Authentik으로 홈서버 SSO 구현하기 (7) – 시놀로지 회원 가입(계정 자동 생성) 구현하기

728x90

개요

시놀로지는 다 좋고 편한데 회원 가입을 능동적으로 처리하는 기능이 없습니다. 기본 기능만을 사용할 경우, 관리자가 계정을 생성하고 사용자가 최초 로그인 시 무조건 비밀번호를 변경하도록 구성하는 것 정도가 최선이죠.

왜냐하면, 계정 컨트롤은 시놀로지 DSM이 수행해야 할 본연의 기능이고, 외부 클라이언트는 '인증'정도만 거들어주게 되어있기 때문입니다.

그런데, AD/LDAP의 경우에는, DSM을 클라이언트로 가입시키면, 해당 서비스에 있는 계정이 자동적으로 연동됩니다. 이를 이용해서 관리자의 특별한 행동이 없어도, 이용자가 자동적으로 시놀로지 계정을 얻을 수 있도록 구성할 수 있습니다.

먼저, 기본적으로 Authentik에서 이용자가 스스로 계정을 생성할 수 있도록 환경을 만들어 주어야 합니다. 이를 위한 선택지에는, 외부 OpenID 소스를 연동(구글 등)하거나, 비밀번호 규칙을 설정한 뒤 회원 가입 스테이지를 열어주는 등의 방법이 있습니다.

해당 내용은 이전에 작성한 글의 링크로 대신하겠습니다.

Authentik으로 홈서버 SSO 구현하기 (6) – 회원 가입, 초대 코드, 소셜 로그인

개요Authentik의 Provider를 이용해 많은 서비스를 연동하는 것까진 완료했지만, 아직 회원을 받는 기능은 없습니다.주변 지인들에게 계정을 발급할 때, 하나하나 생성해 주어야 하는 귀찮은 점은 아

worklazy.net

Authentik의 계정 정보를 DSM에서 연동하기 위해서는 Authentik의 LDAP가 필수적으로 구성되어야 합니다.

LDAP를 구성하고, 시놀로지 DSM과 연동하는 방법 역시 기존 글의 링크로 대신하겠습니다.

Authentik은 LDAP 정보를 넘겨줄 때 uuid값을 넘겨주기 때문에, 클라이언트 측에선 계정ID가 해쉬값으로 넘어오는 단점이 있습니다.

따라서 아래 링크글의 내용대로 맵핑 시 uid=cn으로 매핑해주는 과정이 꼭 필요합니다.

Authentik으로 홈서버 SSO 구현하기 (2) – LDAP

2025년 1월 6일 변경사항 : LDAP Provider 변경된 버전에 맞춰 내용 수정 LDAP 구성하기실생활에서 LDAP를 제일 쉽게 접할 수 있는 곳은 회사입니다. 로그인, 네트워크 장치 정보 등을 중앙에 모아놓고

worklazy.net

이 예제글에서는 DSM에 연결할 도메인을 dsm.example.com으로 사용하겠습니다.

제일 먼저 OAuth2/OpenID Provider를 생성합니다.

구성을 마친 후에 애플리케이션도 하나 생성해 줍니다.

여기까지 구성을 완료했다면, 다음 과정은 DSM에서 진행하게 됩니다.

LDAP링크글을 따라 시놀로지에서 LDAP연동까지 완료했다면, 제어판 → LDAP/도메인 → SSO 클라이언트를 순차적으로 클릭합니다.

그리고 OpenID Connect SSO 서비스 활성화를 클릭합니다.

그리고 아래와 같이 입력합니다.

프로파일 : OIDC
계정 유형 : 도메인/LDAP/로컬
이름 : Authentik
Well-known URL : https://{authentik도메인}/application/o/{slug}/.well-known/openid-configuration
(Authentik 공급자에서 확인 가능)
응용 프로그램 ID : 클라이언트 ID
응용 프로그램 비밀 : 클라이언트 기밀
리디렉션 URI : https://dsm.example.com/#/signin
권한 부여 범위 : openid email profile
사용자 이름 클레임 : sub(또는 preferred_username)