LDAP
LDAP ermöglicht es der DiskStation, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Berechtigungen von LDAP-Benutzern oder -Gruppen für den Zugriff auf DSM-Anwendungen und freigegebene Ordner verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen über LDAP finden Sie hier.
Beim unterstützten LDAP-Standard handelt es sich um LDAP Version 3 (RFC 2251).
DiskStation in einen Verzeichnisdienst einbinden:
- Gehen Sie zu Systemsteuerung > Verzeichnisdienst
- Gehen Sie zu Registerkarte LDAP und aktivieren Sie LDAP-Client aktivieren.
- Geben Sie die IP-Adresse oder den Domainnamen des LDAP-Servers in das Feld LDAP-Server-Adresse ein.
- Wählen Sie im Dropdown-Menü Verschlüsselung einen Verschlüsselungstyp aus, um die LDAP-Verbindung zum LDAP-Server zu verschlüsseln.
- Geben Sie die Base DN des LDAP-Servers in das Feld Base DN ein.
- Wählen Sie je nach LDAP-Server das korrekte Profil aus. Wählen Sie etwa Standard aus, wenn Sie Synology Directory Server oder Mac Open Directory verwenden.
- Wenn Sie Benutzern eines LDAP-Servers, der kein Samba-Schema unterstützt, den Zugriff auf Dateien des DiskStation über CIFS erlauben möchten, aktivieren Sie die Option CIFS-Klartext-Kennwort-Authentifizierung aktivieren. Lesen Sie den folgenden Abschnitt, um sicherzustellen, dass LDAP-Benutzer mit ihren Computern erfolgreich über CIFS auf Dateien des DiskStation zugreifen können.
- Klicken Sie auf Übernehmen.
-
Geben Sie die Bind DN (oder das LDAP-Administrator-Konto) und das Kennwort in die Felder ein und klicken Sie anschließend auf OK.
CIFS-Unterstützung und Einstellungen des Client-Computers
Nachdem die CIFS-Klartext-Kennwort-Authentifizierung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien des DiskStation zugreifen zu können:
-
Wenn der DiskStation mit dem durch einen Synology LDAP-Server (oder einen anderen DiskStation, auf dem das Paket Directory Server installiert ist) bereitgestellten Verzeichnisdienst verbunden ist, oder der das Samba-Schema unterstützende LDAP-Server und alle LDAP-Benutzer die korrekten „sambaNTPassword“-Attribute haben, können LDAP-Benutzer über CIFS auf die Dateien Ihres DiskStation zugreifen, ohne CIFS-Klartext-Kennwort-Authentifizierung aktivieren zu aktivieren oder die Einstellungen ihrer Computer zu ändern. Andernfalls müssen LDAP-Benutzer die PAM-Unterstützung für ihre Computer aktivieren, um über CIFS auf Dateien des DiskStation zugreifen zu können. Dabei wird allerdings das Kennwort der LDAP-Benutzer in reiner Textform (ohne Verschlüsselung) zum DiskStation übertragen, sodass die Sicherheitsstufe sinkt.
Windows-Einstellungen ändern:
- Gehen Sie zu Start > Ausführen, geben Sie regedit in das Feld ein und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
-
Suchen oder erstellen Sie, je nach Windows-Version, folgende Registrierungseinträge:
-
Windows 2000, XP, Vista und Windows 7:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
-
Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
-
Windows 95 (SP1), 98 und Me:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
-
Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword von 0 nach 1.
-
Starten Sie Windows neu, um die Änderungen zu übernehmen.
Einstellungen von Mac OS X ändern:
- Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
-
Erstellen Sie eine leere Datei /etc/nsmb.conf:
sudo touch /etc/nsmb.conf
-
Öffnen Sie /etc/nsmb.conf mit vi:
sudo vi /etc/nsmb.conf
-
Geben Sie „i“ ein, um Text einzufügen, und fügen Sie Folgendes ein:
[default]
minauth=none
-
Drücken Sie die Esc-Taste und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.
Einstellungen unter Linux ändern:
Fügen Sie, wenn Sie smbclient verwenden, die folgenden Schlüssel in den Bereich [global] von smb.conf ein:
encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no
Wenn Sie mount.cifs verwenden, führen Sie den folgenden Befehl aus:
echo 0x30030 > /proc/fs/cifs/SecurityFlags
Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README.
Details zu Profilen
Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder zwischen Konten und Gruppen unterscheiden. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppeninformationen den LDAP-Attributen zugeordnet werden. Je nach LDAP-Server kann eines der folgenden Profile ausgewählt werden:
- Standard: Für Server mit Synology Directory Server oder Mac Open Directory.
- IBM Lotus Domino: Für Server mit IBM Lotus Domino 8.5.
- Benutzerdefiniert: Erlaubt die Anpassung der Zuordnungen. Nähere Einzelheiten finden Sie im folgenden Abschnitt.
Bevor Sie die LDAP-Attributzuordnungen anpassen, benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor entsprechen RFC 2307. Zum Beispiel können Sie filter > passwd als userFilter festlegen, dann interpretiert der DiskStation die Datensätze mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert der DiskStation Benutzername auf Ihrem LDAP-Server als Kontonamen. Bleibt die Zuordnung leer, gelten die RFC 2307-Regeln.
Der DiskStation benötigt eine feste Ganzzahl als LDAP-Konto-ID (uidNumber) oder eine Gruppen-ID (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() bereitgestellt, um solche Attribute in Ganzzahlen umzuwandeln. Ihr LDAP-Server könnte beispielsweise das Attribut userid mit einem Hexadezimalwert als eindeutige ID für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) einstellen, dann wandelt der DiskStation das Attribut in eine Ganzzahl um.
Es folgt eine Zusammenfassung der anpassbaren Attribute:
- filter
- group: Erforderliche objectClass für Gruppe.
- passwd: Erforderliche objectClass für Benutzer.
- shadow: Erforderliche objectClass für Benutzer-Passwörter.
- group
- cn: Gruppenname.
- gidNumber: GID-Nummer dieser Gruppe
- memberUid: Mitglieder dieser Gruppe.
- passwd
- uidNumber: UID-Nummer des Benutzers
- uid: Benutzername.
- gidNumber: Primäre GID-Nummer des Benutzers.
- shadow
- uid: Benutzername.
- userPassword: Benutzer-Passwort.
Über UID/GID-Verschiebung
Um UID/GID-Konflikte zwischen LDAP-Benutzern/-Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID von LDAP-Benutzern/-Gruppen um 1000000 zu verschieben. Diese Option gilt nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribute für jede(n) Benutzer/Gruppe besitzen.