LDAP Server の設定
Synology NAS を LDAP サーバーとして設定すると、アカウント認証機能が有効になります。
LDAP Server パッケージをインストールし、Synology NAS で起動した後は、[メイン メニュー] > [LDAP Server] の順に進み、サービスを有効にします。
LDAP Server を有効にする
Provider-Consumer 構造は、複数のクライアントが別々の場所にある場合に理想的なソリューションとなります。すべての Consumer サーバーは Provider サーバーからのデータを定期的に複製し、ローカル クライアントのメインの LDAP サーバーとして機能します。Provider サーバーがダウンしていたり、Provider/Consumer サーバーの接続が切断したりしても、Consumer サーバーが機能していればローカル クライアントは影響を受けません。
LDAP Server には 2 種類のサーバーがあります。
- Provider サーバー:お使いのサーバーをマスター サーバーにするには、このオプションを選択してください。すべての Consumer サーバーは、Provider サーバーからデータを複製します。
- Consumer サーバー:Consumer サーバーはその Provider サーバーとリアルタイムで同期し、LDAP サーバーをクローンします。Consumer サーバーの設定を編集するには、Provider サーバーの管理者にお問い合わせください。
Synology NAS を Provider サーバーとして設定する場合は、以下の手順を行います。
- [設定] タブに移動します。[LDAP Server を有効にする]にチェックマークを付けます。
- [Provider サーバー]にチェックマークを付けます。
- [FQDN](Fully Qualified Domain Name) 欄に、LDAP データベースのドメイン名を入力します。
- [パスワード]欄に[Bind DN](下記を参照)のパスワードを入力します。
- パスワードを確認します。
- [適用] をクリックします。
Synology NAS を Provider サーバーのデータを複製する Consumer サーバーとして設定するには、次の手順を行います。
- [設定] タブに移動します。[LDAP Server を有効にする]にチェックマークを付けます。
- [Consumer サーバー]にチェックマークを付けます。
- [Provider のアドレス]欄に、ドメイン名または Provider サーバーの LDAP のデータベースの IP アドレスを入力します。
- [暗号化]欄に接続の暗号化を指定します。デフォルトでは、暗号化は SSL/TLS です。
- [Bind DN]欄に、Provider サーバーの LDAP データベースの Bind DN (下記参照) を入力します。
- [パスワード]欄に[Bind DN](下記を参照)のパスワードを入力します。
- LDAP Server が Consumer サーバーとして機能するとき、Provider サーバーとの接続状態が表示されます。
- [適用] をクリックします。
設定が完了したら、[認証情報]セクションに次のような情報が表示されます。
- Base DN:LDAP Server の LDAP データベースの専用名です。これは指定された FQDN から与えられます。例えば、FQDN が「ldap.synology.com」の場合は、その Base DN は「dc=ldap,dc=synology,dc=com」となります。
- Bind DN:LDAP のrootの専用名となります。例えば、LDAP データベースの Base DN が「dc=ldap,dc=synology,dc=com」の場合、その root の Bind DN は「uid=root,cn=users,dc=ldap,dc=synology,dc=com」となります。
クライアント デバイスを LDAP ディレクトリとバインドする必要がある場合は、Base DN を指定して LDAP データベースに接続し、rootの Bind DN または LDAP 管理者アカウントを認証します。
注:
- LDAP ディレクトリにバインドするには、クライアントにルート DN と Base DN を割り当てなければなりません。
- FQDN についての詳細は、ここをご覧ください。
- Synology NAS にポート転送規則またはファイアウォール規則が設定されている場合は、[コントロール パネル] > [外部アクセス] > [ルーターの設定]または[コントロール パネル] > [セキュリティ] > [ファイアウォール]で、ポート 389(LDAP 接続用)および 636(LDAP SSL 接続用)が正しく設定されていることを確認してください。
接続の設定
次の設定を管理するには、[接続設定]ボタンをクリックします。
- 匿名認証を許可しない:匿名ユーザーに LDAP サーバーへの接続を許可しない場合は、このオプションを有効にします。すべての接続でアカウント/パスワードが必要です。
- 暗号化した着信接続のみ許可する:暗号化した接続を持つクライアントのみサーバーへの接続を許可するには、このオプションを有効にします。
- アイドル接続を切断する (分):指定期間を過ぎると、無作動のクライアントを切断します。
注:
- 接続設定は、Synology NAS が Provider サーバーとして機能している場合にのみ行うことができます。
- 一部の LDAP クライアント (macOS コンピューターなど) は、[匿名認証を許可しない] オプションにチェックマークが付いている場合、LDAP ディレクトリを認証できません。