SynologyのNASが1台の時はローカルユーザで管理すれば良いのですが、複数台になった時は
■ユーザの追加/削除は「LDAP Server」で管理する。
■各サーバでのアクセス権は個々の「Synologyサーバ」で管理する。
ことが望ましくなります。
この「LDAP Server」は、Synologyの当該シフト以外に「IBM Lotus Domino」や「Open Directory」を利用するもできます。
注意点
「LDAP Server」を利用し始めると、ローカルユーザは不要の様に思えますが、サーバ管理者だけはローカルユーザとして残しておいて下さい。
理由は「LDAP Server」のユーザが機能するは、「LDAP Server」サーバが正常に稼働している時だけですので「LDAP Server」が障害を起こした場合はDSMにアクセスできなくなります。
また「MariaDB」や「Download Station」の様にローカルユーザしか利用できないアプリケーションもあります。
ここでは複数台のSynologyのサーバをこの「LDAP Server」で管理する方法を解説します。
1.LDAP Serverの構築
1.LDAP Serverのインストール
パッケージセンターの「ビジネス」にある「LDAP Server」をインストールします。
下記アイコンが追加されます。
2.ドメイン名を設定します
①インストールされた上記アイコンをクリックします。
②開いた下記画面にドメイン情報を入力します。
■「LDAPサーバを有効にする」に✓を付けます
■「FQDN」にドメイン名を入力します。
任意の名前を指定して下さい(ex.HNW等)
尚、名前に_(アンダースコア)は使えません。
区切りを入れたい場合は–(ハイフン)を利用して下さい。例)My-LDAP等
■パスワード、パスワードの確認
これは「LDAP Server」のパスワードです。
このパスワードはLDAPをアンインストールする時に利用します。
■匿名認証を許可しない
メモ
以前はこの設定は不要だったのですが現在はこの設定をしないと「セキュリティアドバイザ」で警告メッセージが出る様になりました。
この画面にある[詳細ボタン]を挿入し「匿名認証を許可しない」に✓を付けてください。
■画面の下の方にある「適用」ボタンを挿入して下さい。
適用ボタンが表示されてない場合は、ブラウザの拡大の所を小さくしてください。
画面の下の方に重要な認証情報が表示されます。
■Base DNは、LDAPをSynologyのサーバに適用する時に必要になりますので記録しておいてください。
【参考情報】デフォルトで作成されるユーザとグループ
デフォルトで下記のユーザとグループが作成されます。
登録データ | 解説 | |
ユーザ | admin | 管理者です。
※DSM6では管理者として登録されていましたが、DSM7では無効化された管理者として登録されます |
グループ | administrators | DSMの管理者グループです。
※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。 |
Directory Clients | LDAPで管理されるクライアント
私は一般ユーザのグループとして使っています。 |
|
Directory Consumers | LDAPで管理される顧客
私はこのグループは利用していません。 |
|
Directory Operators | LDAPのユーザを登録/編集する管理者グループです。
※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。 |
|
users | 管理者を含め総てのユーザがここに属します。
よってこのグループでアクセス制御はできません。 ※DSM6ではdminが登録されていましたが、DSM7ではadminが無効化されているので誰も登録されていません。 |
3.LDAPユーザを登録します。
ユーザ登録のポイント
LDAP管理者(例:LDAP_admin)と一般ユーザを登録します。
管理者の「admin」はローカルIDにもあるので間違いの元になります。
一般ユーザを管理者にすると「Synology Drive」で管理者との文書共有が上手く機能しません。
①「ユーザーの管理→ユーザ」を開きます。
■上図の「作成」ボタンを挿入します。
②下記の画面が表示されます。
下記画面に「名前」、「説明」、「パスワード」を設定します。
■ユーザ登録結果をメールで知らせる場合は「新規ユーザに通知メールを送る」を✓し、メールアドレスを設定します。
■ユーザにパスワード変更を許さない場合は「アカウントパスワードの変更をユーザに許可しない」に✓を付けます。
■「このアカウントを無効化」に✓を付けるとこのIDは利用できなくなります。
入力完了後、「次へ」を挿入します。
③下記画面で「所属するグループ」を選択します。
■管理者にする場合
「Directory Operators」と「administrators」に必ずチェックを入れて下さい。
■一般ユーザの場合
「Directory Clients」に必ずチェックを入れて下さい。
※上記はフォルダやアプリケーションのアクセス制御に利用します。
入力完了後、「次へ」を挿入します。
④下記画面が表示されます。
■入力は任意です。
⑤「次へ」を挿入すると確認画面が出ますので「適用」でユーザを作成します。
総てのユーザを登録すると「Directory Server」の構築は完了です。
メモ
Directory Serverにもバックアップ/復元機能がありますが、ここではこれを設定していません。
バックアップ/復元は「Hyper Backup」でアプリケーションの「LDAP Server」を利用します。
2.SynologyサーバにLDAPを適用する
1項で構築した「LDAP Server」をSynologyのNASに適用します。
メモ
下記事例は「LDAP Server」を立ち上げたSynologyのNASにLDAPを適用する例ですが、他のSynologyのNASにLDAPを適用する場合も操作は同一になります。
1.コントロールパネルを開いて下さい
下記アイコンをクリックします。
2.LDAPへの接続を行います。
下記画面が表示されます。
■上図の「参加」ボタンを挿入します。
1)下記画面が表示されます。
■「サーバアドレス」にLDAPサーバのIPアドレスを入力します。
次へで先に進みます、
2)下記画面が表示されます。
①LDAP管理者のIDを入力します。
②上記管理者のパスワードです。
③LDAPを構築した時のBase DNを入力します。
例)dc=✕✕✕
「次へ」で先に進むと、LDAPのチェックが開始され、チェック完了後、下記画面が表示されます。
■「LDAPユーザ」と「LDAPグループ」のタブが追加されます。
3.LDAPグループにアクセス権を設定する
LDAPグループタブを開きアクセス権を付与します。
・administrators、Directory Operators
総てのフォルダとアプリケーションにR/W権限を与えます。
・Directory Clientsグループ
一般ユーザが利用して良いフォルダとアプリケーションにR/W権限を与えます。
以上でLDAPをSynologyのサーバに設定でき、LDAPユーザがアクセスできるようになりました。
3.LDAP Serverにユーザホーム機能を与える
ローカルユーザの時と同様にLDAPユーザにもユーザホーム機能を設定する事ができます。
①LDAPユーザタブを開きます。
■上記の「ユーザーホーム」ボタンを挿入します。
②下記画面が表示されます
■「LDAPユーザー向けにホームサービスを有効にする」に✔をつけます。
■「OK」ボタンを挿入します。
以上でLDAPユーザにもユーザホーム機能がONになりました。
メモ
この状態のままだと管理者以外にも「homes」フォルダが見えてしまいます。これを
[管理者]
「homes」と「home」フォルダに読み書き権限を持たせる
[ユーザ]
「home」フォルダに読み書き権限を持たせる
以上の設定を行います。
③コントロールパネルから共有フォルダアイコンをクリックする。
④homesフォルダを選択して「編集」ボタンを挿入します。
■「homes」を選択後、「編集」ボタンを挿入します。
⑤下記が表示されます。
<全般タブの設定>
■「マイネットワークでこの共有フォルダを非表示にする」に✓を付けます。
以上でNASをSMBでマウントした時に「homes」フォルダは総てのユーザから見えなくなります。
しかし管理者だけには見せたいので下記の設定を行います。
<高度な権限タブの設定>
■上図の「高度な共有権限」ボタンを挿入します。
表示された画面から「LDAPグループ」を選択します。
■「adoministrators」にR/W権限を付与して下さい。
以上で管理者だけが「homes」が見え、一般ユーザには「home」フォルダのみが見える様になりました。
4.ログインとLDAPユーザへの移行方法
1.ログイン方法
SynologyのDSM、WebDAV、VPN、Photo Statinにログインできるのは「ローカルユーザ」又は「LDAPユーザ」になりますが両者に同一名が存在するか否かで挙動が異なります。
■ローカルに同一名が無い場合
「ユーザ名」、「ユーザ名@LDAPドメイン名」いづれでLDAPユーザでログインできます。
■ローカルに同一名がある場合
「ユーザ名」でログインすると、ローカルユーザでログインされます。
「ユーザ名@LDAPドメイン名」でログインすると、LDAPのIDでログインされます。
私の設定例
私はローカルユーザにはサーバID(admin等)のみを登録し、バックアップはこのIDを利用しています。
Synologyのシステム管理者及び一般ユーザは総てLDAPユーザとして登録し、各種アプリケーションへのログインは「ユーザ名」のみでログインする方法を採用しています。
注)実際のログインは「ユーザ名@LDAPドメイン名」になります。
2.個人フォルダの移行方法
個人フォルダの保存場所と移行方法
[ローカルユーザ]
homesフォルダ直下のID名の下に保存されます。
[LDAPユーザ]
homesフォルダの中の「@LH-ドメイン名」の下にID名が作られ、そこに保存されます。
移行方法
File Stationを2つ立上げ、ドラッグ&ドロップでコピーします
3.Note Stationのデータの移行方法
Note Stationのデータは「システム情報」と「Note Stationアプリ」が関連付けられて保存されています。
個人フォルダの様にドラッグ&ドロップは使えないので、移行方法は下記になります。
①ローカルユーザでログインして、Note Stationからデータをエクスポートします。
「××××××.nsx」というファイルが作成されます。
②LDAPユーザでログインして、Note Stationを立ち上げ、上記ファイルをインポートします。
これでデータ移行が完了します。
4.WevDAVアクセスをLDAPユーザにする時の注意点
WebDAVのアクセス権はコントロールパネルの下記アイコンから設定して下さい。
ユーザのWebDAVへのアクセス権があるか?をチェックしてください。
無い場合はグループでアクセス権を設定します。
5.VPNアクセスをLDAPユーザにする時の注意点
VPNのアクセス権は「VPN Server」の全般設定にあります。
全般設定を開き「アカウントタイプ」を「LDAPユーザ」にして下さい。