Informazioni sul supporto CIFS e le impostazioni dei computer client

Dopo avere attivato l'autenticazione della password come testo non crittografato CIFS, gli utenti LDAP potrebbero dover modificare le impostazioni dei computer per poter accedere ai file della DiskStation tramite CIFS:

• Se DiskStation viene associato al servizio directory fornito da un server Synology LDAP (o un altro DiskStation che ha installato ed esegue il pacchetto Directory Server), oppure il server LDAP che supporta Samba, e tutti gli utenti LDAP hanno attributi sambaNTPassword corretti, gli utenti LDAP potranno accedere ai file DiskStation tramite CIFS senza spuntare Abilitare l'autenticazione password come testo non crittografato CIFS o modificare le impostazioni del computer. In caso contrario, gli utenti LDAP dovranno attivare il supporto PAM del computer per poter accedere ai file di DiskStation tramite CIFS. Tuttavia, procedendo in questo modo la password dell'utente LDAP sarà trasferita a DiskStation in formato solo testo (senza crittografia), riducendo in questo modo il livello di protezione.

Per modificare le impostazioni di Windows:

1. Andare su Start > Esegui, digitare regedit nel campo e fare clic su OK per aprire l'Editor registro.
2. A seconda della versione di Windows, trovare o creare il seguente registro:
• Windows 2000, XP, Vista, e Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 e Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Creare o modificare il valore DWORD EnablePlainTextPassword e cambiarne i dati del valore da 0 a 1.
4. Riavviare Windows per rendere effettive le modifiche.

Per modificare le impostazioni di Mac OS X:

1. Andare su Applicazioni > Utilità per aprire Terminal.
2. Creare un file vuoto /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf
   

3. Aprire /etc/nsmb.conf con vi:

   sudo vi /etc/nsmb.conf
   

4. Digitare "i" per inserire il testo e incollare quanto segue:

   [default]
   
   minauth=none
   

5. Premere il tasto Esc e digitare "ZZ" per salvare le modifiche e uscire da vi.

Per modificare le impostazioni di Linux:

Se si utilizza smbclient, aggiungere le chiavi seguenti nella sezione [global] di smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Se si sta utilizzando mount.cifs eseguire il seguente comando:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Per maggiori informazioni, vedere https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Informazioni sui profili

Server LDAP diversi possono usare attributi diversi per nomi account, nomi gruppo o per distinguere tra account e gruppi. L'opzione Profilo consente di specificare o personalizzare come le informazioni utente e gruppo sono mappate agli attributi LDAP. È possibile selezionare uno dei profili seguenti in base al server LDAP in uso:

• Standard: per server che eseguono Synology Directory Server o Mac Open Directory.
• IBM Lotus Domino: per server che eseguono IBM Lotus Domino 8.5.
• Personalizzato: consente di personalizzare le mappature. Consultare la sezione che segue per i dettagli.

Per personalizzare le mappature dell'attributo LDAP, è necessarie disporre di alcune conoscenze di base. Synology DSM e l'editorProfilo aderiscono a RFC 2307. Ad esempio, è possibile specificare filter > passwd come userFilter, nel cui caso DiskStation interpreterà le registrazioni con objectClass=userFilter sul server LDAP come account LDAP. Se si specifica passwd > uid come username, DiskStation interpreterà username nel server LDAP come nome account. Lasciando la mappatura vuota, saranno applicate le regole RFC 2307.

DiskStation richiede un valore intero fisso da utilizzare come identificatore di account LDAP (uidNumber) o identificatore di gruppo (gidNumber). Tuttavia, non tutti i server LDAP utilizzano valori interi per rappresentare tali attributi. Quindi, una parola chiave HASH() è fornita per convertire tali attributi a valori interi. Ad esempio, il server LDAP può utilizzare l'attributo userid con un valore esadecimale come identificatore unico per un account LDAP. In questo caso, è possibile impostare passwd > uidNumber su HASH(userid) e quindi DiskStation lo convertirà a un valore intero.

Di seguito un riepilogo degli attributi personalizzabili:

• filtro
• gruppo: objectClass richiesto per gruppo.
• passwd: objectClass richiesto per utente.
• shadow: objectClass richiesto per password utente.
• group
• cn: nome gruppo.
• gidNumber: numero GID di questo gruppo.
• memberUid: membri di questo gruppo.
• passwd
• uidNumber: numero UID di questo utente.
• uid: nome utente.
• gidNumber: numero GID primario di questo utente.
• shadow
• uid: nome utente.
• userPassword: password utente.

Informazioni sul passaggio UID/GID

Per evitare conflitti UID/GID tra utenti/gruppi LDAP e utenti/gruppi locali, è possibile abilitare il passaggio UID/GID per impostare l'UID/GID degli utenti/gruppi LDAP in 1000.000. Questa opzione è valida solo per server LDAP non Synology e che dispongono di un ID numerico unico attribuito a ciascun utente/gruppo.

Informazioni sull'espansione di gruppo nidificata

In un gruppo nidificato, un membro del gruppo LDAP appartiene a un altro gruppo LDAP, in cui viene rappresentata la gerarchia di un'organizzazione. Quando gli utenti ricercano il gruppo di appartenenza di uno specifico membro o l'elenco di nomi di un gruppo specifico, DiskStation espande un gruppo nidificato in base agli attributi member del gruppo LDAP, in cui il DN (Distinguished Name) di un gruppo child è indicato mediante l'attributo. L'espansione di un gruppo nidificato può richiedere molto tempo, a seconda delle circostante, es. se il server non indicizza l'attributo member oppure se il gruppo è nidificato in profondità. Per evitare che si verifichino queste condizioni, è possibile scegliere di non espandere un gruppo nidificato.