FAQ

  • チュートリアル
    2016.03.08

QNAP NAS の LDAP ディレクトリへの接続

LDAP とは何か?

LDAP とは、Lightweight Directory Access Protocol(ライトウェイト ディレクトリ アクセス プロトコル)という意味です。 集中管理サーバー内にすべてのユーザーおよびグループの情報を格納するディレクトリです。 LDAP を使って、管理者は、LDAP ディレクトリ内のユーザーを管理し、複数の NAS サーバーに同じユーザー名とパスワードで接続させることができます。
FAQ-nastoldap01
本アプリケーションノートは、管理者およびLinux サーバー、LDAP サーバー、Samba に関する知識のあるユーザーを対象としています。 QNAP NAS の LDAP 機能を使用する場合は、LDAPサーバーが稼働していることが必要です。

必要な情報/設定:

  • LDAP サーバーの接続情報および認証情報 
  • ユーザーおよびグループが格納されている LDAP の構造 
  • LDAP サーバーのセキュリティ設定
  • 次のステップにしたがって、QNAP NAS を LDAP ディレクトリに接続します。

  • NAS のウェブインターフェースに管理者としてログインします。
  • [Access Right Management(アクセス権管理)]>[Domain Security(ドメインセキュリティ)]と進みます。 デフォルトでは、「No domain security(ドメインセキュリティなし)」のオプションが有効になっています。 これは、ローカル NAS ユーザーのみが NAS に接続できることを意味します。
  • [LDAP authentication(LDAP 認証)]を選択し、設定を行います。
  • FAQ-nastoldap02

  • LDAP Server Host(LDAP サーバーホスト): LDAP サーバーのホスト名あるいは IP アドレスです。
  • LDAP Security(LDAP セキュリティ): NAS の LDAP サーバーとの通信方法を指定します:
  •     1. ldap:// = 標準 LDAP 接続を使用します(デフォルトポート: 389).

        2. ldap:// (ldap + SSL) = SSL の暗号化接続を使用します(デフォルトポート: 686). 旧バージョンの LDAP サーバーで使用します。

        3. ldap:// (ldap + TLS) = TLS の暗号化接続を使用します(デフォルトポート: 389). 新バージョンの LDAP サーバーで使用します。

  • BASE DN: LDAP ドメインです。 例: dc=mydomain,dc=local
  • Root DN: LDAP ルートユーザーです。 例 cn=admin, dc=mydomain,dc=local
  • Password(パスワード): ルートユーザーのパスワードです。
  • Users Base DN(ユーザーベース DN): ユーザーを格納する OU (組織ユニット)です。 例: ou=people,dc=mydomain,dc=local
  • Groups Base DN(グループベース DN): グループを格納する OU (組織ユニット)です。 例 ou=group,dc=mydomain,dc=local
  • Password Encryption Type(パスワード暗号化タイプ): LDAP サーバーがパスワードを格納する際使用する暗号化タイプを選択します。 LDAP サーバー設定と同じである必要があります。
  • [APPLY(適用)]をクリックして、設定を保存します。 設定に成功すると、NAS は LDAP サーバーに接続できるようになります。

    NAS 上の共有フォルダーにアクセスできるように LDAP ユーザーおよびグループのアクセス権を設定します。
    FAQ-nastoldap03
    NAS サーバーが LDAP サーバーに接続されている場合、管理者は次の操作を行います:

  • [Access Right Management(アクセス権管理)]>[Users(ユーザー)]と進み、ドロップダウンメニューから[Domain Users(ドメインユーザー)]を選択します。 LDAP ユーザー一覧が表示されます。
  • [Access Right Management(アクセス権管理)]>[User Groups(ユーザグループ)]と進み、ドロップダウンメニューから[Domain Groups(ドメイングループ)]を選択します。 LDAP グループ一覧が表示されます。
  • LDAP ドメインユーザーまたは LDAP ドメイングループのフォルダーアクセス権を[Access Right Management(アクセス権管理)]>[Shared Folders(共有フォルダー)]>[Folder Permissions(フォルダーアクセス権)]で指定します。
  • FAQ-nastoldap04FAQ-nastoldap05

    Microsoft ネットワークの LDAP 認証に関する技術的要件:

    LDAP ユーザーを Microsoft ネットワーク(Samba)で認証するには次の項目が必要です:
      1.LDAP サーバー内で LDAP と Samba 間のパスワードを同期させるサードパーティのソフトウェア。
      2.Samba スキーマの LDAP ディレクトリへのインポート。

    (1) サードパーティソフトウェア:
    Samba パスワードを含む LDAP ユーザーを管理できるソフトウェアはいくつかあります。 例:

  • LDAP Account Manager (LAM) ウェブベースのインターフェースで、以下で取得できます: http://www.ldap-account-manager.org/
  • smbldap-tools (コマンドラインツール)
  • webmin-ldap-useradmin – Webmin 用 LDAP ユーザー管理モジュール。
  • (2) Samba スキーマ:
    Samba スキーマを LDAP サーバーにインポートする方法は、LDAP サーバーの文書または FAQ を参照してください。samba.schema ファイルが必要で、Samba ソース配布物の examples/LDAP ディレクトリ内にあります。LDAP サーバーが稼働している Linux サーバー内の open-ldap の例(Linux のディストリビューションによって異なります):
    Samba スキーマをコピーします:

    zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
    /etc/ldap/schema/samba.schema

    /etc/ldap/slapd.conf (openldap サーバー設定ファイル)を編集し、ファイル内に次の行があることを確認します:

    include /etc/ldap/schema/samba.schema
    include /etc/ldap/schema/cosine.schema
    include /etc/ldap/schema/inetorgperson.schema
    include /etc/ldap/schema/nis.schema

    設定例:
    以下は、設定の例です。 これらは必須ではありませんし、LDAP サーバの設定と一致するように適応させる必要があります:

      1. Linux OpenLDAP Serve(Linux OpenLDAP サーバー):

        Base DN: dc=qnap,dc=com
        Root DN: cn=admin,dc=qnap,dc=com
        Users Base DN(ユーザーベース DN): ou=people,dc=qnap,dc=com
        Groups Base DN(グループベース DN): ou=group,dc=qnap,dc=com
        Mac Open Directory Server(Mac オープンディレクトリサーバー)

        Base DN: dc=macserver,dc=qnap,dc=com
        Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
        Users Base DN(ユーザーベース DN): cn=users,dc=macserver,dc=qnap,dc=com
        Groups Base DN(グループベース DN): cn=groups,dc=macserver,dc=qnap,dc=com

    ↑