Macのディレクトリユーティリティを使ってActive Directoryを統合する
Active Directoryコネクタ(ディレクトリユーティリティの「サービス」パネルにあります)を使用して、Windows 2000、またはそれ以降のサーバのActive Directoryドメインの基本的なユーザアカウント情報にアクセスするようにMacを構成できます。
Active Directoryコネクタは、Active DirectoryユーザアカウントからのmacOS認証に必要なすべての属性を生成します。コネクタは、パスワード変更、失効、強制変更、セキュリティオプションなどの、Active Directory認証ポリシーもサポートしています。これらの機能がコネクタでサポートされているため、基本的なユーザアカウント情報を入手するためにActive Directoryドメインのスキーマを変更する必要はありません。
注記: macOS 10.12以降を搭載したコンピュータでは、Windows Server 2008以上のドメイン機能レベルのないActive Directoryドメインに参加できません(明示的に「強度の弱い暗号」を有効にしている場合を除きます)。すべてのドメインのドメイン機能レベルが2008以上の場合でも、Kerberos AES暗号化を使用するには、管理者が各ドメインの信頼を明示的に指定する必要がある場合があります。
macOSを完全にActive Directoryと統合すると、ユーザは以下のようになります:
組織のドメイン・パスワード・ポリシーに従う
同じ資格情報を使用して、セキュリティ保護されたリソースの認証と承認を取得する
Active Directory証明書サービスサーバからユーザおよびマシンの証明書IDを発行される
自動的にDistributed File System(DFS)名前空間をスキャンして、基になる適切なServer Message Block(SMB)サーバをマウントできる
ヒント: Macクライアントは、ディレクトリに追加された属性への完全な読み出しアクセス権を持っているものと見なします。したがって、これらの追加された属性をコンピュータグループで読み出せるように、属性のACLを変更することが必要となる場合があります。
Active Directoryコネクタは、認証ポリシーのほかに、以下もサポートしています:
すべてのWindows Active Directoryドメイン用のパケット暗号化およびパケット署名オプション: この機能は、デフォルトで入(「許可」)になっています。このデフォルト設定は、
dsconfigad
コマンドを使って、無効または必須に変更することができます。パケット暗号化およびパケット署名オプションを有効にすると、Active Directoryドメインのレコードを参照するために送受信されるすべてのデータが保護されます。一意のIDを動的に生成する: コントローラにより、Active DirectoryドメインにおけるユーザアカウントのGUID(Globally Unique ID)に基づいて、一意のユーザIDとプライマリグループIDが生成されます。生成されるユーザIDとプライマリグループIDは、異なるMacコンピュータへのログインにアカウントが使用される場合であっても、各ユーザアカウントについて同一です。グループID、プライマリGID、およびUIDをActive Directory属性にマップするを参照してください。
Active Directoryの複製とフェイルオーバー: Active Directoryコネクタによって複数のドメインコントローラが検出され、最も近いものが決定されます。ドメインコントローラが使用できなくなった場合、コネクタによって近くにあるドメインコントローラが使用されます。
Active Directoryフォレスト内のすべてのドメインを検出する機能: フォレスト内の任意のドメインのユーザがMacコンピュータで認証されるように、コネクタを設定することができます。また、クライアントで特定のドメインのみが認証されるように設定することもできます。Active Directoryフォレスト内のすべてのドメインからの認証を制御するを参照してください。
Windowsホームフォルダをマウントする: ユーザがActive Directoryユーザアカウントを使用してMacにログインしたときに、Active Directoryコネクタによって、Active Directoryユーザアカウントで指定されているWindowsネットワーク・ホーム・フォルダをそのユーザのホームフォルダとしてマウントできます。Active DirectoryスキーマがmacOSのホームディレクトリ属性を含むように拡張されている場合は、Active Directoryの標準のホームディレクトリ属性またはmacOSのホームディレクトリ属性のどちらで指定されているネットワークホームを使用するかを指定できます。
Mac上のローカル・ホーム・フォルダを使用する: Macの起動ボリュームにローカル・ホーム・フォルダを作成するようにコネクタを設定できます。この場合、Active Directoryユーザアカウントで指定されているユーザのWindowsネットワーク・ホーム・フォルダは、共有ポイントのようなネットワークボリュームとしてもマウントされます。Finderを使用すれば、WindowsホームフォルダのネットワークボリュームとローカルのMacホームフォルダとの間でファイルをコピーできます。
ユーザのモバイルアカウントを作成する: モバイルアカウントでは、Macの起動ボリューム上にローカル・ホーム・フォルダが保持されます。(また、ユーザは、ユーザのActive Directoryアカウントで指定されているネットワーク・ホーム・フォルダも保持します。)モバイルユーザのアカウントを設定するを参照してください。
アクセスにLDAP、認証にKerberos: Active Directoryコネクタでは、ディレクトリまたは認証サービスの取得に、Microsoft専有のADSI(Active Directory Services Interface)は使用しません。
拡張スキーマを検出してアクセスする: Active DirectoryスキーマがmacOSレコードタイプ(オブジェクトクラス)と属性を含むように拡張されている場合は、Active Directoryコネクタによってそれらが検出されアクセスされます。たとえば、Windows管理ツールを使用して、macOSで管理対象クライアント属性を含むようにActive Directoryスキーマを変更することができます。このスキーマ変更により、Active Directoryコネクタで、macOS Serverで行われる管理対象クライアントの設定をサポートできるようになります。