Synologyサーバが1台の時はローカルユーザで総てを管理すれば良いのですが、複数台になると
・ユーザ管理はLDAP又はAD(Active Directory)
・アクセス権は個々のSynologyサーバ
で管理するのが望ましくなります。
ここではSynology社のAD「Synology Directory Serve」を利用する方法を解説します。
<目次>
2.Synology Directory Serverの構築
1.ADを構築する前の確認事項
1.ローカルユーザの必要性
ADでユーザ管理をしても、ローカルユーザのサーバ管理者だけは残しておいて下さい。
理由はADユーザが機能するは、ADが稼働している時だけでこれが停止するとDSMに入れる管理者が居なくなるためです。
2.DNSサーバの確認
ADの各種ドメインは「DNS Server」の中で管理されます。
よってパッケージセンタの「管理」にある「DNS Server」をインストールしてください。
インストールすると下記アイコンが追加されます。
■上記のアイコンをクリックし「ゾーン」メニュを見てください。
■始めは何もありませんが「ADが立ち上がったり」、「配下のコンピュータが追加される」とこの中にレコードが追加されます。
3.ドメイン/LDAPの確認
ADユーザを各Synologyサーバに割り当てるアプリケーションです。
コントロールパネルの下記アイコンを開いてください。
■始めは何も登録されていませんが、ADが立ち上がるとここにAD情報が追加されます。
4.NTPサーバの確認
NTP(Network Time Protocol)は正しい時刻情報を取得しサーバに配信する仕組みです。
コントロールパネルの下記アイコンを開いてください。
■デフォルトの「NTPサーバ」は「time.google.com」です。
■ADに管理された2台目のサーバは、ADサーバの「NTP」を見に行く様に変更されます。
2.Synology Directory Serverの構築
1.Synology Directory Serverのインストール
パッケージセンタの「管理」にある「Synology Directory Server」をインストールします。
下記アイコンが追加されます。
2.Synology Directory serverの設定
1)「Synology Directory Server」の起動
表示されたメニュから「ドメインの作成」をクリックします。
■設定のウィザードが起動させます。
2)ドメイン名とワークグループ名の設定
■ドメイン名
ドメイン名には.(ドット)で区切られた2つ以上の名前が必要です。
例:HNW.COM
■ワークグループ
ユーザの表示形式は「ワークグループ名\ユーザ名」になります。
よってワークグループ名は短い単語が良いです。
例:AD
■Administratorのパスワード
AdministratorはADのデフォルト管理者IDです。
パスワードを設定して下さい。
メモ
IDの「Administrator(大文字小文字の区別をします)」は、他のSynologyサーバにADを適用する時に利用するIDです。
しかしこの名称は誰でもが知っているIDなので、新たな管理者を作成しこのIDを無効化する事もできます。
以上を設定し「次へ」で先に進み「ドメインの作成」ボタンを挿入します。
以上でADが構築されます。
3)確認
①コントロールパネルの下記アイコンをクリックしてください
■上記で設定した内容が表示されます。
②DNS Serverも同様に見てください。
新しいゾーンが追加されています。
3.グループの登録
デフォルトで色々なグループIDが設定されますが普通は使わないグループ名です
重要なものは下記の2つだけです。
グループ名 |
意味 |
Domain Admins | ドメイン管理者グループ
DSMの管理者は、このグループに所属させる必要があります。 総てのフォルダとアプリケーションを利用可能に設定します。 |
Domain Users | ドメインユーザ
管理者も一般ユーザも登録されるグループ よって一般ユーザのアクセス制御に利用できません |
Domain Usersは一般ユーザのアクセス制御に使えないので新たなグループが作成します。
グループ名 |
意味 |
AD Users | 一般ユーザが所属するグループ
利用を許可するフォルダとアプリを指定します。 |
①AD Usersの登録
■「追加→グループ」で下記を登録します。
■グループ名は「AD Users」
■説明は「一般ユーザ」
「OK」ボタンを挿入します。
以上でグループ登録は完了です。
4.ユーザの登録
①「追加→ユーザ」で下記を登録します。
■上記は管理者として登録した例です。
■デフォルトではパスワードは42日で失効するようになっています。
そこで上図では失効させない所にチェックしています。
「次へ」で先に進みます。
②管理者で登録する場合
■2ページ目にある「Domain Admins」に✓を付けます。
③一般ユーザで登録する場合
■1ページ目にある「ad users」に✓を付けます。
「次へ」で確認画面が「完了」ボタン挿入でユーザの追加が完了します。
メモ
パスワードの有効期間等の設定は「ドメインポリシー」の所で設定できます。
3.SynologyサーバへのADの適用
2項でADを構築しましたが、このADを適用するサーバには下記の2種類があります。
1.ADが立ち上がっているサーバ
2.その他のサーバにADを適用する
上記の違いにより操作方法が異なります。
1.ADが立ち上がっているサーバでの操作
1.各グループに権限を付与する
①コントロールパネルから下記アイコンをクリックします。
②下記画面が開きます。
下記画面の「ドメイングループ」タブを開きます。
メモ
上図の様に1台目のSynologyサーバはADが自動設定されます。
よってADをやめる場合は、パッケージセンタから「Synology Directory Server」をアンインストールします。
③「ドメイングループ」タブを開きます。
■「Domain Admins」の設定
ADの設定では管理者は「Domain Admins」グループに入れましたが、これだけではDSMの全操作に権限を持った訳ではありません。
そこで「Domain Admins」を選択し「編集」ボタンを挿入します。
総ての「フォルダ」と「アプリケーション」にアクセス許可を与えます。
■「AD Uses」の設定
「AD Uses」をを選択し「編集」ボタンを挿入します。
アクセスを許可する「フォルダ」と「アプリケーション」にアクセス許可を与えます。
以上でこのサーバでADが利用可能になりました。
2.その他のサーバにADを適用する
注意
DSM7で構築したADをDSM6に設定する事は可能ですが、DSM6で構築したADをDSM7に設定する事はできません。
1.コントロールパネルを開いて下さい
下記アイコンをクリックします。
2.ADへの接続を行います。
下記画面が表示されます。
■上図の「参加」ボタンを挿入します。
1)下記画面が表示されます。
■「サーバアドレス」にADサーバのIPアドレスを入力します。
次へで先に進みます。
2)下記画面が表示されます。
①ADの「管理者ID」と「パスワード」を入力します。
②「DSN Server」のIPアドレスを入力します。
「次へ」のボタンを挿入すると確認作業が走りADの設定を完了します。
3.各グループに権限を付与する。
設定方法は「ADが立ち上がっているサーバでの操作」と同じです。
4.ドメインユーザにユーザホーム機能を与える方法
この操作は1台目のサーバでも2台目のサーバでも設定が必要になります。
ローカルユーザの時と同様にADユーザにもユーザホーム機能を設定する事ができます。
①ドメインユーザタブを開きます。
上記の「ユーザーホーム」ボタンを挿入します。
②下記画面が表示されますので✔を付けて下さい。
以上でADユーザにもユーザホーム機能がONになりました。
メモ
この状態のままだと一般ユーザにも「homes」フォルダが見えてしまいます。これを
管理者:「homes」と「home」フォルダを見せ、読み書き権限を持たせる
ユーザ:「home」フォルダのみを見せ、読み書き権限を持たせる
為には下記の設定を行います。
③コントロールパネルから共有フォルダアイコンをクリックする。
④homesフォルダを選択して「編集」ボタンを挿入します。
■「homes」を選択後、「編集」ボタンを挿入します。
⑤下記が表示されます。
<全般タブの設定>
■「マイネットワークでこの共有フォルダを非表示にする」に✓を付けます。
以上でNASをSMBでマウントした時に「homes」フォルダは総てのユーザから見えなくなります。
しかし管理者だけには見せたいので下記の設定を行います。
<高度な権限タブの設定>
■上図の「高度な共有権限」ボタンを挿入します。
表示された画面から「ドメイングループ」を選択します。
■「Domain Admins」にR/W権限を付与して下さい。
以上で管理者だけが「homes」が見え、一般ユーザには「home」フォルダのみが見える様になりました。
5.ローカルユーザからADユーザへの移行方法
1.ログイン方法
SynologyのDSM、WevDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「ADユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。
■同一名が無い場合
ユーザ名だけでログインすると、ローカルユーザにこのユーザ名が無い為、ADユーザを検索してログインしてくれます
■同一名がある場合
ユーザ名だけでログインすると、ローカルユーザにユーザ名があるのでローカルユーザでログインされます。
ADユーザでログインしたい場合は下記になります。
■ワークグループ名\ユーザ名
私の設定例
「ローカルユーザ」と「APユーザ」に同一ユーザ名で登録するのはお勧めしません。
私はローカルユーザにはサーバIDのみを登録し、バックアップやADの設定等はこのIDを利用しています。
システム管理者及び一般ユーザは総てAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。
2.個人フォルダの移行方法
個人フォルダの保存場所と移行方法
■ローカルユーザ:homesフォルダ直下のID名の下に保存されます。
■ADユーザ :homesフォルダの中の「@DH-ADMIN」の中にID名が作られ、その下の保存されます。
移行方法
File Stationを2つ立上げ、ドラッグ&ドロップでコピーします
3.Note Stationデータの移行方法
Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。
よって個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。
①ローカルユーザでログインして、Note Stationからデータをエクスポートします。
「××××××.nsx」というファイルが作成されます。
②ADユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。
これでデータ移行が完了します。
4.WevDAVアクセスをADユーザに移行する方法
WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。
ユーザ名がローカルユーザ名にない場合は、ユーザ名だけでADユーザ名としてログインできます。
上手く接続できない場合は、Windowsを再起動した後、再度ログインして下さい。
5.VPNアクセスをLDAPユーザにする時の注意点
VPNのアクセス権は「VPN Server」の全般設定にあります。
全般設定を開き「アカウントタイプ」を「ドメインユーザ(AD)」にして下さい。
6.Photo StationアクセスをADユーザにする時の注意点
Photo Stationは独自にユーザ管理を持っています。
デフォルトではローカルユーザとドメインユーザが見れるようになっています。
ドメインユーザに管理者権を与える場合は、Photo Stationの設定画面に入ってドメインユーザに管理者権限を与えてください。