本アプリケーションノートは、管理者およびLinux サーバー、LDAP サーバー、Samba に関する知識のあるユーザーを対象としています。 QNAP NAS の LDAP 機能を使用する場合は、LDAPサーバーが稼働していることが必要です。
必要な情報/設定:
- LDAP サーバーの接続情報および認証情報
- ユーザーおよびグループが格納されている LDAP の構造
- LDAP サーバーのセキュリティ設定
次のステップにしたがって、QNAP NAS を LDAP ディレクトリに接続します。
- NAS のウェブインターフェースに管理者としてログインします。
- [Access Right Management(アクセス権管理)]>[Domain Security(ドメインセキュリティ)]と進みます。 デフォルトでは、「No domain security(ドメインセキュリティなし)」のオプションが有効になっています。 これは、ローカル NAS ユーザーのみが NAS に接続できることを意味します。
- [LDAP authentication(LDAP 認証)]を選択し、設定を行います。
- LDAP Server Host(LDAP サーバーホスト): LDAP サーバーのホスト名あるいは IP アドレスです。
- LDAP Security(LDAP セキュリティ): NAS の LDAP サーバーとの通信方法を指定します:
- ldap:// = 標準 LDAP 接続を使用します(デフォルトポート: 389).
- ldap:// (ldap + SSL) = SSL の暗号化接続を使用します(デフォルトポート: 686). 旧バージョンの LDAP サーバーで使用します。
- ldap:// (ldap + TLS) = TLS の暗号化接続を使用します(デフォルトポート: 389). 新バージョンの LDAP サーバーで使用します。
- BASE DN: LDAP ドメインです。 例: dc=mydomain,dc=local
- Root DN: LDAP ルートユーザーです。 例 cn=admin, dc=mydomain,dc=local
- Password(パスワード): ルートユーザーのパスワードです。
- Users Base DN(ユーザーベース DN): ユーザーを格納する OU (組織ユニット)です。 例: ou=people,dc=mydomain,dc=local
- Groups Base DN(グループベース DN): グループを格納する OU (組織ユニット)です。 例 ou=group,dc=mydomain,dc=local
- Password Encryption Type(パスワード暗号化タイプ): LDAP サーバーがパスワードを格納する際使用する暗号化タイプを選択します。 LDAP サーバー設定と同じである必要があります。
[APPLY(適用)]をクリックして、設定を保存します。 設定に成功すると、NAS は LDAP サーバーに接続できるようになります。
NAS 上の共有フォルダーにアクセスできるように LDAP ユーザーおよびグループのアクセス権を設定します。
Microsoft ネットワークの LDAP 認証に関する技術的要件:
LDAP ユーザーを Microsoft ネットワーク(Samba)で認証するには次の項目が必要です:
- LDAP サーバー内で LDAP と Samba 間のパスワードを同期させるサードパーティのソフトウェア。
- Samba スキーマの LDAP ディレクトリへのインポート。
(1) サードパーティソフトウェア:
Samba パスワードを含む LDAP ユーザーを管理できるソフトウェアはいくつかあります。 例:
(2) Samba スキーマ:
Samba スキーマを LDAP サーバーにインポートする方法は、LDAP サーバーの文書または FAQ を参照してください。
samba.schema ファイルが必要で、Samba ソース配布物の examples/LDAP ディレクトリ内にあります。
LDAP サーバーが稼働している Linux サーバー内の open-ldap の例(Linux のディストリビューションによって異なります):
Samba スキーマをコピーします:
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema
/etc/ldap/slapd.conf (openldap サーバー設定ファイル)を編集し、ファイル内に次の行があることを確認します:
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
設定例:
以下は、設定の例です。 これらは必須ではありませんし、LDAP サーバの設定と一致するように適応させる必要があります:
- Linux OpenLDAP Serve(Linux OpenLDAP サーバー):
Base DN: dc=qnap,dc=com
Root DN: cn=admin,dc=qnap,dc=com
Users Base DN(ユーザーベース DN): ou=people,dc=qnap,dc=com
Groups Base DN(グループベース DN): ou=group,dc=qnap,dc=com
- Mac Open Directory Server(Mac オープンディレクトリサーバー)
Base DN: dc=macserver,dc=qnap,dc=com
Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
Users Base DN(ユーザーベース DN): cn=users,dc=macserver,dc=qnap,dc=com
Groups Base DN(グループベース DN): cn=groups,dc=macserver,dc=qnap,dc=com