LDAP
LDAP, bir LDAP istemcisi olarak DiskStation sunucunuzun mevcut bir dizin hizmetine katılmasına olanak sağlar ve ardından LDAP sunucusundan (veya "directory server") kullanıcı veya grup bilgilerini alır. LDAP kullanıcılarının veya gruplarının DSM uygulamalarına ve paylaşılan klasörlere erişim önceliklerini yerel DSM kullanıcılarında veya gruplarında olduğu gibi yönetebilirsiniz. LDAP hakkında daha fazla bilgi için lütfen buraya bakın.
Desteklenen LDAP standardı LDAP sürüm 3 (RFC 2251)'dir.
DiskStation sunucusunu bir dizin hizmetine eklemek için:
- Denetim Masası > Dizin Hizmeti öğesine gidin
- LDAP sekmesine gidin ve LDAP İstemcisini etkinleştir öğesini işaretleyin.
- LDAP sunucusunun IP adresini veya etki alanını LDAP Sunucu adresi alanına girin.
- Şifreleme indirmeli menüsünden bir şifreleme türü seçerek LDAP bağlantısını LDAP sunucusuna şifreleyin.
- LDAP sunucusuna ait Base DN bilgisini Base DN alanına girin.
- LDAP sunucunuza bağlı olarak uygun Profil'i seçin. Örneğin Synology Directory Server veya Mac Open Directory kullanıyorsanız Standart seçimi yapın.
- Samba şemasını desteklemeyen LDAP sunucusu kullanıcılarının CIFS aracılığıyla DiskStation dosyalarına erişimine izin vermek için CIFS düz metin parola doğrulamasını etkinleştir seçeneğini işaretleyin. LDAP kullanıcılarının bilgisayarlarını kullanarak DiskStation dosyalarına CIFS aracılığıyla başarılı bir şekilde erişmelerini sağlamak için aşağıdaki bölüme bakın.
- Uygula'ya tıklayın.
-
Bind DN (veya LDAP yönetici hesabı) ve parolayı alanlara girin, ardından Tamam'a tıklayın.
CIFS Desteği ve İstemci Bilgisayarı Ayarları Hakkında
CIFS düz metin parola doğrulaması etkinleştirildikten sonra, CIFS aracılığıyla DiskStation dosyalarına erişim sağlamak amacıyla LDAP kullanıcıları bilgisayarlarının ayarlarını değiştirmesi gerekebilir:
-
Eğer DiskStation sunucunuz bir Synology LDAP sunucusu (veya Directory Server paketini yükleyen ve çalıştıran başka bir DiskStation sunucusu) tarafından ya da Samba şemasını destekleyen LDAP sunucusu tarafından sağlanan dizin hizmetine katılıyorsa ve tüm LDAP kullanıcıları doğru sambaNTParola özniteliklerine sahipse, LDAP kullanıcıları DiskStation dosyalarınıza CIFS yoluyla CIFS düz metin parola doğrulamasını etkinleştir öğesini etkinleştirmeden veya kendi bilgisayarlarının ayarlarını değiştirmeden erişebilirler. Aksi taktirde, CIFS yoluyla DiskStation dosyalarına erişebilmek için LDAP kullanıcılarının kendi bilgisayarlarının PAM desteğini etkinleştirmeleri gerekecektir. Ancak, bunu yapmanız LDAP kullanıcılarının parolasını DiskStation sunucusuna düz metin olarak gönderecektir (şifreleme yapmadan), dolayısıyla güvenlik seviyesini düşürecektir.
Windows ayarlarını değiştirmek için:
- Başlat > Çalıştır'a gidin, ilgili alana regedit girin ve ardından Tamam'a tıklayarak Kayıt Düzenleyicisini açın.
-
Windows sürümünüze bağlı olarak, aşağıdaki kaydı bulun veya oluşturun:
-
Windows 2000, XP, Vista ve Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 ve Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
DWORD değeri EnablePlainTextPassword oluşturun ve değiştirin ve değer verisini 0'dan 1'e değiştirin.
-
Değişikliğin uygulanması için Windows'u yeniden başlatın.
Mac OS X'in ayarlarını değiştirmek için:
- Uygulamalar > Yardımcı Uygulamalar'a giderek Terminal'i açın.
-
Boş bir dosya oluşturun /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
vi ile /etc/nsmb.conf açın:
sudo vi /etc/nsmb.conf
-
Metin girmek için "i" girin ve aşağıdakileri yapıştırın:
[default]
minauth=none
-
Esc tuşuna basın ve ardından "ZZ" girerek değişiklikleri kaydedin ve vi'den çıkın.
Linux'in ayarlarını değiştirmek için:
smbclient kullanıyorsanız, lütfen aşağıdaki anahtarları smb.conf öğesinin [global] kısmına ekleyin:
parolaları şifrele = hayır
istemci düz metin yetk = evet
istemci lanman yetk = evet
istemci ntlmv2 yetk = hayır
mount.cifs kullanıyorsanız, aşağıdaki komutu çalıştırın:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Daha fazla bilgi için, lütfen bkz. https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README
Profiller Hakkında
Farklı LDAP sunucuları hesap adları, grup adları için ya da hesapları ve grupları ayırmak için farklı öznitelikler kullanabilirler. Profil seçeneği kullanıcı ve grup bilgilerinin LDAP özniteliklerine nasıl haritalanacağını belirlemenize veya özelleştirmenize olanak tanır. LDAP sunucunuza bağlı olarak aşağıdaki profillerden bir tanesi seçilebilir:
- Standart: Synology Directory Server veya Mac Open Directory kullanan sunucular için.
- IBM Lotus Domino: IBM Lotus Domino 8.5 kullanan sunucular için.
- Özel: Haritalamaları özelleştirmenizi sağlar. Ayrıntılar için aşağıdaki bölüme bakın.
LDAP öznitelik haritalamalarını özelleştirmeden önce, bazı arkaplan bilgilerine ihtiyacınız vardır. Synology DSM ve Profil editörü RFC 2307'ye bağlıdır. Örneğin, filter > passwd öğelerini userFilter olarak belirlerseniz, DiskStation LDAP sunucunuzda objectClass=userFilter ile olan kayıtları LDAP hesapları olarak yorumlar. passwd > uid öğesini username olarak belirlerseniz, DiskStation LDAP sunucunuzdaki username hesap adı olarak yorumlar. Haritalamanın boş bırakılması RFC 2307 kurallarını uygular.
DiskStation bir LDAP hesap tanımlayıcı (uidNumber) yada bir grup tanımlayıcı (gidNumber) olarak işlev görmek için sabit bir tamsayı gerektirir. Ancak, LDAP sunucularının tamamı bu tür öznitelikleri temsil için tamsayılar kullanmaz. Dolayısıyla, bu tür öznitelikleri tamsayılara dönüştürmek için bir anahtar kelime HASH() sunulmaktadır. Örneğin, LDAP sunucunuz userid özniteliğini bir LDAP hesabı için eşsiz taımlayıcı olarak onaltılı bir değerle kullanabilir. Bu durumda, passwd > uidNumber öğesini HASH(userid) olarak ayarlayabilirsiniz ve ardından DiskStation bunu bir tamsayıya dönüştürür.
Aşağıda özelleştirilebilir özniteliklerin bir özeti bulunmaktadır:
- filter
- grup: grup için gerekli objectClass.
- passwd: kullanıcı için gerekli objectClass.
- shadow: kullanıcı şifreleri için gerekli objectClass.
- grup
- cn: grup adı.
- gidNumber: Bu grup için GID numarası.
- memberUid: bu grubun üyeleri.
- passwd
- uidNumber: Bu kullanıcının UID numarası.
- uid: kullanıcı adı.
- gidNumber: bu kullanıcı için birinci GID numarası.
- shadow
- uid: kullanıcı adı.
- userPassword: kullanıcı şifresi.
UID/GID kaydırma hakkında
LDAP kullanıcıları/grupları ile yerel kullanıcılar/gruplar arasındaki UID/GID çakışmalarından kaçınmak için LDAP kullanıcılarını/gruplarını 1000000 kaydırmak için UID/GID kaydırmayı etkinleştirebilirsiniz. Bu seçenek sadece Synology olmayan LDAP sunucuları içindir ve her kullanıcı/grup için benzersiz bir sayısal ID atanmıştır.
Gömülü Grup Genişletme Hakkında
Gömülü bir grupta, bir LDAP grup üyesi başka bir LDAP grubuna aittir ve burada bir organizasyonun hiyerarşisi temsil edilir. Kullanıcılar, belirli bir üyenin hangi gruba ait olduğunu ya da belirli bir grubun isim listesini aradıklarında, DiskStation LDAP grubunun member özniteliklerine göre gömülü bir grubu genişletir; burada bir alt grubun DN'si (Özel Adı) öznitelik tarafından refere edilir. Gömülü bir grubun genişlemesi farklı ortamlar altında çok zaman alıcı olabilir, ör. sunucunun member özniteliğini indekslememesi veya grubun derinlemesine gömülü olması halinde. Böyle bir durumu önlemek için gömülü bir grubu genişletmemeyi seçebilirsiniz.