macOS Sierra 10.12 で Active Directory を利用する場合の準備

MacOS Sierra を Active Directory 環境で使うための条件について説明します。

macOS Sierra で Active Directory を利用するユーザが、ターミナルで kinit コマンドを使って Kerberos チケット認可チケット (TGT) を取得しようとすると、以下のようなメッセージが表示される場合があります。

Encryption type arcfour-hmac-md5(23) used for authentication is weak and will be deprecated.

このメッセージが表示される場合は、Active Directory ドメインが、Kerberos に RC4 暗号しかサポートしていません。この暗号化タイプは脆弱なため、今後のバージョンの macOS では、Kerberos に対する RC4 暗号のサポートは停止されます。

macOS Sierra Active Directory クライアントで引き続き RC4 を使える間に、今後の互換性確保のため、Active Directory ドメインとフォレストを、Kerberos に AES-128 または AES-256 暗号を使うように構成してください。

AES Kerberos 暗号を使っているか確認する

確実に AES Kerberos 暗号が使われるようにするには、kinit コマンドに -e フラグを指定して、TGT の取得時に AES 暗号を明示的にリクエストします。たとえば、以下のように指定します。

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM

このコマンドが正常に実行された場合、Active Directory 環境は AES-128 Kerberos 暗号に対応しています。コマンドを実行できなかった場合は、エラーメッセージが表示されます。

kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC

このエラーが表示された場合は、Active Directory ドメインが AES 暗号に対応していないため、今後 macOS クライアントとの互換性がなくなります。

iOS 10 または macOS Sierra にアップデートする前に、組織で準備を進めておく必要があるその他の変更点について詳しくは、こちらの記事を参照してください。