SynologyにActive Directoryを利用する
Synologyサーバが1台の時はローカルユーザで管理すれば良いのですが、複数台になるとユーザ管理はLDAP又はAD(Active Directory)、アクセス権は個々のSynologyサーバで管理するのが望ましくなります。
ここではAD(Active Directory)を使う方法を解説しますがLDAPを利用する場合は下記URLを参照してください。
更にADはWindowsでも良いのですが、ここではSynologyの「Synology Directory server(以降:AD)」を利用する方法を解説します。
これを利用すると「Windows Server CAL」が不要となる事が最大のメリットになります。
ここではSynologyサーバ2台をADで管理するシナリオで解説していきます。
1.Synology Directory serverの構築
ADを利用する前に
ADを利用し始めると、ローカルユーザは不要の様に思えます。
しかし、サーバ管理者だけはローカルユーザとして残しておいて下さい。
理由はADが障害を起こすとADユーザではログイン出来なくなり、システム復旧ができなくなります。
私はこのローカルユーザIDでHyper Backupを実行しており、何かあった時はこのIDで対応できる様にしております。
1.Synology Directory serverの構築
1-1.DNSサーバの必要性
ADはアドレス解決に「DNS Server」を利用しています。
よってADをインストールするサーバに「DNS Server」がインストールされてない場合はADインストール時に自動にインストールされます。
ADが立ち上がったり、配下のコンピュータが追加されると、この中のレコードが自動追加されます。
1-2.サーバ時間を合わせる
AD配下のSynologyサーバは「地域のオプション」で設定される「NTPサーバ」を同じものにする必要があります。
2台目のサーバはAD設定時に1台目(ADサーバ)サーバの「NTP」設定を自動的に引き継ぐ設定がされます。
設定後、地域のオプションで確認してください。1台目のサーバを見に行く設定がされています。
1-3.Synology Directory serverのインストール
パッケージセンタから「Synology Directory server」をインストールします。
1-4.Synology Directory serverの設定
1.インストールされた下記アイコンをクリックして下さい。
設定のウィザードが起動させます。
2.ドメイン名とワークグループ名の設定
下記画面に設定値を入力します。
■ドメイン名
ドメイン名には「.」で区切られた2つ以上の名前が必要です。 例:HNW.COM
■ワークグループ
ユーザ等が管理されるグループ名です。 例:AD
■Administrator
ADのデフォルト管理者IDです。パスワードを設定して下さい。
メモ
AdministratorはAD配下のコンピュータを追加する時にこのIDが使われます。
よって管理し易く安全なパスワードを設定して下さい。
以上を設定し「次へ」で先に進むとADが構築されます。
3.グループとユーザを登録する
①上図の「追加→グループ」を実行します。
次へで登録が完了します。
メモ
ADでは数多くのグループが自動作成されますが重要な物は下記の2つです。
■Domain Admins:このグループに属さないユーザはDSM管理者になれません。
■Domain Users:管理者を含め総てのユーザがこのグループに所属します。
「Domain Users」の性格上ユーザのアクセス管理に利用でいないのでここでは
■AD-DSM-USERS:を新たに作り、これでユーザのアクセス制御行うのが良いと思います。
先頭にADを付けたのはデフォルトのグループが多すぎるので、探しやすくする為に付けています。
②「追加→ユーザ」を実行します。
デフォルトではパスワードは42日で失効するようになっています。そこで上図では失効させない所にチェックしています。
管理者の場合 :「Domain Admins」にチェックを入れて下さい。
一般ユーザの場合:先頭にある「AD-DSM-USERS」にチェックを入れて下さい。
以上で「Synology Directory server」の構築は完了しました。
メモ
「DNS Server」を開いてみてください。ADに使われる色々な設定が自動作成されています。
2.SynologyサーバへのADの適用
1項でADを構築しましたが、このADを適用するサーバには下記の2種類があります。
2-1.ADが立ち上がっているサーバ
2-2.その他のサーバにADを適用する
上記の違いにより操作方法が異なります。
2-1.ADが立ち上がっているサーバでの操作
1.DSM管理者グループの設定
ADの設定では管理者は「Domain Admins」グループに入れました。
しかしこれだけではDSMのコントロールパネルが操作できる管理者になれないので下記設定が必要になります。
①コントロールパネルから下記アイコンをクリックします。
下記画面が開きます。
メモ
ADを構築したSynologyサーバでは自動的に「ドメインに参加」に✔が付き、外す事はできません。
上図の中で赤枠で囲まれた所がADユーザにどの様な権限を与えるか?を指定する所です。
②上図の「ドメインオプション」を開きます。
③上図のドメイン管理者ボタンを挿入します。
追加ボタンを挿入するとADのグループ一覧が表示されますので、「Domain Admins」を追加して下さい。
以上で「Domain Admins」のメンバーがDSM管理者になります。
2.各グループにフォルダやアプリケーションへのアクセス権を設定する
ドメイングループタブを開きます。
■Domain Adminsグループ
総ての「フォルダ」と「アプリケーション」にアクセス許可を与えます。
メモ
「AD/Domain Admins」に似たグループで「AD/Dns Admins」があります。
間違えないで下さい。
■AD-DSM-USERSグループ
アクセスを許可する「フォルダ」と「アプリケーション」にアクセス許可を与えます。
以上でADユーザのアカウントでこのサーバのアプリケーションが使える様になりました。
その他注意事項
ADが立ち上がった後、ネットワーク関係でエラーが出るケースがあります(DDNSが更新できない等)
この場合はパッケージセンターでこのADを停止させてください。
そうすると通常のサーバに戻りますので、ネットワークのDNS設定を修正したあと再度ADを起動すれば問題は解決します。
2-2.その他のサーバにADを適用する
1.2台目のSynologyサーバをAD配下に入れる。
①「コントロールパネル→ドメイン/LDAPアイコン」をクリックする
表示された画面にドメインに参加を✔し、「ADのドメイン名」と「DNSサーバのIPアドレス」を入れて適用ボタンを挿入します。
ドメイン名:ADを構築した時のドメイン名です。例)HNW.COM
DSNサーバ:ADを構築したサーバのIPアドレスです。
先に進みます。
②下記画面が表示されます。
パスワードを入力し「次へ」のボタンを挿入すると暫く処理した後、ADの傘下に入ります。
ドメイン管理者の設定や管理者やユーザグループへの権限設定は1台目の設定と同様です。
その他注意事項
ADが立ち上がった後、ネットワーク関係でエラーが出るケースがあります(DDNSが更新できない等)
この場合はドメインに参加の✔を外してください。
そうすると通常のサーバに戻りますので、ネットワーク等を修正したあと再度、ドメインに参加に✔をつけると問題は解決します。
3.ドメインユーザにユーザホーム機能を与える方法
この操作は1台目のサーバでも2台目のサーバでも設定が必要になります。
ローカルユーザの時と同様にADユーザにもユーザホーム機能を設定する事ができます。
①ドメインユーザタブを開きます。
上記の「ユーザーホーム」ボタンを挿入します。
②下記画面が表示されますので✔を付けて下さい。
以上でADユーザにもユーザホーム機能がONになりました。
メモ
この状態のままだと一般ユーザにも「homes」フォルダが見えてしまいます。これを
管理者:「homes」と「home」フォルダを見せ、読み書き権限を持たせる
ユーザ:「home」フォルダのみを見せ、読み書き権限を持たせる
為には下記の設定を行います。
③コントロールパネルから共有フォルダアイコンをクリックする。
④homesフォルダを選択して「編集」ボタンを挿入します。
⑤「マイネットワーク」での共有フォルダを非表示にしますにチェックを付けます。
以上でNASをSMBでマウントした時に「homes」フォルダは見えなくなります。
⑥次に「高度な権限」タブを開きます。
⑦上図の「高度な共有権限」ボタンを挿入します。
表示された画面から「ドメイングループ」を選択します。
⑧「Domain Admins」に「読込み/書込み」権限を与え、適用ボタンを挿入します。
以上で管理者だけが「homes」が見え、ユーザには「home」フォルダのみが操作できるようになりました。
4.ローカルユーザからADユーザへの移行方法
4-1.ログイン方法
SynologyのDSM、WevDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「ADユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。
■同一名が無い場合
ユーザ名だけでログインすると、ローカルユーザにこのユーザ名が無い為、ADユーザを検索してログインしてくれます
■同一名がある場合
ユーザ名だけでログインすると、ローカルユーザにユーザ名があるのでローカルユーザでログインされます。
ADユーザでログインしたい場合は下記になります。
■ワークグループ名\ユーザ名
私の設定例
「ローカルユーザ」と「APユーザ」に同一ユーザ名で登録するのはお勧めしません。
私はローカルユーザにはサーバID(ex.dsmadmin等)のみを登録し、バックアップやADの設定等はこのIDを利用しています。
システム管理者及び一般ユーザは総てAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。
4-2.個人フォルダの移行方法
個人フォルダの保存場所と移行方法
■ローカルユーザ:homesフォルダ直下のID名の下に保存されます。
■ADユーザ :homesフォルダの中の「@DH-ADMIN」の中にID名が作られ、その下の保存されます。
移行方法
File Stationを2つ立上げ、ドラッグ&ドロップでコピーします
4-3.Note Stationデータの移行方法
Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。
よって個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。
①ローカルユーザでログインして、Note Stationからデータをエクスポートします。
「××××××.nsx」というファイルが作成されます。
②ADユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。
これでデータ移行が完了します。
4-4.WevDAVアクセスをADユーザに移行する方法
WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。
ユーザ名がローカルユーザ名にない場合は、ユーザ名だけでADユーザ名としてログインできます。
上手く接続できない場合は、Windowsを再起動した後、再度ログインして下さい。
4-5.VPNアクセスをLDAPユーザにする時の注意点
VPNのアクセス権は「VPN Server」の全般設定にあります。
全般設定を開き「アカウントタイプ」を「ドメインユーザ(AD)」にして下さい。
4-6.Photo StationアクセスをADユーザにする時の注意点
Photo Stationは独自にユーザ管理を持っています。
デフォルトではローカルユーザとドメインユーザが見れるようになっています。
ドメインユーザに管理者権を与える場合は、Photo Stationの設定画面に入ってドメインユーザに管理者権限を与えてください。