LDAP
LDAP 可让您的 DiskStation 以 LDAP 客户端的身分加入现有的目录服务,并从 LDAP 服务器 (或称“目录服务器”) 检索用户及组信息。您可以管理 LDAP 用户或群组对 DSM 应用程序及共享共享文件夹的访问权限,就像管理 DSM 本地用户或群组一样容易。如需更多有关 LDAP 的信息,请参阅此处。
支持的 LDAP 标准为 LDAP 第 3 版 (RFC 2251)。
若要将 DiskStation 加入目录服务:
- 请进入控制面板 > 目录服务
- 进入 LDAP 选项卡并勾选启用 LDAP 客户端。
- 在 LDAP 服务器地址栏中输入 LDAP 服务器的 IP 地址或域名。
- 从加密下拉菜单中选择加密类型,藉此加密连接至 LDAP 服务器的 LDAP 连接。
- 在 Base DN 栏中输入 LDAP 服务器的 Base DN。
- 根据您的 LDAP 服务器来选择适当的配置文件。例如,如果您使用 Synology Directory Server 或 Mac Open Directory,请选择标准。
- 若要允许 LDAP 服务器的用户不支持 Samba schema 通过 CIFS 访问 DiskStation 文件,请勾选启用 CIFS 纯文本密码验证。请参阅下一区块的说明来确认 LDAP 用户可以使用他们的计算机通过 CIFS 成功访问 DiskStation 文件。
- 单击应用。
-
在栏中输入 Bind DN (或 LDAP 管理员帐户) 和密码,然后单击确定。
关于 CIFPS 支持及客户端计算机的设置
启用 CIFS 纯文本密码验证后, LDAP 用户可能需要修改计算机的设置才能通过 CIFS 访问 DiskStation 文件。
-
如果您的 DiskStation 所加入的目录服务是由 Synology LDAP 服务器 (也就是已安装并运行 Directory Server 套件的另一部 DiskStation) 提供的,或 LDAP 服务器支持 Samba schema 且 LDAP 用户皆有正确的 sambaNTPassword 属性,则 LDAP 用户可以通过 CIFS 访问 DiskStation 文件而无需勾选启用 CIFS 纯文本密码验证或修改计算机设置。否则,LDAP 用户需要启用其计算机的 PAM 支持通过 CIFS 访问 DiskStation 文件。然而,这样做会以纯文本的未加密格式传送 LDAP 用户的密码到 DiskStation,因而降低安全层级。
若要修改 Windows 设置:
- 请进入开始 > 运行,在栏中输入 regedit,然后单击确定来打开“注册表编辑器”。
-
视您使用的 Windows 版本,查找或创建下列注册表:
-
Windows 2000、XP、Vista 和 Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1)、98 和 Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
创建或修改 DWORD 值 EnablePlainTextPassword,并将其数值数据从 0 变更为 1。
-
重新启动 Windows 来让变更生效。
若要修改 Mac OS X 设置:
- 请进入应用程序 > 实用工具打开终端机。
-
创建空文件 /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
使用 vi 打开 /etc/nsmb.conf:
sudo vi /etc/nsmb.conf
-
输入“i”来插入文本,并贴上下列文本:
[default]
minauth=none
-
按下 Esc 键然后按下“ZZ”来保存变更并退出 vi。
若要修改 Linux 设置:
如果您正在使用 smbclient,请在 smb.conf 的 [global] 区域添加下列密钥:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
如果您正在使用 mount.cifs,请执行以下命令:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
要了解更多信息,请参阅 https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README。
关于配置文件
不同的 LDAP 服务器可能使用不同属性的帐户名和群组名来区别帐户和群组。配置文件选项可让您指定或自定义用户和群组信息映射至 LDAP 属性的方式。可根据您的 LDAP 服务器类型选择以下配置文件之一:
- 标准:适用于运行 Synology Directory Server 或 Mac Open Directory 的服务器。
- IBM Lotus Domino:适用于运行 IBM Lotus Domino 8.5 的服务器。
- 自定义:可让您自定义映射。请参阅以下部分来了解详情。
在自定义 LDAP 属性映射之前,您需要了解一些背景知识。Synology DSM 与配置文件编辑器都符合 RFC 2307 规定。例如,您可将 filter > passwd 指定为 userFilter,在此情况下,DiskStation 会将 LDAP 服务器上的 objectClass=userFilter 记录解析为 LDAP 帐户。如果您将 passwd > uid 指定为 username,则 DiskStation 会将 LDAP 服务器上的用户帐户解析为帐户名。让映射保留为空将应用 RFC 2307 规则。
DiskStation 需要固定整数来用作 LDAP 帐户标识符 (uidNumber) 或群组标识符 (gidNumber)。然而,并非所有的 LDAP 服务器均使用整数来表示此类属性。因此,提供关键字 HASH() 可将此类属性转换为整数。例如,您的 LDAP 服务器可能将一个十六进制值的属性 userid 用作 LDAP 帐户的唯一标识符。在此情况下,您可以将 passwd > uidNumber 设置为 HASH(userid),然后 DiskStation 会将其转换为整数。
以下为可自定义属性的简介:
- 过滤器
- group:群组所需的 objectClass 属性。
- passwd:用户所需的 objectClass 属性。
- shadow:用户密码所需的 objectClass 属性。
- 群组
- cn:群组名称。
- gidNumber:该群组的 GID 号。
- memberUid:该群组的成员。
- passwd
- uidNumber:该用户的 UID 号。
- uid:用户名。
- gidNumber:该用户的主 GID 号。
- shadow
- uid:用户名。
- userPassword:用户密码。
关于 UID/GID 转换
为避免 LDAP 用户/群组和本地用户/群组之间的 UID/GID 冲突,您可启用 UID/GID 转换以将 LDAP 用户/群组的 UID/GID 转换 1000000。此选项仅适用于 LDAP 服务器,该服务器为非 Synology LDAP 服务器,并使每个用户/群组有唯一的数值 ID 属性。
关于嵌套组扩充
在嵌套组中,LDAP 群组成员属于另一个 LDAP 群组,其中将显示组织的权限层级。当用户查找特定成员所属的群组,或特定群组的列表名称时,DiskStation 将根据 LDAP 群组的成员属性扩充嵌套组,其中子群的 DN(识别名)是被属性引用的信息。嵌套组的扩充在不同的情况下可能非常耗时,如服务器未检索成员属性或者群组深度嵌套。您可选择不扩充嵌套组以防此类情况的出现。