LDAP
LDAP permite a DiskStation unirse a un servicio de directorio existente como cliente LDAP y obtener información de usuarios o de grupos de un servidor LDAP (o "Directory Server"). Puede administrar los privilegios de acceso de usuarios o grupos de LDAP a aplicaciones DSM y carpetas compartidas exactamente igual que haría con usuarios o grupos locales DSM. Para obtener más información acerca de LDAP, haga clic aquí.
El estándar LDAP admitido es la versión 3 de LDAP (RFC 2251).
Para unir DiskStation a un servicio de directorio:
- Vaya a Panel de control > Servicio de directorio
- Vaya a LDAP y marque Activar cliente LDAP.
- Introduzca la dirección IP o el nombre de dominio del servidor LDAP en el campo Dirección del servidor LDAP.
- Elija un tipo de cifrado en el menú desplegable Cifrado para cifrar la conexión LDAP al servidor LDAP.
- Introduzca el Base DN del servidor LDAP en el campo Base DN.
- Seleccione el Perfil adecuado según su servidor LDAP. Por ejemplo, elija Estándar si está utilizando el Synology Directory Server o el Mac Open Directory.
- Para que los usuarios de un servidor LDAP que no admita esquemas Samba puedan acceder a los archivos de DiskStation a través de CIFS, marque la casilla Habilitar la autenticación de contraseñas en texto plano CIFS. Consulte la siguiente sección para asegurarse de que los usuarios de LDAP pueden usar sus ordenadores para acceder correctamente a los archivos de DiskStation a través CIFS.
- Haga clic en Aplicar.
- Escriba el Bind DN (o cuenta de administrador de LDAP) y la contraseña en los campos y luego haga clic en OK.
Acerca de la compatibilidad CIFS y la configuración del ordenador cliente
Una vez que la autenticación de contraseñas en texto plano CIFS esté habilitada, puede que los usuarios de LDAP tengan que modificar la configuración de su ordenador para poder acceder a los archivos de DiskStation a través de CIFS:
- Si su DiskStation se une al servicio de directorio proporcionado por un servidor LDAP de Synology (u otro que DiskStation tenga instalado y ejecute el paquete Directory Server) o un servidor LDAP que admita esquemas Servicio de directorio y todos los usuarios de LDAP tienen los atributos sambaNTPassword correctos, los usuarios de LDAP podrán acceder a los archivos de DiskStation a través de CIFS sin tener que marcar la casilla Habilitar la autenticación de contraseñas en texto plano CIFS o modificar la configuración de sus ordenadores. De lo contrario, los usuarios de LDAP tendrán que habilitar la compatibilidad PAM de su ordenador para poder acceder a los archivos de DiskStation a través de CIFS. Sin embargo, al hacer esto, la contraseña de los usuarios de LDAP se transferirá a DiskStation como texto sin formato (sin cifrado) y, por tanto, se reducirá el nivel de seguridad.
Para modificar la configuración de Windows:
- Vaya a Inicio > Ejecutar, escriba regedit en el campo y luego haga clic en OK para abrir el Editor del Registro.
- Dependiendo de su versión de Windows, busque o cree el siguiente registro:
- Windows 2000, XP, Vista y Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
- Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
- Windows 95 (SP1), 98 y Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
- Cree o modifique el valor DWORD EnablePlainTextPassword y cambie el dato de valor de 0 a 1.
- Reinicie Windows para que el cambio surta efecto.
Para modificar la configuración de Mac OS X:
- Vaya a Aplicaciones > Utilidades para abrir Terminal.
- Cree un archivo vacío /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
- Abra /etc/nsmb.conf con vi:
sudo vi /etc/nsmb.conf
- Escriba "i" para insertar texto y pegue lo siguiente:
[default]
> minauth=none
- Pulse la tecla Esc y luego escriba "ZZ" para guardar los cambios y salga de vi.
Para modificar la configuración de Linux:
Si está utilizando smbclient, agregue las siguientes claves en la sección [global] de smb.conf:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Si está utilizando mount.cifs, ejecute el siguiente comando:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Para obtener más información, consulte https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Acerca de los perfiles
Es posible que diferentes servidores LDAP utilicen diferentes atributos para nombres de cuenta, nombres de grupo o para distinguir entre cuentas y grupos. La opción de Perfil le permite especificar o personalizar como se asigna la información de usuario y grupo a los atributos LDAP. Según su servidor LDAP se puede seleccionar uno de los siguientes perfiles:
- Estándar: Para servidores con Synology Directory Server o Mac Open Directory.
- IBM Lotus Domino: Para servidores con IBM Lotus Domino 8.5.
- Personalizado: Le permite personalizar las asignaciones. Consulte la siguiente sección para obtener más detalles.
Antes de personalizar la asignación de atributos LDAP, necesitará algunos conocimientos previos. Synology DSM y el editor de Perfil se adhieren a RFC 2307. Por ejemplo, puede especificar filter > passwd como userFilter, en cuyo caso DiskStation interpretará los registros con objectClass=userFilter en su servidor LDAP como cuentas LDAP. Si especifica passwd > uid como username, DiskStation interpretará username en su servidor LDAP como un nombre de cuenta. Si deja la asignación vacía, se aplicarán las reglas RFC 2307.
DiskStation necesita un entero fijo para que sirva de identificador de cuenta LDAP (uidNumber) o de identificador de grupo (gidNumber). Sin embargo, no todos los servidores LDAP utilizan enteros para representar dichos atributos. Por tanto, se proporciona una palabra clave HASH() para convertir dichos atributos a enteros. Por ejemplo, su servidor LDAP podría utilizar el atributo userid con un valor hexadecimal como identificador único para una cuenta LDAP. En este caso, usted puede configurar passwd > uidNumber como HASH(userid), y entonces DiskStation lo convertirá en un entero.
A continuación se muestra un resumen de atributos personalizables:
- filter
- group: objectClass necesario para el grupo.
- passwd: objectClass necesario para el usuario.
- shadow: objectClass necesario para la contraseña del usuario.
- group
- cn: nombre de grupo.
- gidNumber: número GID de este grupo.
- memberUid: miembros de este grupo.
- passwd
- uidNumber: número UID de este usuario.
- uid: nombre de usuario.
- gidNumber: número GID principal de este usuario.
- shadow
- uid: nombre de usuario.
- userPassword: contraseña de usuario.
Acerca del cambio UID/GID
Para evitar conflictos UID/GID entre usuarios/grupos de LDAP y usuarios/grupos locales, puede habilitar el cambio UID/GID para cambiar el UID/GID de usuarios/grupos de LDAP en 1000000. Esta opción solo sirve para servidores LDAP que no son de Synology y que tienen un atributo de ID único para cada usuario/grupo.
Acerca de la expansión de grupos anidados
En un grupo anidado, el miembro de un grupo de LDAP pertenece a otro grupo de LDAP en el que se representa la jerarquía de una organización. Cuando los usuarios consultan a qué grupo pertenece un miembro determinado o buscan la lista de nombres de un grupo específico, DiskStation expandirá un grupo anidado en función de los atributos miembro del grupo de LDAP, donde se referencia al DN (nombre distintivo) de un grupo secundario por el atributo. La expansión de un grupo anidado puede llevar mucho tiempo según las circunstancias como, por ejemplo, cuando el servidor no indexa el atributo miembro o si el grupo está excesivamente anidado. Puede elegir no expandir un grupo anidado para evitar que esto ocurra.