製品ポータルサイト

FAQ

チュートリアル

2016.03.08

QNAP NAS の LDAP ディレクトリへの接続

LDAP とは何か？

LDAP とは、Lightweight Directory Access Protocol（ライトウェイトディレクトリアクセスプロトコル）という意味です。集中管理サーバー内にすべてのユーザーおよびグループの情報を格納するディレクトリです。 LDAP を使って、管理者は、LDAP ディレクトリ内のユーザーを管理し、複数の NAS サーバーに同じユーザー名とパスワードで接続させることができます。
FAQ-nastoldap01
本アプリケーションノートは、管理者およびLinux サーバー、LDAP サーバー、Samba に関する知識のあるユーザーを対象としています。 QNAP NAS の LDAP 機能を使用する場合は、LDAPサーバーが稼働していることが必要です。

必要な情報/設定：

LDAP サーバーの接続情報および認証情報 

ユーザーおよびグループが格納されている LDAP の構造 

LDAP サーバーのセキュリティ設定

次のステップにしたがって、QNAP NAS を LDAP ディレクトリに接続します。

NAS のウェブインターフェースに管理者としてログインします。

［Access Right Management（アクセス権管理）］>［Domain Security（ドメインセキュリティ）］と進みます。デフォルトでは、「No domain security（ドメインセキュリティなし）」のオプションが有効になっています。これは、ローカル NAS ユーザーのみが NAS に接続できることを意味します。

［LDAP authentication（LDAP 認証）］を選択し、設定を行います。

FAQ-nastoldap02

LDAP Server Host（LDAP サーバーホスト）： LDAP サーバーのホスト名あるいは IP アドレスです。

LDAP Security（LDAP セキュリティ）： NAS の LDAP サーバーとの通信方法を指定します：

　　　　1. ldap:// = 標準 LDAP 接続を使用します（デフォルトポート： 389).

　　　　2. ldap:// (ldap + SSL) = SSL の暗号化接続を使用します（デフォルトポート： 686). 旧バージョンの LDAP サーバーで使用します。

　　　　3. ldap:// (ldap + TLS) = TLS の暗号化接続を使用します（デフォルトポート： 389). 新バージョンの LDAP サーバーで使用します。

BASE DN: LDAP ドメインです。例： dc=mydomain,dc=local

Root DN: LDAP ルートユーザーです。例 cn=admin, dc=mydomain,dc=local

Password（パスワード）：ルートユーザーのパスワードです。

Users Base DN（ユーザーベース DN）：ユーザーを格納する OU （組織ユニット）です。例： ou=people,dc=mydomain,dc=local

Groups Base DN（グループベース DN）：グループを格納する OU （組織ユニット）です。例 ou=group,dc=mydomain,dc=local

Password Encryption Type（パスワード暗号化タイプ）： LDAP サーバーがパスワードを格納する際使用する暗号化タイプを選択します。 LDAP サーバー設定と同じである必要があります。

［APPLY（適用）］をクリックして、設定を保存します。設定に成功すると、NAS は LDAP サーバーに接続できるようになります。

NAS 上の共有フォルダーにアクセスできるように LDAP ユーザーおよびグループのアクセス権を設定します。
FAQ-nastoldap03
NAS サーバーが LDAP サーバーに接続されている場合、管理者は次の操作を行います：

［Access Right Management（アクセス権管理）］>［Users（ユーザー）］と進み、ドロップダウンメニューから［Domain Users（ドメインユーザー）］を選択します。 LDAP ユーザー一覧が表示されます。

［Access Right Management（アクセス権管理）］>［User Groups（ユーザグループ）］と進み、ドロップダウンメニューから［Domain Groups（ドメイングループ）］を選択します。 LDAP グループ一覧が表示されます。

LDAP ドメインユーザーまたは LDAP ドメイングループのフォルダーアクセス権を［Access Right Management（アクセス権管理）］>［Shared Folders（共有フォルダー）］>［Folder Permissions（フォルダーアクセス権）］で指定します。

FAQ-nastoldap04 FAQ-nastoldap05

Microsoft ネットワークの LDAP 認証に関する技術的要件：

LDAP ユーザーを Microsoft ネットワーク（Samba）で認証するには次の項目が必要です：
　　1.LDAP サーバー内で LDAP と Samba 間のパスワードを同期させるサードパーティのソフトウェア。
　　2.Samba スキーマの LDAP ディレクトリへのインポート。

(1) サードパーティソフトウェア：
Samba パスワードを含む LDAP ユーザーを管理できるソフトウェアはいくつかあります。例：

LDAP Account Manager (LAM) ウェブベースのインターフェースで、以下で取得できます： http://www.ldap-account-manager.org/

smbldap-tools （コマンドラインツール）

webmin-ldap-useradmin – Webmin 用 LDAP ユーザー管理モジュール。

(2) Samba スキーマ：
Samba スキーマを LDAP サーバーにインポートする方法は、LDAP サーバーの文書または FAQ を参照してください。samba.schema ファイルが必要で、Samba ソース配布物の examples/LDAP ディレクトリ内にあります。LDAP サーバーが稼働している Linux サーバー内の open-ldap の例（Linux のディストリビューションによって異なります）：
Samba スキーマをコピーします：

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema

/etc/ldap/slapd.conf （openldap サーバー設定ファイル）を編集し、ファイル内に次の行があることを確認します：

include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema

設定例：
以下は、設定の例です。これらは必須ではありませんし、LDAP サーバの設定と一致するように適応させる必要があります：

　　1. Linux OpenLDAP Serve（Linux OpenLDAP サーバー）：

　　　　Base DN: dc=qnap,dc=com
　　　　Root DN: cn=admin,dc=qnap,dc=com
　　　　Users Base DN（ユーザーベース DN）: ou=people,dc=qnap,dc=com
　　　　Groups Base DN（グループベース DN）: ou=group,dc=qnap,dc=com
　　　　Mac Open Directory Server（Mac オープンディレクトリサーバー）

　　　　Base DN: dc=macserver,dc=qnap,dc=com
　　　　Root DN: uid=root,cn=users,dc=macserver,dc=qnap,dc=com
　　　　Users Base DN（ユーザーベース DN）: cn=users,dc=macserver,dc=qnap,dc=com
　　　　Groups Base DN（グループベース DN）: cn=groups,dc=macserver,dc=qnap,dc=com

一覧へ戻る

サイトマップ

詳しい製品のご質問や、設置に関するご相談などは、お気軽にご連絡下さい。

お問い合わせ

インターネットからのお問い合わせは、
以下リンク先からお願いします。

詳細はこちら