Mac のディレクトリユーティリティでドメインのアクセスを設定する
重要:Active Directory コネクタの詳細オプションを使用すると、Active Directory スキーマの正しい属性に、macOS の一意なユーザ ID(UID)、プライマリグループ ID(GID)、およびグループ GID 属性をマッピングできます。ただし、後でこれらの設定を変更した場合、ユーザは前に作成されたファイルにアクセスできなくなることがあります。
「ディレクトリユーティリティ」を使用してバインドする
Mac の「ディレクトリユーティリティ」アプリケーション で、「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「Active Directory」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
設定しているコンピュータにバインドしたい Active Directory ドメインの DNS ホスト名を入力します。
DNS ホスト名は、Active Directory ドメインの管理者に問い合わせることができます。
必要に応じて、「コンピュータ ID」を編集します。
「コンピュータ ID」は、Active Directory ドメイン内でコンピュータの識別に使用される名前であり、コンピュータの名前に初期設定されます。これは、組織の命名方式に適合するように変更できます。入力する名前が分からない場合は、Active Directory ドメインの管理者に問い合わせてください。
重要:コンピュータ名にハイフンが含まれている場合は、LDAP や Active Directory などのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まないコンピュータ名を使用してください。
(オプション)「ユーザ環境」パネルでオプションを選択します。
「モバイルユーザのアカウントを設定する」、「ユーザアカウントのホームフォルダを設定する」、および「Active Directory ユーザアカウントの UNIX シェルを設定する」を参照してください。
(オプション)「マッピング」パネルでオプションを選択します。
グループ ID、プライマリ GID、および UID を Active Directory 属性にマップするを参照してください。
(オプション)詳細オプションを選択します。詳細オプションの設定は、後で変更することもできます。
詳細オプションが表示されていない場合は、ウインドウ内の開閉用三角ボタンをクリックします。
このドメインサーバを優先:デフォルトでは、サイト情報とドメインコントローラの応答状況を使用して、使用するドメインコントローラが決定されます。ここで同じサイトのドメインコントローラを指定した場合は、そのコントローラが最初に参照されます。ドメインコントローラが使用できない場合は、デフォルトの動作に戻ります。
管理を許可するユーザ:このオプションを有効にすると、リストにある Active Directory グループのメンバー(デフォルトでは、domain admins と enterprise admins)に、ローカルの Mac での管理アクセス権が付与されます。目的のセキュリティグループをここで指定することもできます。
フォレスト内の任意のドメインから認証:デフォルトでは、自動的にすべてのドメインで認証を検索します。Mac がバインドされているドメインだけに認証を限定するには、このチェックボックスの選択を解除します。
以下を参照してください:
「バインド」をクリックしてから、以下の情報を入力します:
注記:ユーザは、Active Directory でコンピュータをドメインにバインドする権限を持っている必要があります。
「ユーザ名」と「パスワード」:自分の Active Directory ユーザアカウントの名前とパスワードを入力して認証できる場合があります。認証できない場合は、Active Directory ドメインの管理者の名前とパスワードを使用する必要があります。
「コンピュータ OU」:設定しているコンピュータの組織単位(OU)を入力します。
「認証に使用」:Active Directory をコンピュータの認証検索ポリシーに追加する場合に選択します。
「連絡先に使用」:Active Directory をコンピュータの連絡先検索ポリシーに追加する場合に選択します。
「OK」をクリックします。
設定しているコンピュータと Active Directory サーバ間に信頼されたバインディングが設定されます。認証時に選択したオプションに従ってコンピュータの検索ポリシーが設定され、「ディレクトリユーティリティ」の「サービス」パネルで Active Directory が有効になります。
Active Directory の詳細オプションのデフォルト設定では、「認証に使用」オプションを選択した場合はコンピュータの認証検索ポリシーに、「連絡先に使用」オプションを選択した場合は連絡先情報検索ポリシーに、Active Directory フォレストが追加されます。
ただし、「バインド」をクリックする前に、「管理」詳細オプションパネルで「フォレスト内の任意のドメインから認証」の選択を解除した場合は、フォレストではなく、最も近くにある Active Directory ドメインが追加されます。
後で、Active Directory フォレストまたは個別のドメインを追加または削除することによって、検索ポリシーを変更できます。検索ポリシーを定義するを参照してください。
構成プロファイルを使用してバインドする
構成プロファイルのディレクトリペイロードでは、Active Directory にバインドするように 1 台の Mac を構成したり、何百台もの Mac を自動化したりできます。ほかの構成プロファイルペイロードと同様、ディレクトリペイロードの展開は、手動で、スクリプトを使用して、MDM 登録の一部として、またはクライアント管理ソリューションを使用して行うことができます。
ペイロードは構成プロファイルの一部であり、管理者はペイロードを使用して macOS の特定の部分を管理することができます。「ディレクトリユーティリティ」の場合と同じ機能を「プロファイルマネージャ」で選択します。その際、Mac コンピュータで構成プロファイルを取得する方法を選択します。
Mac App Store から macOS Server をダウンロードします。
「Server ヘルプ」に移動してから、「プロファイルマネージャ」を構成します。
IT 管理者向けモバイルデバイス管理設定の「ディレクトリ設定」を開き、Active Directory ペイロードを作成します。
コマンドラインを使用してバインドする
「ターミナル」アプリケーションで dsconfigad
コマンドを使用して、Mac を Active Directory にバインドすることができます。
たとえば、次のコマンドを使用して、Mac を Active Directory にバインドすることができます:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Mac をドメインにバインドした後で、dsconfigad
を使用して、「ディレクトリユーティリティ」で管理オプションを設定できます:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
コマンドラインの詳細オプション
Active Directory のネイティブサポートには、「ディレクトリユーティリティ」に表示されないオプションが含まれています。それらの詳細オプションを表示するには、構成プロファイルのディレクトリペイロードを使用するか、dsconfigad
コマンドラインツールを使用します。
コマンドラインオプションの確認を開始するには、dsconfigad man ページを開きます。
コンピュータオブジェクトのパスワード間隔
Mac システムを Active Directory にバインドすると、システムのキーチェーンに保存されるコンピュータ・アカウント・パスワードが Active Directory によって設定され、Active Directory は Mac によって自動的に変更されます。デフォルトのパスワード間隔は 14 日ごとですが、ディレクトリペイロードまたは dsconfigad
コマンドラインツールを使用して、ポリシーに必要な任意の間隔を設定できます。
値を 0 に設定すると、アカウントパスワードの自動変更が無効になります:dsconfigad -passinterval 0
注記:コンピュータオブジェクトのパスワードは、パスワード値としてシステムキーチェーンに保存されます。パスワードを取得するには、「キーチェーンアクセス」を開き、システムキーチェーンを選択してから、「パスワード」カテゴリを選択します。「/Active Directory/DOMAIN」のように表示されるエントリーを見つけます。「DOMAIN」は、Active Directory ドメインの NetBIOS 名です。このエントリーをダブルクリックしてから、「パスワードを表示」チェックボックスを選択します。必要に応じて、ローカル管理者として認証します。
名前空間のサポート
macOS は、Active Directory フォレスト内のさまざまなドメインに存在する同じ略称(またはログイン名)を持つ複数のユーザの認証をサポートします。ディレクトリペイロードまたは dsconfigad
コマンドラインツールを使用した名前空間のサポートを有効にすることで、あるドメインのユーザが 2 番目のドメインのユーザとして同じ略称を持つことができます。両方のユーザとも、ドメインとその後に続く略称の名前を使用してログインする必要があります(「DOMAIN\略称」)。これは、Windows PC へのログインと似ています。このサポートを有効にするには、以下のコマンドを使用します:
dsconfigad -namespace <forest>
パケットの署名と暗号化
Open Directory クライアントは、Active Directory との通信に使用される LDAP 接続に署名して暗号化することができます。署名済みの SMB サポートが macOS にあれば、Mac コンピュータを使用できるようにするためにサイトのセキュリティポリシーをダウングレードする必要はありません。また、署名されて暗号化された LDAP 接続では、SSL 経由で LDAP を使用する必要がありません。SSL 接続が必要な場合は、以下のコマンドを使用して、SSL を使用するように Open Directory を構成します:
dsconfigad -packetencrypt ssl
ドメインコントローラで使用する証明書は、SSL 暗号化が正常に行われる点で信頼できる必要があります。ドメインコントローラの証明書が macOS ネイティブの信頼できるシステムルートから発行されてない場合は、証明書チェーンをシステムのキーチェーンにインストールして信頼できるようにしてください。macOS でデフォルトで信頼できる認証局は、「システムルート」のキーチェーンにあります。証明書をインストールして信頼を確立するには、以下のいずれかの操作を行います:
構成プロファイルの証明書ペイロードを使用して、ルート証明書や必要な中間証明書を読み込む
「/アプリケーション/ユーティリティ/」にある「キーチェーンアクセス」を使用する
セキュリティコマンドを次のように使用する:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
ダイナミック DNS を制限する
デフォルトでは、macOS は、すべてのインターフェイスに対して DNS のアドレス(A)レコードをアップデートしようとします。複数のインターフェイスが構成されている場合、これは DNS に複数のレコードが存在する結果になることがあります。この動作を管理するには、ディレクトリペイロードまたは dsconfigad
コマンドラインツールを使用して、DDNS(Dynamic Domain Name System)をアップデートするときに使用するインターフェイスを指定します。DDNS アップデートを関連付けるインターフェイスの BSD 名を指定します。BSD 名は「デバイス」フィールドと同じで、次のコマンドで返されます:
networksetup -listallhardwareports
スクリプトで dsconfigad
を使用する場合は、ドメインへのバインドに使用するクリアテキストパスワードを含める必要があります。通常、ほかの管理者権限のない Active Directory ユーザは、Mac コンピュータをドメインにバインドする責任を委任されます。このユーザ名とパスワードのペアは、スクリプトに保存されます。スクリプトは通常、バインディング後にそのスクリプト自体によって確実に削除されるので、この情報はストレージデバイス上に存在しなくなります。