ナレッジセンター

ドメインとLDAP

ドメインとLDAPについて学ぶ

ドメインとLDAPは、いずれもネットワーク管理において重要なツールです。ドメインは集中管理と高度なセキュリティを提供し、LDAPは柔軟性と標準化の利点をもたらします。これらを組み合わせることで、効率的かつ安全なネットワークリソース管理が可能になります。

ドメインとは?

ドメインとは、ネットワークリソースの集中管理と制御を目的としたネットワーク構造です。ドメインコントローラー(DC)はドメインを管理する中核サーバーとして機能し、ユーザー認証、権限管理、リソース割り当てを担当します。 コンピュータネットワークにおいて、ドメインは通常、DCによって一元管理されるコンピュータ、ユーザー、その他のリソースの集合体を論理的にグループ化する機能を持ちます。ドメインはユーザーとリソースへのアクセスを安全に管理し、ユーザーが単一のアカウントですべてのドメインリソースにアクセスできるようにすることで、ネットワーク管理の簡素化、セキュリティの強化、制御性の向上を実現します。

ドメインの利点

  1. 集中管理:管理者はDCを通じてユーザーアカウント、コンピューター、その他のリソースを一元管理できます。

  2. セキュリティ:ドメインはグループポリシーによる統一的なセキュリティ設定の構成を可能にし、より高いセキュリティを提供します。

  3. シングルサインオン(SSO):ユーザーは、1回のログインでドメインのすべてのリソースにアクセスできます。

LDAPとは?

LDAP(Lightweight Directory Access Protocol)は、ディレクトリサービスへのアクセスと管理に使用されるプロトコルです。ディレクトリサービスは、ユーザー、グループ、デバイスなどの情報を保存および取得するために設計された特殊なデータベースです。LDAPは、ユーザー認証や情報検索に一般的に使用され、SSOや統合ID管理に不可欠なツールとなっています。

LDAPの利点

  1. 標準化:LDAPは オープンスタンダードであり、様々なオペレーティングシステムやアプリケーションで広くサポートされています。

  2. 柔軟性:ユーザーやグループに限定されず、様々なタイプの情報を保存できます。

  3. 拡張性: スキーマ拡張により異なるニーズに対応可能

ドメインとLDAPの主な相違点:

  1. ドメインは主にネットワーク内のコンピュータやリソースを管理・整理するもので、DCによる集中管理によって実現されます。

  2. LDAPはディレクトリサービスへのアクセスと管理に焦点を当て、プロトコルを介してディレクトリサーバーと通信し、ユーザー認証や情報検索を可能にします。

ドメインとLDAPの関係性

ドメインとLDAPは異なる概念ですが、しばしば併用されます。ドメインコントローラーはユーザー情報の保存・取得にLDAPプロトコルを利用することが多いです。例えばMicrosoftのActive Directory(AD)は、ドメインリソース管理のためのLDAPベースのディレクトリサービスです。

ドメイン/LDAPの利点:

  1. 統一管理:LDAPを通じて、ドメインコントローラーはユーザーとリソースを統一的に管理でき、単一インターフェースによるアカウントと権限管理を簡素化し、効率性を向上させます。

  2. セキュリティ強化:グループポリシーによりセキュリティ設定を統一的に構成・適用でき、各デバイスが企業のセキュリティ基準を遵守することを保証します。

  3. シングルサインオン(SSO):従業員は単一アカウントですべてのドメインリソースにアクセス可能。複数のパスワード記憶が不要となり、ユーザーエクスペリエンスが向上し、パスワード関連の問題が減少します。

NASにおけるドメイン/LDAPの活用シナリオ

集中管理と認証

  • シングルサインオン(SSO):ユーザーは 単一アカウントでNASにログインでき、ユーザー管理が簡素化されます。

  • グループポリシー:管理者はドメインコントローラーを通じてNASポリシーを管理し、権限を一元的に設定できます。

  • ユーザーアクセス管理:ユーザーは 、個人およびグループのアクセス権限に基づいて、NAS 上の共有フォルダにアクセスできます。

使用例

  • 新入社員のオンボーディング:ドメイン/LDAPを利用し 、新入社員のアカウントを作成するだけで全ドメインリソースにアクセス可能。迅速な業務開始を実現。

  • リソース共有:異なる部門が同じNASデバイスを共有しながら、各自のフォルダのみにアクセス可能。データセキュリティを確保。

  • 人事異動時:従業員の役割変更時には、ドメインアカウントのグループ権限を調整し、アクセス権限を迅速に更新します。

  • 退職時対応:退職者のドメインアカウントを即時無効化し、全社リソースへのアクセスを直ちに遮断。データセキュリティを確保します。

設定と使用ガイド

UGOS Proでのドメイン設定

  1. コントロールパネルを開き、[ドメイン/LDAP] オプションをクリックします。

  2. 「ドメイン/LDAP への参加」をクリックして、ドメイン/LDAP 参加ウィザードに入ります。

  3. サーバー情報セクションで、サーバータイプを選択し、サーバーアドレスとDNSサーバーを入力します。サーバー設定に基づいてタイプを選択してください。設定後、「次へ」をクリックします。

  1. ドメインアカウントとドメインパスワードを入力します。詳細設定で「ユーザー/グループリストの更新」の同期間隔を設定します。システムはこれに基づいてリストを更新します。設定後「次へ」をクリックします。

  1. システムが設定を確認します。成功したら「確認」をクリックしてください。

  1. チェックが失敗した場合は、プロンプトに従って接続設定を確認してください。「詳細」をクリックすると失敗理由が表示されます。

  1. ポップアップ表示される注意書きを確認し、問題がなければ「OK」をクリックします。

  1. 正常に追加されると、「ドメイン/LDAP」でサーバー情報、ドメインユーザー、ドメインユーザーグループを表示・管理できます。

ドメインを終了

  1. [ドメイン/LDAP] オプションで「ドメインを終了」をクリックします。

  2. 確認ポップアップで「OK」をクリックします。

  3. 現在ログインしている管理者アカウントのパスワードを入力し、「送信」をクリックします。

  4. 退出後、再度ドメインに参加する必要がある場合は、再設定および再接続が必要となります。

UGOS ProでLDAPを設定する

  1. コントロールパネルを開き、[ドメイン/LDAP] オプションをクリックします。

  2. 「ドメイン/LDAP への参加」をクリックして、ドメイン/LDAP 参加ウィザードに入ります。

  3. サーバー情報セクションで、サーバータイプを選択し、サーバーアドレスとDNSサーバーを入力します。サーバーの設定に基づいてタイプを選択してください。設定後、「次へ」をクリックします。

  1. バインドDN/アカウント、パスワード、BASE DNを入力します。暗号化モードにはSSL/TLSとSTARTTLSがあり、必要に応じて設定できます。

  2. 詳細設定で「ユーザー/グループリストの更新」の同期間隔を設定します。システムはこれに基づいてリストを更新します。設定後「次へ」をクリックします。

  1. システムが設定を確認します。成功したら「確認」をクリックしてください。

  1. チェックが失敗した場合は、プロンプトに従って接続設定を確認してください。「詳細」をクリックすると失敗理由が表示されます。

  1. ポップアップ表示される確認事項を読み、問題がなければ「OK」をクリックします。

  1. 追加成功後、「ドメイン/LDAP」でサーバー情報、ドメインユーザー、ドメインユーザーグループを閲覧・管理できます。「テスト」をクリックするとサーバーの接続状態を確認できます。詳細設定では「ユーザー/グループリストの更新」の同期間隔を設定可能です。

LDAPを終了

  1. [ドメイン/LDAP]オプションで「ドメインを終了」をクリックします。

  2. 確認ポップアップで「OK」をクリックします。

  3. 現在ログイン中の管理者アカウントのパスワードを入力し、「送信」をクリックします。

  4. 終了後、再度LDAPに参加する必要がある場合は、再設定と再接続が必要です。

ドメイン/LDAPユーザー/グループの権限を変更する

  • ドメイン/LDAPへの接続に成功すると、「ドメインユーザー」および「ドメインユーザーグループ」でドメイン同期されたユーザーおよびグループ情報を表示できます。ドメインでユーザーおよびグループ情報を更新してもNASに同期されない場合は、「ドメインデータの更新」をクリックして手動で同期できます。

  • デフォルトでは、ドメインユーザーの個人フォルダは無効化されています。有効化するには、ユーザーを選択し、「編集」をクリック、ドメインユーザー情報で「TAの個人フォルダを有効にする」にチェックを入れ、「保存」をクリックします。共有フォルダのクォータとアクセス権限も設定可能です。「編集」をクリックし、「権限と設定」でフォルダアクセス権限を変更、「クォータ」で最大使用クォータを設定し、「保存」をクリックします。

  • ドメインユーザーが通常ユーザー権限の場合、共有フォルダへのアクセスはデフォルトで「アクセス拒否」となります。ユーザーを選択し、「編集」をクリック、「権限と設定」で対象共有フォルダの権限を変更し、「保存」をクリックして手動で権限を変更してください。

  • 一括変更を行うには、ドメインサーバー上でユーザーをドメイングループに追加します。その後、「ドメイン/LDAP」内の「ドメインユーザーグループ」でグループ権限を変更します。グループを選択し、「編集」をクリック、対象の共有フォルダ権限を変更し、「保存」をクリックします。

ドメイン/LDAPアカウントでのUGOS Proへのログイン

ドメインユーザーアカウントでUGOS Proにログインするには、[ドメイン/LDAP]のドメインユーザーリストから該当するドメインユーザー名を探します。その後、そのドメインユーザー名とパスワードを使用してUGOS Proにログインします。

注意事項

  1. ドメインを離脱する際、「ドメインユーザーの個人スペースデータを保持する」が選択されている場合、ドメインユーザーが作成した個人フォルダは削除されません。

  2. ドメインユーザーおよびユーザーグループの権限は、ドメインサーバーで設定されたものと一致します。NAS内で権限を変更する必要がある場合(例:一般ユーザーを管理者へ変更)、[ドメイン/LDAP] > 「ドメインユーザー」の設定を手動で編集・修正してください。

  3. 実際の運用では、ユーザーに対する統一的なID認証とアクセス制御を実現するため、ドメインコントローラー(ADドメイン)またはLDAPディレクトリサービスを構築できます。ドメインまたはLDAPサービスの設定には、Windows Server 2012 R2以降の使用を推奨します。