LDAP

Ваше устройство Synology NAS можно по протоколу LDAP подключать к имеющейся службе каталогов в качестве клиента LDAP, а затем извлекать сведения о пользователях или группах с сервера LDAP (или "directory server"). Правами доступа пользователей или групп LDAP к программам или общим папкам DSM можно управлять точно так же, как правами доступа локальных пользователей или групп DSM. Дополнительные сведения о LDAP см. здесь.

Поддерживается стандарт LDAP версии 3 (RFC 2251).

Присоединение Synology NAS к службе каталогов:

  1. Выберите Панель управления > Служба каталогов.
  2. Перейдите на вкладку LDAP и установите флажок Включить клиент LDAP.
  3. Введите IP-адрес или имя домена сервера LDAP в поле Адрес сервера LDAP.
  4. В раскрывающемся меню Защита выберите способ защиты, чтобы защитить LDAP-подключение к серверу LDAP.
  5. Введите Base DN (отличительное имя) сервера LDAP в поле Base DN.
  6. Выберите соответствующий Профиль в зависимости от сервера LDAP. Например, выберите Стандартный, если вы используете Synology Directory Server или Mac Open Directory.
  7. Чтобы разрешить пользователям LDAP доступ к файлам на устройстве Synology NAS по протоколу CIFS, установите флажок Включить поддержку Windows CIFS. В следующем разделе описано, как пользователи LDAP могут настроить свои компьютеры для доступа к файлам на устройстве Synology NAS по протоколу CIFS.
  8. Нажмите Применить.
  9. Введите Bind DN (или LDAP учетной записи администратора) и пароль в полях, а затем нажмите OK.

Поддержка протокола CIFS и настройки клиентского компьютера

После включения поддержки протокола CIFS пользователям LDAP, возможно, придется изменить настройки своих компьютеров, чтобы обращаться к файлам на устройстве Synology NAS по протоколу CIFS:

Изменение настроек Windows:

  1. Выберите Пуск > Выполнить, в поле введите regedit и нажмите OK, чтобы открыть Редактор реестра.
  2. В зависимости от вашей версии Windows найдите или создайте следующую запись:
  3. Создайте или измените значение DWORD EnablePlainTextPassword и измените его значение с 0 на 1.
  4. Перезапустите Windows, чтобы изменения вступили в силу.

Порядок изменения настроек в Mac OS X:

  1. Выберите Приложения > Утилиты, чтобы открыть Терминал.
  2. Создайте пустой файл /etc/nsmb.conf: 
    sudo touch /etc/nsmb.conf
  3. Откройте /etc/nsmb.conf с помощью редактора vi: 
    sudo vi /etc/nsmb.conf
  4. Введите "i", чтобы вставить текст, и вставьте следующее: 
    [default]
    
minauth=none
  5. Нажмите клавишу Esc и затем введите "ZZ", чтобы сохранить настройки и закрыть редактор vi.

Порядок изменения настроек в Linux:

Если вы используете smbclient, добавьте следующие ключи в раздел [global] файла smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Если вы используете mount.cifs, выполните следующую команду:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Для получения дополнительной информации см. https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

О профилях

Различные серверы LDAP могут использовать различные атрибуты для учетных записей, имен групп или для различения одних учетных записей и групп от других. Параметр Профиль позволяет указать или настроить сопоставление информации о пользователях и группах с атрибутами LDAP. Вы можете выбрать один из следующих профилей в зависимости от сервера LDAP:

Перед настройкой сопоставлений атрибутов LDAP необходимо иметь соответствующие знания. Synology DSM и редактор Профиль соответствуют RFC 2307. Например, вы можете указать filter > passwd в качестве userFilter, чтобы устройство Synology NAS считало записи с objectClass=userFilter на сервере LDAP учетными записями LDAP. Укажите passwd > uid в качестве username, чтобы Synology NAS считало username на сервере LDAP именем учетной записи. Если сопоставление не указано, будут применены правила RFC 2307.

Synology NAS требует фиксированного целого числа для использования в качестве идентификатора учетной записи LDAP (uidNumber) или идентификатор группы (gidNumber). Однако не все серверы LDAP используют целые числа для предоставления таких атрибутов. Поэтому предоставляется ключевое слово HASH() для преобразования таких атрибутов в целые числа. Например, сервер LDAP может использовать атрибут userid с шестнадцатеричным значением в качестве уникального идентификатора для учетной записи LDAP. В этом случае можно установить passwd > uidNumber на HASH(userid), чтобы устройство Synology NAS выполнило его преобразование в целое число.

Ниже приведена краткая информация о настраиваемых атрибутах:

Об изменении UID/GID

Во избежание конфликта UID/GID между пользователями/группами LDAP и локальными пользователями/группами можно включить изменение UID/GID для смены UID/GID пользователей/групп LDAP на 1000000. Данный параметр доступен только для серверов LDAP, которые не являются серверами LDAP Synology и имеют уникальный числовой атрибут ID для каждого пользователя/группы.