ユーザーの管理
[LDAP Server] > [ユーザー] で設定に関連するユーザーとアカウント/パスワードを管理することができます。
ユーザー
[ユーザー] タブには、LDAP Server のユーザーを管理するためのオプションがあります。
ユーザーを作成する:
以下の手順に従って、ユーザーアカウントを作成してください。
- [作成]をクリックします。これを実行すると、ユーザー作成ウィザードウィンドウが開きます。
- LDAP ユーザーに関する以下の情報を指定して、[次へ] をクリックします。
- 名前:ユーザーの名前は、LDAP データベースに uid の属性で保存されます。
- 説明(任意):ユーザーの説明は、gecos の属性で保存されます。
- 電子メール (オプション):ユーザーの電子メールアドレスは、mail の属性として保存されます。
- パスワード:ユーザーのパスワードは、userPassword の属性で保存されます。
- アカウントパスワードの変更をユーザーに許可しない(任意):この情報は、shadowMin の属性でして保存されます。
- このアカウントを無効にする(任意):この情報は、shadowExpire の属性で保存されます。
- チェックボックスにチェックを入れて、以下の組み込みグループにユーザーを追加してから、[次へ] をクリックします。
- ユーザー:これはすべての LDAP ユーザーのデフォルト グループです。このグループのユーザーが administrators グループに追加されていない場合は、そのユーザーには DSM または LDAP の管理権がありません。
- Directory Operators:このグループに追加されたユーザーは、LDAP データベースの管理権を持ちます。
- Administrators:このグループに追加されたユーザーは、DSM admin が持つ管理権限と同じ権利を有します。
- 必要に応じて、追加のユーザー属性を編集し、[次へ] をクリックしてください。
- [適用] をクリックして設定を終了します。LDAP データベースにおけるユーザーの専用名は、uid=[username],cn=[users],[Base_DN] となります。
注:
アカウントに有効期限を設定したり、ユーザーがパスワードを変更できないようにしたりすることができます。
ユーザーをインポートする:
以下の手順に従って、ユーザーアカウントをインポートしてください。
- [作成] の横にある矢印をクリックします。[ユーザーのインポート] を選択します。
- アップロードするファイルを選択します。このファイルには、CSV 形式のタブで区分けしたユーザー情報が含まれています。
- プレビューが正しいことを確認し、[OK] をクリックしてユーザーをインポートします。
ファイル フォーマット:
インポートするファイルを準備する場合、異なるユーザー アカウントは別の列に保管し、次の順番で(左から右へ)値をタブで区切ってください。
- ユーザー名
- パスワード
- 説明
- 電子メール
- 従業員番号
- 部門
- 従業員のタイプ
- タイトル
- 勤務先の電話(数字、ダッシュ「-」、プラス記号「+」、カッコ「(」と「)」を使用でき、最大文字数は 32 文字です)
- 自宅の電話(数字、ダッシュ「-」、プラス記号「+」、カッコ「(」と「)」を使用でき、最大文字数は 32 文字です)
- 携帯電話(数字、ダッシュ「-」、プラス記号「+」、カッコ「(」と「)」を使用でき、最大文字数は 32 文字です)
- 住所
- 誕生日(2000/1/1 のように、YYYY/MM/DD のフォーマットで入力します)
ユーザーを編集する:
アカウントの設定を編集するには、ユーザー アカウントを選択してそれをダブルクリックするか、[編集] をクリックします。
ユーザーを削除する:
あるユーザーを削除するには、ユーザーを選択し、[削除] をクリックします。
ユーザーをアクティベートする:
現在ロック、無効、期限切れになっているユーザー アカウントを選択し、[アクティベート] をクリックして状態を [正常] に変更します。
詳細設定
[詳細設定] タブには詳しいユーザー設定を編集するためのオプションがあります。
高度なユーザー設定を構成する:
必要に応じてオプションにチェックマークを付けてください。
- ログイン失敗時に詳しい情報を表示する:アカウントが無効になっているためにログインできないことをユーザーに知らせる場合は、このオプションを有効にします。
- ユーザーにパスワード以外の個人設定を変更させない:ユーザーにパスワード以外の情報 (Eメールアドレスや説明など) を編集させない場合は、このオプションを選択します。
- 管理者がパスワードをリセットした後は、強制的にユーザーにパスワードを変更させます:管理者がパスワードをリセットした後、ユーザーにパスワードを強制的に変更させる場合は、このオプションを有効にします。
- パスワード長の規則を適用する:ユーザーにパスワードの強度規則を設定するには、このオプションを有効にします。これを実行するには、下の規則から最低 1 つのパスワード制限を選択してください。
- ユーザー名および説明文はパスワードに使用しない:パスワードにユーザーの名前、あるいはユーザーの説明を使用するべきではありません。UTF-8 暗号化文字は例外です。
- 大文字と小文字の混在を含む:パスワードに大文字と小文字を混在させる必要があります。
- 数字を含む:パスワードには最低 1 個の数字 (0~9) を混ぜて使用します。
- 特殊文字を含む:パスワードには最低 1 個の ASCII 特殊文字(例: ~ ` ! @ # $ % ^ & * ( ) - _ = + [ { ] } \ | ; : ' " < > / ?)を使用します。
- 最小パスワード長:パスワードはテキスト欄で指定した値よりも長くなければなりません。6 文字から 127 文字までの範囲で設定できます。
- パスワード履歴 (回数):パスワードは、指定した回数だけ記録されます。ユーザーは、履歴に記載されている古いパスワードを再度使用することはできません。
注:
- 新しいパスワード強度規則は新しいユーザー アカウントを作成したとき、または既存のユーザーがそのパスワードを変更したときにだけ適用されます。既存のパスワードとインポートしたユーザー アカウントに属するパスワードは、新しいパスワード規則の対象から除外されます。
- パスワードの強度の規則を変更すると、次回のログオン時にすべてのユーザーにパスワードの変更を強制するかどうかを選択できます。これは、管理者やユーザーを含むすべてのユーザーに適用されます。
- いくつかのオプション、ユーザー名および説明文はパスワードに使用しない、大文字と小文字の混在を含む、数字を含む、最小パスワード長 (デフォルトは8文字) がデフォルトでチェックされます。
- [パスワード長の規則を適用する] がチェックされている場合、ユーザーは [最小パスワード長] がチェックされていなくても空以外のパスワードの設定が求められます。
- パスワードの強度を高めるには、[最小パスワード長] を 8 に設定し、最初の 5 つのオプションのうち少なくとも 3 つを有効にすることをお勧めします。
パスワードの有効期限を有効にする:
DSM ユーザー アカウントのセキュリティを高めるには、パスワードの期限切れポリシーを設定して、強制的に定期的にパスワードを変更させるようにします。
- パスワードの最大有効期限(日数):システムがパスワードの変更を求めるまで使用できるパスワードの最大回数を設定します。
- パスワードの最小有効期限(日数):システムがパスワードの変更を求めるまで使用できるパスワードの最低回数を設定します。
- 期限が切れる前に、ログイン時にパスワードを変更するよう促す(日数):パスワードの期限が切れる前にパスワード変更するようユーザーに要求する場合は、このオプションを有効にします。
- 期限が切れた後、ユーザーによるパスワード変更を許可する:パスワードの期限が切れた後、ユーザーにパスワードを変更させるには、このオプションを有効にします。パスワードを変更しなければ、ユーザーは DSM にログインできなくなります。
- Eメールで期限切れを通知する:指定した回数で期限切れを知らせるEメールを送信する場合は、このオプションを有効にします。カンマで区切ると複数の日にちを入力できます。
注:
パスワードの有効期限を有効にすると、指定した日よりも古いすべてのパスワードは無効になります。
自動ロック
自動ロック機能は、何度もログインに失敗したアカウントをロックすることで、Synology NAS のセキュリティを高める機能です。これにより、アカウントが強硬な攻撃により破壊される危険性を低減できます。
自動ロックを有効にする:
- [自動ロックを有効にする] を選択します。
- [ログイン回数] 欄にログイン試行回数を入力し、[有効時間(分)] 欄に分数を入力します。指定した時間内に指定した回数以上ログインに失敗すると、そのアカウントはロックされます。
- [ロックの有効期限を有効にする] を選択してから、指定した分数を過ぎたらロックしたアカウントを削除します。
- [適用] をクリックして設定を保存します。