Поддержка протокола CIFS и настройки клиентского компьютера

После включения проверки подлинности пароля в формате обычного текста CIFS пользователям LDAP, возможно, придется изменить настройки своих компьютеров, чтобы получать доступ к файлам на устройстве DiskStation по протоколу CIFS:

• Если ваше устройство DiskStation подключено к службе каталогов на сервере Synology LDAP (или другом устройстве DiskStation, на котором установлен и запущен пакет Directory Server) или на сервере LDAP с поддержкой схемы Samba, и у всех пользователей LDAP есть правильные атрибуты sambaNTPassword, то пользователи LDAP могут получать доступ к своим файлам DiskStation по протоколу CIFS без необходимости включать опцию Включить проверку подлинности пароля в формате обычного текста CIFS или изменять настройки своего компьютера. В противном случае пользователям LDAP придется на своих компьютерах включить поддержку PAM, чтобы получать доступ к файлам на устройстве DiskStation по протоколу CIFS. Но в этом случае пароли пользователей LDAP будут передаваться на устройство DiskStation в виде обычного текста (без шифрования), и из-за этого уровень безопасности снизится.

Порядок изменения настроек в Windows:

1. Выберите Пуск > Выполнить, в поле введите regedit и нажмите OK, чтобы открыть Редактор реестра.
2. В зависимости от вашей версии Windows найдите или создайте соответствующую запись.
• Windows 2000, XP, Vista и Windows 7:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
• Windows NT:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
• Windows 95 (SP1), 98 и Me:
  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
3. Создайте или измените значение DWORD EnablePlainTextPassword и измените его значение с 0 на 1.
4. Перезапустите Windows, чтобы изменения вступили в силу.

Порядок изменения настроек в Mac OS X:

1. Выберите Приложения > Утилиты, чтобы открыть Терминал.
2. Создайте пустой файл /etc/nsmb.conf:

   sudo touch /etc/nsmb.conf

3. Откройте /etc/nsmb.conf с помощью редактора vi:

   sudo vi /etc/nsmb.conf

4. Введите "i", чтобы вставить текст, и вставьте следующее:

   [default]
   > minauth=none

5. Нажмите клавишу Esc и затем введите "ZZ", чтобы сохранить настройки и закрыть редактор vi.

Порядок изменения настроек в Linux:

При использовании smbclient добавьте следующие ключи в разделе [global] файла smb.conf:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

При использовании mount.cifs выполните следующую команду:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Подробную информацию см. на сайте: https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

О профилях

Разные серверы LDAP должны использовать разные атрибуты для имен учетных записей, имен групп или чтобы отличать учетные записи от групп. Опция Профиль позволяет указывать или настраивать то, как информация о пользователе и группе сопоставлена с атрибутами LDAP. В зависимости от вашего сервера LDAP можно выбрать один из следующих профилей:

• Стандартный: для серверов с Synology Directory Server или Mac Open Directory.
• IBM Lotus Domino: для серверов с IBM Lotus Domino 8.5.
• Пользовательский: позволяет настраивать сопоставления. Для получения дополнительной информации см. раздел ниже.

Перед настройкой сопоставлений атрибутов LDAP необходимо учитывать следующие сведения. Synology DSM и редактор Профиль оба относятся к RFC 2307. Например, можно указать filter > passwd как userFilter. В этом случае DiskStation интерпретирует записи с objectClass=userFilter на вашем сервере LDAP как учетные записи LDAP. Если указать passwd > uid как username, DiskStation интерпретирует username на вашем сервере LDAP как имя учетной записи. Если оставить сопоставление незаполненным, будут применены правила RFC 2307.

DiskStation требует указания целого числа в качестве идентификатора учетной записи LDAP (uidNumber) или идентификатора группы (gidNumber). Однако не все серверы LDAP используют целые числа для представления таких атрибутов. Поэтому для преобразования атрибутов в целые числа предоставляется ключевое слово HASH(). Например, ваш сервер LDAP может использовать атрибут userid с шестнадцатеричным значением в качестве уникального идентификатора для учетной записи LDAP. В этом случае можно указать passwd > uidNumber для HASH(userid), а затем DiskStation преобразует его в целое число.

Ниже представлена сводная информация о настраиваемых атрибутах.

• filter
• group: требует objectClass для группы.
• passwd: требует objectClass для пользователя.
• shadow: требует objectClass для паролей пользователей.
• group
• cn: имя группы.
• gidNumber: номер GID группы.
• memberUid: участники группы.
• passwd
• uidNumber: номер UID пользователя.
• uid: имя пользователя.
• gidNumber: основной номер GID пользователя.
• shadow
• uid: имя пользователя.
• userPassword: пароль пользователя.

Изменение UID/GID

Во избежание конфликтов UID/GID между пользователями/группами LDAP и локальными пользователями/группами можно включить изменение UID/GID для переключения UID/GID пользователей/групп LDAP на 1 000 000. Этот параметр предназначен только для серверов LDAP других производителей (не Synology), которые имеют атрибут уникального числового идентификатора для каждого пользователя или группы.