LDAP

LDAP permite a Synology NAS unirse a un servicio de directorio existente como cliente LDAP y obtener información de usuarios o de grupos de un servidor LDAP (o "servidor de directorio"). Puede administrar los privilegios de acceso de usuarios o grupos de LDAP a aplicaciones DSM y carpetas compartidas exactamente igual que haría con usuarios o grupos locales DSM. Para obtener más información acerca de LDAP, consulte aquí.

Acerca de la compatibilidad CIFS y la configuración del ordenador cliente

Una vez que la compatibilidad CIFS está habilitada, puede que los usuarios de LDAP tengan que modificar la configuración de su ordenador para poder acceder a los archivos de Synology NAS a través de CIFS:

Si Synology NAS se une al servicio de directorio suministrado por un servidor LDAP de Synology (u otro Synology NAS que tenga instalado y utilice el paquete Directory Server), los usuarios de LDAP podrán acceder a sus archivos de Synology NAS a través de CIFS sin modificar la configuración de su ordenador.
Si su Synology NAS se vincula a un servidor LDAP que no sea de Synology, los usuarios de LDAP tendrán que habilitar la compatibilidad PAM de su ordenador para poder acceder a los archivos de Synology NAS a través de CIFS. Sin embargo, al hacer esto, la contraseña de los usuarios de LDAP se transferirá a Synology NAS como texto sin formato (sin cifrado) y, por tanto, se reducirá el nivel de seguridad.

Para modificar la configuración de Windows:

Vaya a Inicio > Ejecutar, escriba regedit en el campo y luego haga clic en OK para abrir el Editor del Registro.
Dependiendo de su versión de Windows, busque o cree el siguiente registro:

Windows 2000, XP, Vista y Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
Windows 95 (SP1), 98 y Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]

Cree o modifique el valor DWORD EnablePlainTextPassword y cambie el dato de valor de 0 a 1.
Reinicie Windows para que el cambio surta efecto.

Para modificar la configuración de Mac OS X:

Vaya a Aplicaciones > Utilidades para abrir Terminal.
Cree un archivo vacío /etc/nsmb.conf:
```
sudo touch /etc/nsmb.conf
```
Abra /etc/nsmb.conf con vi:
```
sudo vi /etc/nsmb.conf
```
Escriba "i" para insertar texto y pegue lo siguiente:
```
[default]
> minauth=none
```
Pulse la tecla Esc y luego escriba "ZZ" para guardar los cambios y salga de vi.

Para modificar la configuración de Linux:

Si está utilizando smbclient, agregue las siguientes claves en la sección [global] de smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes

Si está utilizando mount.cifs, ejecute el siguiente comando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Para obtener más información, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Acerca de los perfiles

Es posible que diferentes servidores LDAP utilicen diferentes atributos para nombres de cuenta, nombres de grupo o para distinguir entre cuentas y grupos. La opción de Perfil le permite especificar o personalizar como se asigna la información de usuario y grupo a los atributos LDAP. Según su servidor LDAP se puede seleccionar uno de los siguientes perfiles:

Estándar: Para servidores con Synology Directory Server o Mac Open Directory.
IBM Lotus Domino: Para servidores con IBM Lotus Domino 8.5.
Personalizado: Le permite personalizar las asignaciones. Consulte la siguiente sección para obtener más detalles.

Antes de personalizar la asignación de atributos LDAP, necesitará algunos conocimientos previos. Synology DSM y el editor de Perfil se adhieren a RFC 2307. Por ejemplo, puede especificar filtro > passwd como userFilter, en cuyo caso Synology NAS interpretará los registros con objectClass=userFilter en su servidor LDAP como cuentas LDAP. Si especifica passwd > uid como nombre de usuario, Synology NAS interpretará el nombre de usuario en su servidor LDAP como un nombre de cuenta. Si deja la asignación vacía, se aplicarán las reglas RFC 2307.

Synology NAS necesita un entero fijo para que sirva de identificador de cuenta LDAP (uidNumber) o de identificador de grupo (gidNumber). Sin embargo, no todos los servidores LDAP utilizan enteros para representar dichos atributos. Por tanto, se proporciona una palabra clave HASH() para convertir dichos atributos a enteros. Por ejemplo, su servidor LDAP podría utilizar el atributo userid con un valor hexadecimal como identificador único para una cuenta LDAP. En este caso, usted puede configurar passwd > uidNumber como HASH(userid), y entonces Synology NAS lo convertirá en un entero.

A continuación se muestra un resumen de atributos personalizables:

filtro

group: objectClass necesario para el grupo.
passwd: objectClass necesario para el usuario.
shadow: objectClass necesario para la contraseña del usuario.

grupo

cn: nombre de grupo.
gidNumber: número GID de este grupo.
memberUid: miembros de este grupo.

passwd

uidNumber: número UID de este usuario.
uid: nombre de usuario.
gidNumber: número GID principal de este usuario.

instantánea

uid: nombre de usuario.
userPassword: contraseña de usuario.

Acerca del cambio UID/GID

Para evitar conflictos UID/GID entre usuarios/grupos de LDAP y usuarios/grupos locales, puede habilitar el cambio UID/GID para cambiar el UID/GID de usuarios/grupos de LDAP en 1000000. Esta opción solo sirve para servidores LDAP que no son de Synology y que tienen un atributo de ID único para cada usuario/grupo.