HOME  /Synology(法人)
 /SynologyにLDAP Serverを利用する
2022年10月14日

SynologyにLDAP Serverを利用する

SynologyのNASが1台の時はローカルユーザで管理すれば良いのですが、複数台になった時は

■ユーザの追加/削除は「LDAP Server」で管理する。

■各サーバでのアクセス権は個々の「Synologyサーバ」で管理する。

ことが望ましくなります。

この「LDAP Server」は、Synologyの当該シフト以外に「IBM Lotus Domino」や「Open Directory」を利用するもできます。

­ ­注意点

LDAP Server」を利用し始めると、ローカルユーザは不要の様に思えますが、サーバ管理者だけはローカルユーザとして残しておいて下さい。

理由は「LDAP Server」のユーザが機能するは、「LDAP Server」サーバが正常に稼働している時だけですので「LDAP Server」が障害を起こした場合はDSMにアクセスできなくなります。

また「MariaDB」や「Download Station」の様にローカルユーザしか利用できないアプリケーションもあります。

ここでは複数台のSynologyのサーバをこの「LDAP Server」で管理する方法を解説します。

1.LDAP Serverの構築

2.SynologyサーバにLDAPを適用する

3.LDAPユーザにユーザホーム機能を与える

4.ログインとLDAPユーザへの移行方法

1.LDAP Serverの構築

1.LDAP Serverのインストール

パッケージセンターの「ビジネス」にある「LDAP Server」をインストールします。

下記アイコンが追加されます。

2.ドメイン名を設定します

①インストールされた上記アイコンをクリックします。

②開いた下記画面にドメイン情報を入力します。

■「LDAPサーバを有効にする」にを付けます

■「FQDN」にドメイン名を入力します。

任意の名前を指定して下さい(ex.HNW等)

尚、名前に_(アンダースコア)は使えません。

区切りを入れたい場合は(ハイフン)を利用して下さい。例)My-LDAP等

■パスワード、パスワードの確認

これは「LDAP Server」のパスワードです。

このパスワードはLDAPをアンインストールする時に利用します。

■画面の下の方にある「適用」ボタンを挿入して下さい。

適用ボタンが表示されてない場合は、ブラウザの拡大の所を小さくしてください。

③設定が完了するとLDAPの設定画面が表示されます。

画面の下の方に重要な認証情報が表示されます。

Base DNは、LDAPをSynologyのサーバに適用する時に必要になりますので記録しておいてください。

 

【参考情報】デフォルトで作成されるユーザとグループ

デフォルトで下記のユーザとグループが作成されます。

登録データ 解説
ユーザ admin 管理者です。

※DSM6では管理者として登録されていましたが、DSM7では無効化された管理者として登録されます

グループ administrators DSMの管理者グループです。

※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。

Directory Clients LDAPで管理されるクライアント

私は一般ユーザのグループとして使っています。

Directory Consumers LDAPで管理される顧客

私はこのグループは利用していません。

Directory Operators LDAPのユーザを登録/編集する管理者グループです。

※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。

users 管理者を含め総てのユーザがここに属します。

よってこのグループでアクセス制御はできません。

※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。

 

3.LDAPユーザを登録します。

 ユーザ登録のポイント

LDAP管理者(例:LDAP_admin)と一般ユーザを登録します。

管理者の「admin」はローカルIDにもあるので間違いの元になります。

一般ユーザを管理者にすると「Synology Drive」で管理者との文書共有が上手く機能しません。

①「ユーザーの管理ユーザ」を開きます。

■上図の「作成」ボタンを挿入します。

②下記の画面が表示されます。

下記画面に「名前」、「説明」、「パスワード」を設定します。

■ユーザ登録結果をメールで知らせる場合は「新規ユーザに通知メールを送る」をし、メールアドレスを設定します。

■ユーザにパスワード変更を許さない場合は「アカウントパスワードの変更をユーザに許可しない」にを付けます。

■「このアカウントを無効化」にを付けるとこのIDは利用できなくなります。

入力完了後、「次へ」を挿入します。

③下記画面で「所属するグループ」を選択します。

■管理者にする場合

Directory Operators」と「administrators」に必ずチェックを入れて下さい。

■一般ユーザの場合

Directory Clients」に必ずチェックを入れて下さい。

※上記はフォルダやアプリケーションのアクセス制御に利用します。

入力完了後、「次へ」を挿入します。

④下記画面が表示されます。

■入力は任意です。

⑤「次へ」を挿入すると確認画面が出ますので「適用」でユーザを作成します。

総てのユーザを登録すると「Directory Server」の構築は完了です。

­ ­メモ

Directory Serverにもバックアップ/復元機能がありますが、ここではこれを設定していません。

バックアップ/復元は「Hyper Backup」でアプリケーションの「LDAP Server」を利用します。

 

2.SynologyサーバにLDAPを適用する

1項で構築した「LDAP Server」をSynologyのNASに適用します。

 メモ

下記事例は「LDAP Server」を立ち上げたSynologyのNASにLDAPを適用する例ですが、他のSynologyのNASにLDAPを適用する場合も操作は同一になります。

1.コントロールパネルを開いて下さい

下記アイコンをクリックします。

2.LDAPへの接続を行います。

下記画面が表示されます。

■上図の「参加」ボタンを挿入します。

1)下記画面が表示されます。

■「サーバアドレス」にLDAPサーバのIPアドレスを入力します。

次へで先に進みます、

2)下記画面が表示されます。

①LDAP管理者のIDを入力します。

②上記管理者のパスワードです。

③LDAPを構築した時のBase DNを入力します。

例)dc=✕✕✕

次へ」で先に進むと、LDAPのチェックが開始され、チェック完了後、下記画面が表示されます。

■「LDAPユーザ」と「LDAPグループ」のタブが追加されます。

 

3.LDAPグループにアクセス権を設定する

LDAPグループタブを開きアクセス権を付与します。

administrators、Directory Operators

総てのフォルダとアプリケーションにR/W権限を与えます。

Directory Clientsグループ

一般ユーザが利用して良いフォルダとアプリケーションにR/W権限を与えます。

以上でLDAPをSynologyのサーバに設定でき、LDAPユーザがアクセスできるようになりました。

 

3.LDAP Serverにユーザホーム機能を与える

ローカルユーザの時と同様にLDAPユーザにもユーザホーム機能を設定する事ができます。

①LDAPユーザタブを開きます。

■上記の「ユーザーホーム」ボタンを挿入します。

 

②下記画面が表示されます

■「LDAPユーザー向けにホームサービスを有効にする」に✔をつけます。

■「OK」ボタンを挿入します。

以上でLDAPユーザにもユーザホーム機能がONになりました。

­ ­メモ

この状態のままだと管理者以外にも「homes」フォルダが見えてしまいます。これを

[管理者]

「homes」と「home」フォルダに読み書き権限を持たせる

[ユーザ]

「home」フォルダに読み書き権限を持たせる

以上の設定を行います。

③コントロールパネルから共有フォルダアイコンをクリックする。

 

④homesフォルダを選択して「編集」ボタンを挿入します。

■「homes」を選択後、「編集」ボタンを挿入します。

 

⑤下記が表示されます。

<全般タブの設定>

■「マイネットワークでこの共有フォルダを非表示にする」にを付けます。

以上でNASをSMBでマウントした時に「homes」フォルダは総てのユーザから見えなくなります。

しかし管理者だけには見せたいので下記の設定を行います。

<高度な権限タブの設定>

■上図の「高度な共有権限」ボタンを挿入します。

表示された画面から「LDAPグループ」を選択します。

■「adoministrators」にR/W権限を付与して下さい。

以上で管理者だけが「homes」が見え、一般ユーザには「home」フォルダのみが見える様になりました。

 

4.ログインとLDAPユーザへの移行方法

1.ログイン方法

SynologyのDSM、WebDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「LDAPユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。

■ローカルに同一名が無い場合

ユーザ名」、「ユーザ名@LDAPドメイン名」いづれでLDAPユーザでログインできます。

■ローカルに同一名がある場合

ユーザ名」でログインすると、ローカルユーザでログインされます。

ユーザ名@LDAPドメイン名」でログインすると、LDAPのIDでログインされます。

­­ ­私の設定例

私はローカルユーザにはサーバID(admin等)のみを登録し、バックアップはこのIDを利用しています。

Synologyのシステム管理者及び一般ユーザは総てLDAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。

注)実際のログインは「ユーザ名@LDAPドメイン名」になります。

 

2.個人フォルダの移行方法

個人フォルダの保存場所と移行方法

[ローカルユーザ]

homesフォルダ直下のID名の下に保存されます。

[LDAPユーザ]

homesフォルダの中の「@LH-ドメイン名」の下にID名が作られ、そこに保存されます。

­ ­移行方法

File Stationを2つ立上げ、ドラッグ&ドロップでコピーします

 

3.Note Stationのデータの移行方法

Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。

個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。

①ローカルユーザでログインして、Note Stationからデータをエクスポートします。

××××××.nsx」というファイルが作成されます。

②LDAPユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。

これでデータ移行が完了します。

 

4.WevDAVアクセスをLDAPユーザにする時の注意点

WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。

ユーザのWebDAVへのアクセス権があるか?をチェックしてください。

無い場合はグループでアクセス権を設定します。

 

5.VPNアクセスをLDAPユーザにする時の注意点

VPNのアクセス権は「VPN Server」の全般設定にあります。

全般設定を開き「アカウントタイプ」を「LDAPユーザ」にして下さい。

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Synology(法人)タブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「synology-ad」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Synoligy High AvailabilityはSynology社が開発したHAシステムで2台のNASを1台の仮想NASとする事により、メインNASが停止してもサブのNASに自動的に引き継ぐ事により停止時間を短くさせる事ができます。どうしても止めたくないADやWebサイトの高可用性を実現します。

Synologyのサーバを複数台所有していると、このアプリケーションはこちらのサーバに移行したい等のニーズが発生します。
ここでは「Hyper Backup」を使った移行方法を解説します。

MailPlus Serverから他のメールサーバにメールを送った際、相手に「安全なメールだ!」と判断される事が重要です。すなわち迷惑メールにならない送り方を調べた結果を解説しています。

Synologyのハードウェアを新しい物に変更する方法は色々ありますが、ここでは「Hyper Backup」を使った移行方法を解説しています。この方法は旧システムがそのまま残っているので、比較しながらの移行が可能になります。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモートフォルダのマウントです。ここではこの接続と解除を説明しています。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモート接続のWebDAVです。ここではこの接続と解除を説明しています。

MailPlus Serverを立ち上げると、さすがメールサーバと思う程に外部からのアタックが増加します。そこでここではメールサーバをより安全に運用する方法を解説しています。

Synology Driveとは、File Stationの使いづらい機能を大幅に改善したプライベートクラウドで①File Stationでは表示できなかったファイルが「Viewerソフト」で表示できるようになる②Synology Officeを使って「スプレッドシート」や「ドキュメント」及び「スライド」文書が作成できる様になる③「Driveの個人フォルダ」と「個人PCのフォルダ」を同期する事により、個人PCのデータ保護ができる様になる等の機能を持っています。ここではものソフトの使い方を解説しています。

Synologyのメール(MailPlus)やカレンダ(Calender)にはデスクトップアプリケーションがありません。そこでThunderbirdでこれらを呼び出す事によりローカルアプリケーションでこれらを操作する方法を解説しています。

Synology ChatはDSMユーザ間のチャットツールです。DSMユーザ以外にゲストユーザも招致する事もできます。また通常チャットに加え、ビデオ会議の「jitsi Meet」を呼び出す事もできます。

スパムメールが嫌なので今までメールはGMAILを使っていました。しかしSynologyの「MailPlus Server」にはスパム対策やウィルス対策ソフトがバンドルされていることを知り、この機会にこのメールシステムを使ってみる事にしました。ここではこれの使い方を解説しています。

ここでは「Synology Calendar」の利用方法を解説しています。またThunderbirdやandroid及びiOSから「Synology Calendar」を利用する方法も解説しています。

Synologyサーバが1台の時はローカルユーザで管理すれば良いのですが、複数台になるとユーザ管理はLDAP又はAD(Active Directory)、アクセス権は個々のSynologyで管理するのが望ましくなります。ここでは「Windows Server CAL」が不要なSynologyの「Active Directory server」を使ったAD構築方法を解説しています。