HOME  /Synology(法人)
 /SynologyにLDAPを利用する
2019年08月30日

SynologyにLDAPを利用する

SynologyのNASが1台の時はローカルユーザで管理すれば良いが、複数台になった時はユーザはLDAP、アクセス権は個々のSynologyサーバで管理するのが望ましくなる。

これに使うLDAPサーバは「IBM Lotus Domino」や「Open Directory」でも良いがSynologyの「Directory Server」を利用する事ができます。

ここではSynologyのサーバ2台を「Directory Server」を使ったLDAPで管理する方法を解説します。

1.Directory Serverの構築

2.SynologyサーバにLDAPを適用する

3.LDAPユーザにユーザホーム機能を与える

4.ローカルユーザからLDAPユーザの移行方法

­ ­LDAPを利用する前に

LDAPを利用し始めると、ローカルユーザは不要の様に思えます。

しかし、サーバ管理者だけはローカルユーザとして残しておいて下さい。

理由はLDAPが障害を起こすとLDAPユーザではログイン出来なくなり、システム復旧ができなくなります。

私はこのローカルユーザIDでHyper Backupを実行しており、何かあった時はこのIDで対応できる様にしております。

1.Directory Serverの構築

1-1.Directory Serverのインストール

パッケージセンターから「Directory Server」をインストールします。

※1.ローカルユーザの管理者がこのパーッケージをインストールした事になります。

 

1-2.ドメイン名を設定する

1.インストールされたアイコンをクリックします。

2.開いた画面にドメイン名を入力します。

①LDAPサーバを有効にするにチェックします。

②FQDN(ドメイン名)を設定します。
ドメイン名はローカル環境だけに使う名前なので任意です。(ex.my-home等)

­ ­メモ

FQDN(ドメイン名)にはアンダースコアは使えません。ハイフンで区切ってください。

③ドメインにログインする為のパスワードです。
ログインできるのは「Directory Operators」でこれは後で設定します。

 

3.適用を実行すると下記のユーザとグループが作成されます。

  登録データ 解説
ユーザ admin 管理者

グループ

 

users

管理者を含め総てのユーザがここに属します。

よってここではアクセス制御は行えません

Directory Operators

デフォルトでadminが登録される

LDAPにログインする管理者は必ずここに登録する事

Directory Clients

一般ユーザと考えてください。

私は一般ユーザのグループとして使っています。

Directory Consumers

一般ユーザと考えてください。

私はこのグループは使っていません

administrators

デフォルトでadminが登録される

DSMの管理者(全アプリ)は必ずここに登録する事

 

4.ユーザを登録する

①メニュから下記メニュをクリックします。

下記画面が開きます。

②上記の「ユーザ」ボタンを挿入します。

表示された画面に必要事項を入力します。

入力の仕方はローカルユーザの時と同様です。

入力後、「次へ」を挿入します。

③グループを選択し、「次へ」のボタンを挿入します。

管理者にする場合:

「Directory Operators」と「System default admin group」に必ずチェックを入れて下さい。

■Directory Operators:LDAPにログインできるIDです。

■System default admin group:ローカルユーザにadmin groupと同様に全アプリケーションに対するアクセス権が与えられます。

一般ユーザの場合:

「Directory Clients」に必ずチェックを入れて下さい。

フォルダやアプリケーションのアクセス制御に利用します。

④ユーザの属性を入力し、「次へ」に進みます。

⑤確認画面が出ますので「適用」でユーザを作成します。

総てのユーザを登録すると「Directory Server」の構築は完了です。

­ ­メモ

Directory Serverにもバックアップ/復元機能がありますが、ここではこれを設定していません。

バックアップ/復元は「Hyper Backup」で「Directory Server」を利用して下さい。

 

2.SynologyサーバにLDAPを適用する

1項で構築した「Directory Server」をSynologyのNASに設定します。

2-1.コントロールパネルから下記アイコンをクリックします。

2-2.開いた画面から「LDAP」タブを選択します。

下記画面が表示されます。

①「LDAPクライアントを有効にする」に✔をいれます。

②「LDAPサーバアドレス」にLDAPサーバのIPアドレスを入力します。

③「Base DN」の▼をクリックするとドメイン名が表示されるので選択します。

④プロファイル

SynologyのDirectory Serverの時は「標準」を選択して下さい。

他のLDAPを使う場合はここで指定します。

設定が終了したら「適用」ボタンを挿入します。

2-3.LDAPサーバへのログイン画面が表示されます。

①LDAP管理者アカウントはLDAPサーバの「Directory Operators」権限を持つユーザです。

②パスワードを入力して「適用」ボタンを挿入します。

下記画面が表示されます。

赤枠の所をみて下さい。LDAPサーバから「ユーザ」と「グループ」が読み込まれました。

 

2-4.LDAPグループにアクセス権を設定する

LDAPグループタブを開きます。

①アクセス権を設定したいグループを選択し「編集」ボタンを挿入し、アクセスできるフォルダやアプリケーションの権限を設定します。

②LDAPデータを即時更新します(デフォルトが5分に1回)

以上でLDAPをSynologyのサーバに設定でき、LDAPユーザがアクセスできるようになりました。

 

3.LDAPユーザにユーザホーム機能を与える

ローカルユーザの時と同様にLDAPユーザにもユーザホーム機能を設定する事ができます。

①LDAPユーザタブを開きます。

上記の「ユーザーホーム」ボタンを挿入します。

②下記画面が表示されますので✔を付けて下さい。

以上でLDAPユーザにもユーザホーム機能がONになりました。

­ ­メモ

この状態のままだと管理者以外にも「homes」フォルダが見えてしまいます。これを

管理者:「homes」と「home」フォルダに読み書き権限を持たせる

ユーザ:「home」フォルダに読み書き権限を持たせる

為には下記の設定を行います。

③コントロールパネルから共有フォルダアイコンをクリックする。

④homesフォルダを選択して「編集」ボタンを挿入します。

⑤「マイネットワーク」での共有フォルダを非表示にしますにチェックを付けます。

以上でNASをSMBでマウントした時に「homes」フォルダは見えなくなります。

⑥次に「高度な権限」タブを開きます。

⑦上図の「高度な共有権限」ボタンを挿入します。

表示された画面から「LDAPグループ」を選択します。

⑧adoministratorsに「読込み/書込み」権限を与え、適用ボタンを挿入します。

以上で管理者だけが「homes」が見え、ユーザには「home」フォルダのみが操作できるようになりました。

 

4.ローカルユーザからLDAPユーザへの移行方法

4-1.ログイン方法

SynologyのDSM、WevDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「LDAPユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。

■同一名が無い場合

ユーザ名だけでログインすると、ローカルユーザにこのユーザ名が無い場合はLDAPユーザを検索してログインしてくれます。

■同一名がある場合

ユーザ名だけでログインすると、ローカルユーザにユーザ名があるのでこれでログインされます。

LDAPユーザでログインしたい場合は「ユーザ名@LDAPドメイン名」でログインします。

­­ ­私の設定例

「ローカルユーザ」と「LDAPユーザ」に同一ユーザ名で登録するのはお勧めできません。

私はローカルユーザにはサーバID(admin等)のみを登録し、バックアップはこのIDを利用しています。

Synologyのシステム管理者及び一般ユーザは総てLDAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。

注)実際のログインは「ユーザ名@LDAPドメイン名」になります。

 

4-2.個人フォルダの移行方法

個人フォルダの保存場所と移行方法

■ローカルユーザ:homesフォルダ直下のID名の下に保存されます。

■LDAPユーザ :homesフォルダの中の「@LH-ドメイン名」の中にID名が作られ、その下の保存されます。

­ ­移行方法

File Stationを2つ立上げ、ドラッグ&ドロップでコピーします

 

4-3.Note Stationのデータの移行方法

Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。

個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。

①ローカルユーザでログインして、Note Stationからデータをエクスポートします。

「××××××.nsx」というファイルが作成されます。

②LDAPユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。

これでデータ移行が完了します。

 

4-4.WevDAVアクセスをLDAPユーザにする時の注意点

WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。

LDAPユーザ名がローカルユーザ名にない場合は、ユーザ名だけでLADPユーザ名としてログインできます。

上手く接続できない場合は、Windowsを再起動した後、再度ログインして下さい。

 

4-5.VPNアクセスをLDAPユーザにする時の注意点

VPNのアクセス権は「VPN Server」の全般設定にあります。

全般設定を開き「アカウントタイプ」を「LDAPユーザ」にして下さい。

 

4-6.Photo StationアクセスをLDAPユーザにする時の注意点

Photo Stationは独自にユーザ管理を持っています。

デフォルトではローカルユーザとLDAPユーザが見れるようになっています。

LDAPユーザに管理者権を与える場合は、Photo Stationの設定画面に入ってLDAPユーザに管理者権限を与えてください。