LDAP

LDAP ermöglicht es der DiskStation, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Berechtigungen von LDAP-Benutzern oder -Gruppen für den Zugriff auf DSM-Anwendungen und freigegebene Ordner verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen zu LDAP finden Sie hier.

Beim unterstützten LDAP-Standard handelt es sich um LDAP Version 3 (RFC 2251).

DiskStation in einen Verzeichnisdienst einbinden:

  1. Gehen Sie zu Systemsteuerung > Dateidienst.
  2. Gehen Sie zu Registerkarte LDAP und aktivieren Sie LDAP-Client aktivieren.
  3. Geben Sie die IP-Adresse oder den Domainnamen des LDAP-Servers in das Feld LDAP-Server-Adresse ein.
  4. Wählen Sie im Dropdown-Menü Verschlüsselung einen Verschlüsselungstyp aus, um die LDAP-Verbindung zum LDAP-Server zu verschlüsseln.
  5. Geben Sie die Base DN des LDAP-Servers in das Feld Base DN ein.
  6. Wählen Sie je nach LDAP-Server das passende Profil aus. Wählen Sie etwa Standard aus, wenn Sie Synology Directory Server oder Mac Open Directory verwenden.
  7. Wenn Sie Benutzern eines LDAP-Servers, der kein Samba-Schema unterstützt, den Zugriff auf Dateien des DiskStation über CIFS erlauben möchten, aktivieren Sie die Option CIFS-Klartext-Kennwort-Authentifizierung aktivieren. Lesen Sie den folgenden Abschnitt, um sicherzustellen, dass LDAP-Benutzer mit ihren Computern erfolgreich über CIFS auf Dateien des DiskStation zugreifen können.
  8. Klicken Sie auf Übernehmen.
  9. Geben Sie Bind DN (oder LDAP-Administrator-Konto) und Kennwort in die Felder ein und klicken Sie auf OK.

CIFS-Unterstützung und Einstellungen des Client-Computers

Nachdem die CIFS-Klartext-Kennwort-Authentifizierung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien des DiskStation zugreifen zu können:

Windows-Einstellungen ändern:

  1. Gehen Sie zu Start > Ausführen, geben Sie regedit in das Feld ein und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
  2. Suchen oder erstellen Sie, je nach Windows-Version, folgende Registrierungseinträge:
  3. Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword von 0 nach 1.
  4. Starten Sie Windows neu, um die Änderungen zu übernehmen.

Einstellungen von Mac OS X ändern:

  1. Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
  2. Erstellen Sie eine leere Datei /etc/nsmb.conf: 
    sudo touch /etc/nsmb.conf
  3. Öffnen Sie /etc/nsmb.conf mit vi: 
    sudo vi /etc/nsmb.conf
  4. Geben Sie „i“ ein, um Text einzufügen, und fügen Sie Folgendes ein: 
    [default]
    
minauth=none
  5. Drücken Sie die Esc-Taste und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.

Einstellungen unter Linux ändern:

Fügen Sie, wenn Sie smbclient verwenden, die folgenden Schlüssel in den Bereich [global] von smb.conf ein:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Führen Sie, wenn Sie mount.cifs verwenden, den folgenden Befehl aus:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README.

Details zu Profilen

Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder zwischen Konten und Gruppen unterscheiden. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppeninformationen den LDAP-Attributen zugeordnet werden. Je nach LDAP-Server kann eines der folgenden Profile ausgewählt werden:

Bevor Sie die LDAP-Attributzuordnungen anpassen, benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor gehören beide zu RFC 2307. Wenn Sie beispielseise filter > passwd als userFilter festlegen, wodurch der DiskStation Einträge mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten interpretiert. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert der DiskStation den Benutzernamen auf Ihrem LDAP-Server als Kontonamen. Bleibt die Zuordnung leer, gelten die RFC 2307-Regeln.

Der DiskStation benötigt eine feste Ganzzahl als LDAP-Konto-ID (uidNumber) oder eine Gruppen-ID (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() bereitgestellt, um solche Attribute in Ganzzahlen umzuwandeln. Ihr LDAP-Server könnte beispielsweise das Attribut userid mit einem Hexadezimalwert als eindeutige ID für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) einstellen, dann wandelt der DiskStation das Attribut in eine Ganzzahl um.

Es folgt eine Zusammenfassung der anpassbaren Attribute:

Über UID/GID-Verschiebung

Um UID/GID-Konflikte zwischen LDAP-Benutzern/Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID der LDAP-Benutzer/Gruppen um 1000000 zu verschieben. Diese Option gilgt nur für LDAP-Server, die keine Synology-LDAP-Server sind und ein eindeutiges numerisches ID-Attribut für jeden Benutzer/jede Gruppe haben.

Infos über die verschachtelte Gruppenerweiterung

In einer verschachtelten Gruppe gehört ein LDAP-Gruppenmitglied zu einer anderen LDAP-Gruppe, wodurch die Hierarchie einer Organisation dargestellt ist. Wenn Benutzer wissen möchten, zu welcher Gruppe ein bestimmtes Mitglied gehört, oder die Namensliste einer bestimmten Gruppe wissen möchten, erweitert der DiskStation eine verschachtelte Gruppe gemäß dem Attribut member der LDAP-Gruppe, woebei der DN (eindeutige Name) einer untergeordneten Gruppe vom Attribut referenziert wird. Die Erweiterung einer verschachtelten Gruppe kann in bestimmten Fällen sehr zeitaufwändig sein, z. B. wenn der Server das Attribut member nicht indiziert oder die Gruppe stark verschachtelt ist. Sie können wählen, eine verschachtelte Gruppe unter solchen Umständen nicht zu erweitern.