Synology のDS218の運用を開始して数年経過しているが、監視カメラの管理と映像保管用途にしか使っていなかったが、ここにきて、仕事用の容量2TBのNAS(RAID1)が容量不足に陥りそうになっているため、9TB(RAIDなし)のDS218を冗長化して仕事用に使う事にした…というのが前回までの話。
そこまでは良かったが…。
DS218は監視カメラの管理と録画データの保管も担っているためAD(Active Directory)には参加させられない。
DS218の共有フォルダを開こうとADに参加している仕事用PC達からエクスプローラー経由でアクセスすると、資格情報の入力が求められるが、DS218の資格情報を入力すると、Windowsが勝手にドメインプレフィックスを付けてしまい、DS218へアクセスできなくなってしまう。
資格情報マネージャから事前にアカウント登録しておけば良いのだけれど、面倒…。
NASへのアクセス時はNASのLDAPサーバで認証してもらえばいんじゃね?
と思い始めた。
Synology DS218にLDAP Serverを立てる
SynologyのLDAP Server設定で、Providerサーバーと顧客サーバーという選択ができる。
それぞれ以下の役割となるため、新規にLDAPを立ち上げるなら、Providerサーバになるだろう。
- Providerサーバー(プロバイダー)
-
LDAPのマスタサーバで、アカウント情報を管理・保存・配信する。
- 顧客サーバー(Consumer)
-
LDAPのレプリカサーバー。Providerサーバーから定期的にデータを複製してローカルで認証を提供する。
自身ではアカウント情報を管理せず、Providerに依存。
Providerサーバーを立てる
ドメインは AD で管理しているので、AD管理ドメインと区別するため FQDNは ldap として生成した。
NASをLDAPに参加させる
コントロールパネルの「ドメイン/LDAP」から、「参加」を選択し、LDAPに参加する。
Bind DNはLDAPサーバを作成した時の認証情報に表示されている文字列をコピペして貼り付ける。
同様に、Base DNもコピペする。
LDAPにアカウントを追加する
LDAPユーザを追加する。
名前とパスワードを設定する。
ローカルアカウントと違い、パスワードは8桁以上の制限があった。
フォルダにグループでアクセス権限を設定したい場合はグループも作成して、ユーザーを割り当てておく。
共有フォルダにLDAPアクセス権限設定
LDAPへの参加が済んでいれば、権限タブ選択時に、コンボボックスからLDAPグループやLDAPユーザが選択できるようになっているので、好きな方を選んで設定する。
私はLDAPグループをフォルダに割り当てた。
Windowsから共有フォルダへアクセスする
共有フォルダへアクセスすると、ネットワーク資格情報を聞いてくるので、
ユーザ名:ldap\test
パスワード:設定したパスワード
を入力する事で、
LDAPアカウントでの認証が行われる。
※ユーザ名の ldapは LDAPサーバを作った時のfqdnにあたる。ちなみにds218\testでもいける。
という事で、NASの共有フォルダがLDAP管理下に入り、LDAP管理の資格情報を利用して接続できる様になりました。
これで仕事用の資産を安心して退避できるようになりました。