설치와 기본 사용법에 대해서는 다음을 참고 하십시오.
- DSM 설치 – https://www.youtube.com/watch?v=PrVAehzT8Yk
- DSM 기본 사용법 – https://www.synology.com/ko-kr/knowledgebase/DSM/help/DSM/Tutorial/home
2019년 7월10일 Synology Directory Server의 명칭이 LDAP Server로 변경되었습니다. 본문중의 Directory Server는 모두 LDAP서버를 지칭 합니다. 이름만 바뀌었을 뿐 내용은 같습니다.
사용자들의 계정을 공유하기 위해서는 LDAP 혹은 Active Directory 서버가 필요합니다. Synology DSM자체도 LDAP계정을 충실히 지원하므로, LDAP에 계정을 생성하면, 후에 설명드릴 Synology의 많은 서비스들이 계정정보를 공유할 수 있습니다. 그래서 단일 계정으로 Synology의 파일 서버 권한과 다른 서비스(예를 들어 Xwiki등)의 권한을 동일하게 유지할 수 있어 매우 편리합니다. 또한 퇴사자가 발생하면, Directory 서버에 들어가서 해당 계정을 비활성화 하는 것으로 모든 서비스의 이용을 중지 시킬 수 있습니다.
윈도우즈 사용자들의 계정관리를 위해서는 Directory Server for Windows Domain을 설치하면 되는데, 저희는 사용하지 않고 있습니다.
Directory Server
통합 계정관리를 위해 설치해 줍니다.
적용을 누르면 하단의 인증정보가 표시됩니다. LDAP 서버와 연동하기 위한 정보이니 메모해 둡니다.
사용자를 생성합니다. 필요하면 그룹관리에서 그룹을 생성합니다. 저희는 디폴트로 있는 users 그룹 이외에 팀별 그룹(team-mgmt, team-dev1, …)과 인턴그룹, 외주 직원 그룹 등을 생성하였습니다.
사용자가 많아서 일일히 클릭질로 생성하기 어려운 경우에는 다음 필드들이 탭으로 구분된 csv파일을 만듭니다. 사용자 메뉴중 생성 우측의 아래 화살표를 클릭하여 사용자 가져오기를 선택하고 저장한 cvs 파일을 업로드 합니다. (필드의 값이 없는경우에는 빈탭)
- 사용자 이름
- 패스워드
- 설명
- 이메일
- 직원 번호
- 부서
- 직원 유형
- 직책
- 직장 전화번호(숫자, 대시 ‘-‘, 더하기 기호 ‘+’, 괄호 ‘(‘ 및 ‘)’ 포함 가능, 최대 32자)
- 집 전화전화(숫자, 대시 ‘-‘, 더하기 기호 ‘+’, 괄호 ‘(‘ 및 ‘)’ 포함 가능, 최대 32자)
- 휴대 전화번호(숫자, 대시 ‘-‘, 더하기 기호 ‘+’, 괄호 ‘(‘ 및 ‘)’ 포함 가능, 최대 32자)
- 주소
- 생일(YYYY/MM/DD 형식(예: 2000/1/1))
DSM의 파일 서비스 등을 위해 LDAP 계정을 사용하도록 구성해 줍니다. 제어판-도메인/LDAP을 구성 합니다.
적용을 누르면, 인증정보에 대해서 물어 옵니다. 아까 메모했던 인증정보를 사용합니다.
이제부터는 사용자 관리를 위해서 제어판-사용자를 사용하는 것이 아니고, Directory Server의 사용자 관리를 사용하면 됩니다. 또한, 사용자 관리의 고급 탭을 보시면 패스워드에 대한 정책등을 설정 할 수 있습니다. 가급적 엄격한 정책이 좋을 것이나, 너무 엄격한 정책은 사용자를 괴롭힐 수 있을 것입니다.
DNS Server
local DNS는 사내에서 사용하기 위한 전용 DNS입니다(사내에서 사용하기 위한 전용 DNS입니다. 외부의 인터넷 사용자에게 서비스하는 DNS가 아님을 주의 하십시오. 또한 local DNS를 만드는 이유나 장단점은 본 글의 주제에 벗어나므로 생략합니다). DNS 서버에서 정방향 영역을 하나 만듭니다.
마스터 DNS 서버에는 현재 돌아가고 있는 synology NAS의 IP를 적어 줍니다. 대부분의 경우에는 사내에서 고정 IP 로 할당 되었을 것입니다.
이제 생성된 영역을 더블클릭 하여 호스트들을 등록 해 줍니다. 주소를 넣을 경우 A 로, 다른 주소에 이름만 변경하려면 CNAME으로 등록해 줍니다. 저희는 모든 도메인에 대해 Synology NAS를 경유할 것이기 때문에 NAS의 주소를 적어 주면 됩니다.
이렇게 DNS를 설정한다고 해서 사용자들이 자동으로 저 DNS를 이용하는것은 아닙니다. 사용자 각 PC의 DNS를 수동으로 설정하거나 DHCP서버의 DNS항목을 변경하여, 이 DNS를 사용하도록 변경하여야 합니다. 보통의 경우에는 공유기의 DHCP 서버 기능을 이용하여 설정합니다(각 공유기의 설명서를 참고하세요 입력하는 항목은 아래와 동일 합니다). DSM에도 DHCP 서버 기능이 있습니다. 제어판-DHCP Server 항목을 선택 합니다(항목이 보이지 않는다면 우측 상단 고급모드> 를 클릭 하십시오). 이렇게 설정하면 각 사용자들이 자동으로 IP를 할당 받으면서 DNS를 우리가 설정한 NAS의 local DNS를 이용하도록 만들 수 있습니다.
NAS 기종에 따라 포트가 여러개 있는 경우도 있으니 연결된 포트를 선택 하시고 편집을 선택 합니다. 도멘인 이름을 example.io 라고 주시면 접속시 work 라고만 해도 work.example.io를 찾아 갑니다. 임대시간은 초단위로 입력하며, 너무 길면 사용하고 있지 않아도 다른 사람에게 할당되지 못하고, 너무 짧으면 자꾸 IP가 변경 될 수 있어 불편할 수 있습니다. 아래와 같이 설정하면 사용자는 192.168.1.35 ~ 100 사이의 주소를 가지게 됩니다. 사내에 서버들은 고정 IP를 가져야 하므로 모든 가용영역을 DHCP영역으로 주는 것은 바람직 하지 않을 수 있습니다(물론 IP를 할당받은후 DNS를 자동으로 갱신하여 호스트명으로 항상 접속 가능하게 할 수 있습니다만, 본 주제와는 벗어남으로 다음 기회에 작성해 보겠습니다).
공유폴더 설정
NAS의 기본 임무는 Storage 즉, 파일을 저장하는 것이므로 사용자들이 파일 서버를 이용할 수 있도록 공유 폴더를 만듭니다. 제어판에서 공유 폴더를 선택하고 생성을 눌러 공유 폴더 생성 마법사를 선택 합니다.
다음을 계속 눌러서 생성하고 나면, 권한을 물어 올 것입니다. 상당 콤보박스에서 LDAP 그룹을 선택하고 users@example.io 가 읽기/쓰기가 가능하도록 만듭니다. 마찬가지로 LDAP 그룹을 얼마든지 설정하고 해당 그룹만 접근 가능한 공유폴더를 계속 만들 수 있습니다.
여기 까지 하고 나면 아마도 http://work.example.io:5000 ( 혹은 https://work.example.io:5001) 을 통해서 DSM에 접속하고 File Station 을 통해 개인 폴더와 공유폴더를 접근 할 수 있을 것이며, Windows에서는 탐색기의 주소창에 \\work.example.io\share 를 입력함으로서, Mac에서는 Finder 상에서 커맨드+k를 눌러 afp://work.example.io/share 를 입력함으로서 공유폴더에 접근 할 수 있을 것입니다. 하위 디렉토리를 만들고, 각 디렉토리별로 접근권한을 다시 다르게 주는 것은 관리자의 재량에 따르면 됩니다. 다만 https 접속시 브라우저가 인증서 관련된 경고를 할것입니다. 해당 문제에 대해서는 다른 포스트를 통해 설명 하겠습니다.
유의사항
Directory Server -사용자관리 메뉴의 고급에 보시면 관리자가 패스워드 재설정후 사용자에게 패스워드 변경 강제가 체크되어 있으면 사용자는 반드시 패스워드를 변경 해야 만 계정을 사용할 수 있습니다.
계정을 최초 생성했을때, 그리고 비밀번호를 잊어서 관리자가 다시 디폴트 패스워드로 리셋 해주었을때 사용자는 반드시 DSM에 로그인을 한번 하여 패스워드를 변경하여야만 LDAP을 이용한 다른 시스템의 로그인이 가능해 집니다. 패스워드 변경없이 wiki나 git에 로그인 하려고 하면 로그인이 실패하게 됩니다.
사용자 삭제
사용자 삭제가 필요한 경우 즉시 삭제 하지 않고, 일정기간 비활성화 하는 방법으로 삭제를 처리합니다. 비활성화 된 좀비 계정이 많아지면 그때 일괄 삭제 합니다만, 가급적 물리적인 삭제는 하지 않는 편입니다. 해당 계정이 생성한 wiki/synology office 문서가 보이지 않는다거나 하는 문제가 있을 수 있으니 주의 해야 합니다.
