HOME  /Synology(法人)
 /SynologyにLDAP Serverを利用する
2020年06月01日

SynologyにLDAP Serverを利用する

SynologyのNASが1台の時はローカルユーザで管理すれば良いが、複数台になった時は

■ユーザは「LDAP Server」で管理する。

■各Synologyサーバのアクセス権は個々の「Synologyサーバ」で管理する。

ことが望ましくなります。

これに使うLDAPサーバは「IBM Lotus Domino」や「Open Directory」でも良いが、Synologyの場合は「LDAP Server」を利用するのがデフォルトです。

 

ここでは複数台のSynologyのサーバをこの「LDAP Server」で管理する方法を解説します。

1.Directory Serverの構築

2.SynologyサーバにLDAPを適用する

3.LDAPユーザにユーザホーム機能を与える

4.ローカルユーザからLDAPユーザの移行方法

­ ­「LDAP Server」を利用する前に

LDAP Server」を利用し始めると、ローカルユーザは不要の様に思えます。

しかし、サーバ管理者だけはローカルユーザとして必ず残しておいて下さい。

 

理由は「LDAP Server」ユーザが機能するは、「LDAP Server」サーバが正常に機能している時だけです。

よって、DSMやアプリケーションの更新で「LDAP Server」が障害を起こした場合、又は「LDAP Server」を停止させた場合にDSMをアクセスできるユーザが居なくなります。

注意して下さい!

また、「MariaDBアプリケーション」へのログインも、「LDAP Server」ユーザではできません。

 

1.LDAP Serverの構築

1-1.LDAP Serverのインストール

パッケージセンターから「LDAP Server」をインストールします。

※1.ローカルユーザの管理者がこのパーッケージをインストールした事になります。

 

1-2.ドメイン名を設定します

1.インストールされた下記アイコンをクリックします。

 

2.開いた画面にドメイン情報を入力します。

■LDAPサーバを有効にする

✔を付けて下さい。

■FQDN

ドメイン名を入力します。

ドメイン名はローカル環境だけに使う名前なので任意に付けて下さい。(ex.my-home等)

­ ­メモ

FQDN(ドメイン名)にはアンダースコアは使えません。ハイフンで区切ってください。

■パスワード

ドメインにログインする為のパスワードです。

ログインできるのは「Directory Operators」でこれは後で設定します。

 

適用」ボタンを挿入して下さい。

 

3.デフォルトで作成されるユーザとグループ

適用」ボタンを挿入すると下記のユーザとグループが作成されます。

登録データ 解説
ユーザ admin 管理者
グループ users デフォルトでadminが登録されます

管理者を含め総てのユーザがここに属しますので、このグループでアクセス制御はしないで下さい

administrators デフォルトでadminが登録されます

DSMの管理者グループです

Directory Operators デフォルトでadminが登録されます

LDAPの設定ができる管理者グループです

Directory Clients 一般ユーザと考えてください。

私は一般ユーザのグループとして使っています。

Directory Consumers 一般ユーザと考えてください。

私はこのグループは使っていません

 

4.ユーザを登録します。

①メニュから下記メニュをクリックします。

下記画面が開きます。

 

②上記の「ユーザ」ボタンを挿入します。

表示された画面に必要事項を入力します。

■入力の仕方はローカルユーザの時と同様です。

入力後、「次へ」を挿入します。

 

③グループを選択し、「次へ」のボタンを挿入します。

【管理者にする場合】

Directory Operators」と「administrators」に必ずチェックを入れて下さい。

【一般ユーザの場合】

Directory Clients」に必ずチェックを入れて下さい。

フォルダやアプリケーションのアクセス制御に利用します。

 

④ユーザの属性を入力し、「次へ」に進みます。

⑤確認画面が出ますので「適用」でユーザを作成します。

 

総てのユーザを登録すると「Directory Server」の構築は完了です。

­ ­メモ

Directory Serverにもバックアップ/復元機能がありますが、ここではこれを設定していません。

バックアップ/復元は「Hyper Backup」で「LDAP Server」を利用して下さい。

 

2.SynologyサーバにLDAPを適用する

1項で構築した「LDAP Server」をSynologyのNASに適用します。

2-1.コントロールパネルを開いて下さい

下記アイコンをクリックします。

 

2-2.開いた画面から「LDAP」タブを選択します。

下記画面が表示されます。

■「LDAPクライアントを有効にする」に✔をいれます。

■「LDAPサーバアドレス」にLDAPサーバのIPアドレスを入力します。

■「Base DN」の▼をクリックするとドメイン名が表示されるので選択します。

■プロファイル

Synologyの「LDAP Server」の時は「標準」を選択して下さい。

他のLDAPを使う場合はここで指定します。

設定が終了したら「適用」ボタンを挿入します。

 

2-3.LDAPサーバへのログイン画面が表示されます。

■LDAP管理者アカウントはLDAPサーバの「Directory Operators」権限を持つユーザです。

■パスワードを入力して「適用」ボタンを挿入します。

コントロールパネルに「LDAPユーザー」と「LDAPグループ」タブが追加されます。

赤枠の所をみて下さい。LDAPサーバから「ユーザ」と「グループ」が読み込まれました。

 

2-4.LDAPグループにアクセス権を設定する

LDAPグループタブを開きます。

■アクセス権を設定したいグループを選択し「編集」ボタンを挿入し、アクセスできるフォルダやアプリケーションの権限を設定します。

■LDAPデータを即時更新します(デフォルトが5分に1回)

 

以上でLDAPをSynologyのサーバに設定でき、LDAPユーザがアクセスできるようになりました。

 

3.LDAP Serverにユーザホーム機能を与える

ローカルユーザの時と同様にLDAPユーザにもユーザホーム機能を設定する事ができます。

①LDAPユーザタブを開きます。

■上記の「ユーザーホーム」ボタンを挿入します。

 

②下記画面が表示されます

■「LDAPユーザー向けにホームサービスを有効にする」に✔をつけます。

■「OK」ボタンを挿入します。

以上でLDAPユーザにもユーザホーム機能がONになりました。

­ ­メモ

この状態のままだと管理者以外にも「homes」フォルダが見えてしまいます。これを

管理者:「homes」と「home」フォルダに読み書き権限を持たせる

ユーザ:「home」フォルダに読み書き権限を持たせる

為には下記の設定を行います。

③コントロールパネルから共有フォルダアイコンをクリックする。

 

④homesフォルダを選択して「編集」ボタンを挿入します。

 

⑤「マイネットワーク」での共有フォルダを非表示にしますにチェックを付けます。

以上でNASをSMBでマウントした時に「homes」フォルダは見えなくなります。

 

⑥次に「高度な権限」タブを開きます。

 

⑦上図の「高度な共有権限」ボタンを挿入します。

表示された画面から「LDAPグループ」を選択します。

 

⑧「adoministrators」に「読込み/書込み」権限を与え、適用ボタンを挿入します。

以上で管理者だけが「homes」が見え、ユーザには「home」フォルダのみが見える様になりました。

 

4.ローカルユーザからLDAPユーザへの移行方法

4-1.ログイン方法

SynologyのDSM、WevDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「LDAPユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。

■同一名が無い場合

ユーザ名だけでログインすると、ローカルユーザにこのユーザ名が無い場合はLDAPユーザを検索してログインしてくれます。

 

■同一名がある場合

ユーザ名だけでログインすると、ローカルユーザにユーザ名があるのでこれでログインされます。

LDAPユーザでログインしたい場合は「ユーザ名@LDAPドメイン名」でログインします。

­­ ­私の設定例

ローカルユーザ」と「LDAPユーザ」に同一ユーザ名で登録するのはお勧めできません。

私はローカルユーザにはサーバID(admin等)のみを登録し、バックアップはこのIDを利用しています。

Synologyのシステム管理者及び一般ユーザは総てLDAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。

注)実際のログインは「ユーザ名@LDAPドメイン名」になります。

 

4-2.個人フォルダの移行方法

個人フォルダの保存場所と移行方法

■ローカルユーザ:homesフォルダ直下のID名の下に保存されます。

■LDAPユーザ :homesフォルダの中の「@LH-ドメイン名」の中にID名が作られ、その下の保存されます。

­ ­移行方法

File Stationを2つ立上げ、ドラッグ&ドロップでコピーします

 

4-3.Note Stationのデータの移行方法

Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。

個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。

①ローカルユーザでログインして、Note Stationからデータをエクスポートします。

××××××.nsx」というファイルが作成されます。

②LDAPユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。

これでデータ移行が完了します。

 

4-4.WevDAVアクセスをLDAPユーザにする時の注意点

WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。

LDAPユーザ名がローカルユーザ名にない場合は、ユーザ名だけでLADPユーザ名としてログインできます。

上手く接続できない場合は、Windowsを再起動した後、再度ログインして下さい。

 

4-5.VPNアクセスをLDAPユーザにする時の注意点

VPNのアクセス権は「VPN Server」の全般設定にあります。

全般設定を開き「アカウントタイプ」を「LDAPユーザ」にして下さい。

 

4-6.Photo StationアクセスをLDAPユーザにする時の注意点

Photo Stationは独自にユーザ管理を持っています。

デフォルトでは「ローカルユーザ」と「LDAPユーザ」が見れるようになっています。

LDAPユーザに管理者権を与える場合は、Photo Stationの設定画面に入ってLDAPユーザに管理者権限を与えてください。

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Synology(法人)タブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「synology-ad」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

「Velvet Blues Update URLs」はWordpressのプラグインです。よって、WordPress稼動中にURLを変更するツールです。これを使ってサイトのURLを変更する方法を解説しています。

Synoligy High AvailabilityはSynology社が開発したHAシステムで2台のNASを1台の仮想NASとする事により、メインNASが停止してもサブのNASに自動的に引き継ぐ事により停止時間を短くさせる事ができます。どうしても止めたくないADやWebサイトの高可用性を実現します。

Synologyのサーバを複数台所有していると、このアプリケーションはこちらのサーバに移行したい等のニーズが発生します。
ここでは「Hyper Backup」を使った移行方法を解説します。

MailPlus Serverから他のメールサーバにメールを送った際、相手に「安全なメールだ!」と判断される事が重要です。すなわち迷惑メールにならない送り方を如何に行うか?が重要になります。ここではこれを実現する為の方法を解説しています。

Synologyのハードウェアを新しい物に変更する方法は色々ありますが、ここでは「Hyper Backup」を使った移行方法を解説しています。この方法は旧システムがそのまま残っているので、比較しながらの移行が可能になります。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモートフォルダのマウントです。ここではこの接続と解除を説明しています。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモート接続のWebDAVです。ここではこの接続と解除を説明しています。

MailPlus Serverを立ち上げると、さすがメールサーバと思う程に外部からのアタックが増加します。そこでここではメールサーバをより安全に運用する方法を解説しています。

SynologyのNASに「OneDrive」や「Googleドライブ」と同様な「Drive」という機能が追加されました。また「Googleドキュメント」と同様な「Synology Office」という機能も追加されています。ここではこれらの設置方法や使い方を解説しています。

Synologyのメール(MailPlus)やカレンダ(Calender)にはデスクトップアプリケーションがありません。そこでThunderbirdでこれらを呼び出す事によりローカルアプリケーションでこれらを操作する方法を解説しています。

Synology Chatは世界で大流行しているビジネス向けチャットSlack(スラック)とよく似たチャットシステムでどんな種類のファイルでも、手軽に共有できると共にビデオ会議も簡単に使える優れものです。ここではそのインストールから使い方を解説しています。

スパムメールが嫌なので今までメールはGMAILを使っていました。しかしSynologyの「MailPlus Server」にはスパム対策やウィルス対策ソフトがバンドルされていることを知り、この機会にこのメールシステムを使ってみる事にしました。ここではこれの使い方を解説しています。

Synologyの「Calendar」アプリケーションを法人でどの様に利用したら良いか?を解説しています。

Synologyサーバが1台の時はローカルユーザで管理すれば良いのですが、複数台になるとユーザ管理はLDAP又はAD(Active Directory)、アクセス権は個々のSynologyで管理するのが望ましくなります。ここでは「Windows Server CAL」が不要なSynologyの「Active Directory server」を使ったAD構築方法を解説しています。