現在位置: ホーム / ブログ / QNAP NAS の LDAP ディレクトリへの接続

QNAP NAS の LDAP ディレクトリへの接続

2017/8/2 (QNAP) - LDAP は、集中管理サーバー内にすべてのユーザーおよびグループの情報を格納するディレクトリです。 管理者は、LDAP ディレクトリ内のユーザーを管理し、複数の NAS サーバーに同じユーザー名とパスワードで接続させることができます。

LDAP とは何か?

LDAP とは、Lightweight Directory Access Protocol(ライトウェイト ディレクトリ アクセス プロトコル)という意味です。 集中管理サーバー内にすべてのユーザーおよびグループの情報を格納するディレクトリです。 LDAP を使って、管理者は、LDAP ディレクトリ内のユーザーを管理し、複数の NAS サーバーに同じユーザー名とパスワードで接続させることができます。

 

本アプリケーションノートは、管理者およびLinux サーバー、LDAP サーバー、Samba に関する知識のあるユーザーを対象としています。 QNAP NAS の LDAP 機能を使用する場合は、LDAPサーバーが稼働していることが必要です。

必要な情報/設定:

  • LDAP サーバーの接続情報および認証情報
  • ユーザーおよびグループが格納されている LDAP の構造
  • LDAP サーバーのセキュリティ設定

次のステップにしたがって、QNAP NAS を LDAP ディレクトリに接続します。

  1. NAS のウェブインターフェースに管理者としてログインします。
  2. [Access Right Management(アクセス権管理)]>[Domain Security(ドメインセキュリティ)]と進みます。 デフォルトでは、「No domain security(ドメインセキュリティなし)」のオプションが有効になっています。 これは、ローカル NAS ユーザーのみが NAS に接続できることを意味します。
  3. [LDAP authentication(LDAP 認証)]を選択し、設定を行います。

  • LDAP Server Host(LDAP サーバーホスト): LDAP サーバーのホスト名あるいは IP アドレスです。
  • LDAP Security(LDAP セキュリティ): NAS の LDAP サーバーとの通信方法を指定します:
    1. ldap:// = 標準 LDAP 接続を使用します(デフォルトポート: 389).
    2. ldap:// (ldap + SSL) = SSL の暗号化接続を使用します(デフォルトポート: 686). 旧バージョンの LDAP サーバーで使用します。
    3. ldap:// (ldap + TLS) = TLS の暗号化接続を使用します(デフォルトポート: 389). 新バージョンの LDAP サーバーで使用します。
  • BASE DN: LDAP ドメインです。 例: dc=mydomain,dc=local
  • Root DN: LDAP ルートユーザーです。 例 cn=admin, dc=mydomain,dc=local
  • Password(パスワード): ルートユーザーのパスワードです。
  • Users Base DN(ユーザーベース DN): ユーザーを格納する OU (組織ユニット)です。 例: ou=people,dc=mydomain,dc=local
  • Groups Base DN(グループベース DN): グループを格納する OU (組織ユニット)です。 例 ou=group,dc=mydomain,dc=local
  • Password Encryption Type(パスワード暗号化タイプ): LDAP サーバーがパスワードを格納する際使用する暗号化タイプを選択します。 LDAP サーバー設定と同じである必要があります。

[APPLY(適用)]をクリックして、設定を保存します。 設定に成功すると、NAS は LDAP サーバーに接続できるようになります。

NAS 上の共有フォルダーにアクセスできるように LDAP ユーザーおよびグループのアクセス権を設定します。

 

NAS サーバーが LDAP サーバーに接続されている場合、管理者は次の操作を行います:

  • [Access Right Management(アクセス権管理)]>[Users(ユーザー)]と進み、ドロップダウンメニューから[Domain Users(ドメインユーザー)]を選択します。 LDAP ユーザー一覧が表示されます。
  • [Access Right Management(アクセス権管理)]>[User Groups(ユーザグループ)]と進み、ドロップダウンメニューから[Domain Groups(ドメイングループ)]を選択します。 LDAP グループ一覧が表示されます。
  • LDAP ドメインユーザーまたは LDAP ドメイングループのフォルダーアクセス権を[Access Right Management(アクセス権管理)]>[Shared Folders(共有フォルダー)]>[Folder Permissions(フォルダーアクセス権)]で指定します。qnap


Microsoft ネットワークの LDAP 認証に関する技術的要件:

LDAP ユーザーを Microsoft ネットワーク(Samba)で認証するには次の項目が必要です:

  1. LDAP サーバー内で LDAP と Samba 間のパスワードを同期させるサードパーティのソフトウェア。
  2. Samba スキーマの LDAP ディレクトリへのインポート。

(1) サードパーティソフトウェア:

Samba パスワードを含む LDAP ユーザーを管理できるソフトウェアはいくつかあります。 例:

  • LDAP Account Manager (LAM) ウェブベースのインターフェースで、以下で取得できます: http://www.ldap-account-manager.org/
  • smbldap-tools (コマンドラインツール)
  • webmin-ldap-useradmin - Webmin 用 LDAP ユーザー管理モジュール。

(2) Samba スキーマ:

Samba スキーマを LDAP サーバーにインポートする方法は、LDAP サーバーの文書または FAQ を参照してください。

samba.schema ファイルが必要で、Samba ソース配布物の examples/LDAP ディレクトリ内にあります。

LDAP サーバーが稼働している Linux サーバー内の open-ldap の例(Linux のディストリビューションによって異なります):

Samba スキーマをコピーします:

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > 
/etc/ldap/schema/samba.schema

/etc/ldap/slapd.conf (openldap サーバー設定ファイル)を編集し、ファイル内に次の行があることを確認します:

include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema

設定例:

以下は、設定の例です。 これらは必須ではありませんし、LDAP サーバの設定と一致するように適応させる必要があります:

  1. Linux OpenLDAP Serve(Linux OpenLDAP サーバー):

    Base DN: dc=qnap,dc=com
    Root DN: cn=admin,dc=qnap,dc=com
    Users Base DN(ユーザーベース DN): ou=people,dc=qnap,dc=com
    Groups Base DN(グループベース DN): ou=group,dc=qnap,dc=com

  2. Mac Open Directory Server(Mac オープンディレクトリサーバー)

    Base DN: dc=macserver,dc=qnap,dc=com
    Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
    Users Base DN(ユーザーベース DN): cn=users,dc=macserver,dc=qnap,dc=com
    Groups Base DN(グループベース DN): cn=groups,dc=macserver,dc=qnap,dc=com