LDAP

LDAP は DiskStation を LDAP クライアントとして既存のディレクトリサービスに追加し、LDAP サーバー(または「directory server」)からユーザー情報やグループ情報を取得できるようにします。ローカル DSM ユーザーやグループで行う場合と同じように、LDAP ユーザーまたはグループの DSM アプリケーションや共有フォルダへのアクセス権を管理することができます。LDAP に関する詳細は、ここを参照してください。

サポートされる LDAP 規格は LDAP バージョン 3 (RFC 2251) です。

DiskStation をディレクトリ サービスに追加するには:

  1. [コントロールパネル] > [ドメイン/LDAP]を選択します。
  2. [LDAP] タブをクリックして、[LDAP クライアントを有効にする] にチェックマークを付けます。
  3. LDAP サーバーの IP アドレスまたはドメイン名を [LDAP サーバーアドレス] 欄に入力します。
  4. [暗号化] ドロップダウン メニューから暗号化の種類を選択して、LDAP サーバーへの LDAP 接続を暗号化します。
  5. [Base DN] 欄に LDAP サーバーの Base DN を入力します。
  6. LDAP サーバーに応じて、適切な [プロファイル] を選択してください。例えば、Synology LDAP Server または Mac Open Directory を使用している場合は、[標準] を選択します。
  7. Samba スキーマに対応しない LDAP サーバーのユーザーが CIFS で DiskStation のファイルにアクセスできるようにするには、[CIFS 書式なしパスワード認証] にチェックマークを付けてください。LDAP ユーザーがそれぞれのコンピュータを使用して、CIFS を介して DiskStation ファイルにアクセスできるようにするには、下のセクションを参照してください。
  8. [適用] をクリックします。
  9. Bind DN(または LDAP 管理者のアカウント)を入力し、専用の欄にパスワードを入力した後、[OK] をクリックします。

CIFS サポートとクライアントコンピュータの設定について

CIFS を介して DiskStation ファイルにアクセスできるようにするには、CIFS 書式なしパスワード認証を有効にした後、LDAP ユーザーがコンピュータの設定を変更する必要があるかもしれません:

Windows 設定を編集するには:

  1. [スタート] > [ファイル名を指定して実行] を選択し、regedit と入力した後、[OK] をクリックするとレジストリ エディタが開きます。
  2. Windows バージョンによって、次のレジストリを検索するか作成します:
    • Windows 2000、XP、Vista、Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1)、98、Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. DWORD 値 EnablePlainTextPassword を作成または変更し、その値を 0 から 1 に変更します。
  4. 変更内容を有効にするために、Windows を再起動します。

Mac OS X の設定を変更する:

  1. [アプリケーション] > [ユーティリティ] に移動し、[端末] を開きます。
  2. 空白のファイル /etc/nsmb.conf を作成します:
    sudo touch /etc/nsmb.conf
  3. vi で /etc/nsmb.conf を開きます:
    sudo vi /etc/nsmb.conf
  4. 「i」を入力してテキストを挿入し、次のキーを貼り付けます:
    [default]
    minauth=none
  5. Esc キーを押して「ZZ」と入力し、変更内容を保存して vi を終了します。

Linux の設定を変更する:

smbclient をご使用の方は、smb.conf[global] セクションに次のキーを追加してください:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

mount.cifs をお使いの方は、次のコマンドを実行してください:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

詳細はhttps://www.kernel.org/doc/readme/Documentation-filesystems-cifs-READMEを参照してください。

プロファイルについて

LDAP サーバーによってアカウント名、グループ名に使用する属性や、アカウントとグループを区別するための属性は異なります。[プロファイル] オプションは、ユーザーやグループ情報がどのように LDAP の属性に割り当てられるかを指定したり、カスタマイズしたりします。次のプロファイルの 1 つは、LDAP サーバーによって選択できます:

LDAP の属性のマッピングをカスタマイズするには、多少の知識が必要です。Synology DSM とプロファイル エディタ両方とも RFC 2307 に準拠しています。例えば、[filter] > [passwd]userFilter として指定することができます。この場合、DiskStation は LDAP サーバー上の objectClass=userFilter を LDAP アカウントとして記録を解釈します。passwd > uidusername として指定すると、DiskStation は LDAP サーバー上の username をアカウント名として解釈します。マッピングを指定しなければ、RFC 2307 規則が適用されます。

DiskStation が LDAP アカウント識別子(uidNumber)、またはグループ識別子(gidNumber)として機能するには、固定整数が必要です。ただし、すべての LDAP サーバーが整数を使ってこのような属性を代表する訳ではありません。したがって、このような属性を整数に変換するために、HASH() と言うキーワードが提供されています。例えば、LDAP サーバーが十六進数を持つ userid と言う属性を LDAP アカウントの専用識別子として使用する場合があります。この場合、passwd > uidNumberHASH(userid) に設定すると、DiskStation がそれを整数に変換します。

以下は、カスタマイズできる属性をまとめたものです。

UID/GID シフトについて

LDAP ユーザー/グループとローカル ユーザー/グループの間で UID/GID の競合の発生を阻止するには、UID/GID シフトを有効にして、LDAP ユーザー/グループの UID/GID を 1000000 ごとシフトします。このオプションは、非 Synology LDAP サーバーである LDAP サーバー専用であり、各ユーザー/グループごとに専用の数字 ID を持っています。

ネスト化されたグループの拡張について

ネスト化されたグループでは、LDAP グループ メンバーは、組織の階層が示されている、別の LDAP グループに属しています。ユーザーが、特定のメンバーが属するグループまたは特定のグループの名前リストを検索する際、DiskStation が、LDAP グループのメンバー属性に従ってネスト化されたグループを拡張します。ここでの子グループの DN(識別名)が属性によって参照されます。ネスト化されたグループの拡張は、さまざまな状況下において非常に時間がかかる作業となることがあります。たとえば、サーバーがメンバー属性をインデックス化しないことや、グループが深くネスト化されている場合などがあります。このようなことが発生しないようにするためにも、ネスト化されたグループの拡張を行わないことを選択することができます。

クライアント証明書について

当社はクライアント証明書の使用をサポートしています。いくつかの特定の LDAP サーバー (例えば Google LDAP) はクライアントを認証するために証明書を使用します。[クライアント証明書を有効化] オプションにチェックを入れるとクライアント証明書をアップロードできます。

注:

この機能は DSM 6.2.2 以降でサポートされています。