM e pastas partilhadas, como faria com utilizadores ou grupos DSM locais. Para obter mais informações sobre LDAP, consulte aqui.

O padrão LDAP suportado é LDAP versão 3 (RFC 2251).

Para associar o Synology NAS a um serviço de diretório:

Acerca do Suporte CIFS e Definições do Computador Cliente

Após ativar o suporte CIFS, os utilizadores LDAP poderão necessitar de modificar as definições dos seus computadores para conseguirem aceder a ficheiros de Synology NAS através de CIFS:

• Se o Synology NAS aderir ao serviço de diretório fornecido por um servidor Synology LDAP (ou outro Synology NAS que tenha instalado e executado o pacote Directory Server), os utilizadores LDAP podem aceder aos seus ficheiros de Synology NAS através de CIFS sem modificar as definições do computador.
• Se o Synology NAS estiver associado a um servidor LDAP não Synology, os utilizadores LDAP terão de ativar o suporte PAM do computador para poderem aceder aos ficheiros de Synology NAS através de CIFS. No entanto, este procedimento irá transferir a palavra-passe dos utilizadores LDAP para Synology NAS em texto simples (sem encriptação), reduzindo o nível de segurança.

Para modificar as definições do Windows:

1. Vá para Iniciar > Executar, introduza regedit no campo e clique em OK para abrir o Editor de Registo.
2. Dependendo da sua versão do Windows, procure ou crie o seguinte registo:
• Windows 2000, XP, Vista e Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 e Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Crie ou modifique o valor DWORD EnablePlainTextPassword e altere o respetivo valor de 0 para 1.
4. Reinicie o Windows para que as alterações entrem em vigor.

Para modificar as definições do Mac OS X:

1. Vá para Aplicações > Utilitários para abrir Terminal.
2. Crie um ficheiro /etc/nsmb.conf vazio:

   sudo touch /etc/nsmb.conf

3. Abra /etc/nsmb.conf com vi:

   sudo vi /etc/nsmb.conf

4. Escreva "i" para introduzir texto e cole o seguinte:

   [default]
   > minauth=none

5. Prima a tecla Esc e escreva "ZZ" para guardar as alterações e sair do vi.

Para modificar as definições do Linux:

Se estiver a utilizar o smbclient, adicione as chaves seguintes na secção [global] de smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Se estiver a utilizar mount.cifs, execute o comando seguinte:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para mais informações, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Acerca de Perfis

Servidores LDAP diferentes poderão utilizar atributos diferentes para nomes de contas, nomes de grupos ou para distinguir entre contas e grupos. A opção Perfil permite especificar ou personalizar a forma como as informações do utilizador e do grupo são mapeadas para os atributos LDAP. É possível selecionar um dos seguintes perfis, dependendo do seu servidor LDAP:

• Padrão: Para os servidores com o Synology Directory Server ou Mac Open Directory.
• IBM Lotus Domino: Para os servidores com o IBM Lotus Domino 8.5.
• Personalizar: Permite personalizar os mapeamentos. Consulte a secção em baixo para obter detalhes.

Antes de personalizar os mapeamentos de atributos LDAP, necessitará de ter conhecimentos adquiridos. O Synology DSM e o editor Perfil seguem RFC 2307. Por exemplo, pode especificar filter > passwd como userFilter, em que Synology NAS irá interpretar os registos com objectClass=userFilter no servidor LDAP como contas LDAP. Se especificar passwd > uid como username, o Synology NAS irá interpretar username no servidor LDAP como um nome da conta. Se deixar o mapeamento vazio irá aplicar as regras da RFC 2307.

O Synology NAS requer um número inteiro fixo para funcionar como identificador da conta LDAP (uidNumber) ou identificador do grupo (gidNumber). No entanto, nem todos os servidores LDAP utilizam números inteiros para representarem esses atributos. Assim, é fornecida uma palavra-chave HASH() para converter esses atributos em números inteiros. Por exemplo, o servidor LDAP poderá utilizar o atributo userid com um valor hexadecimal como identificador exclusivo de uma conta LDAP. Neste caso, pode definir passwd > uidNumber como HASH(userid) e, em seguida, Synology NAS irá converter num número inteiro.

Segue-se um resumo dos atributos personalizáveis:

• filter
• group: objectClass necessário para o grupo.
• passwd: objectClass necessário para o utilizador.
• shadow: objectClass necessário para as palavras-passe de utilizador.
• group
• cn: nome do grupo.
• gidNumber: número GID deste grupo.
• memberUid: membros deste grupo.
• passwd
• uidNumber: número UID deste utilizador.
• uid: nome de utilizador.
• gidNumber: número GID principal deste utilizador.
• shadow
• uid: nome de utilizador.
• userPassword: palavra-passe de utilizador.

Acerca da troca UID/GID

Para evitar conflitos de UID/GID entre os utilizadores/grupos LDAP e os utilizadores/grupos locais, pode ativar a troca de UID/GID para trocar o UID/GID dos utilizadores/grupos LDAP por 1000000. Esta opção é apenas para os servidores LDAP que não sejam servidores LDAP não Synology e que disponham de um único atributo de ID numérico para cada utilizador/grupo.