
Active Directory プラグインについて学ぶ
Windows 2000 サーバまたは Windows 2003 サーバの Active Directory ドメイン内の基本的なユーザアカウント情報にアクセスするように Mac OS X を設定することができます。これは「ディレクトリアクセス」用の Active Directory プラグインによって可能になります。Active Directory プラグインは、「ディレクトリアクセス」の「サービス」パネルにリストされています。
基本的なユーザアカウント情報を取得するために、Active Directory のスキーマを変更する必要はありません。ただし、コンピュータアカウントでプロパティを読み込めるようにするには、特定の属性のデフォルトのアクセス制御リスト(ACL)を変更する必要のある場合があります。Active Directory プラグインでは、Active Directory ユーザアカウントの標準属性から Mac OS X 認証に必要なすべての属性が生成されます。プラグインは、パスワード変更、失効、および強制変更など、Active Directory 認証方式もサポートしています。
Active Directory プラグインにより、Active Directory ドメインにおけるユーザアカウントの GUID(Globally Unique ID)に基づいて、一意のユーザ ID とプライマリグループ ID が動的に生成されます。生成されるユーザ ID とプライマリグループ ID は、異なる Mac OS X コンピュータへのログインにアカウントが使用される場合であっても、各ユーザアカウントについて常に同一です。もう一つの方法として、Active Directory プラグインで強制的に、指定した Active Directory 属性へのユーザ ID のマッピングを実行させることもできます。
Mac OS X に Active Directory ユーザアカウントでログインすると、Active Directory プラグインによって Mac OS X コンピュータの起動ボリュームにホームディレクトリが作成されます。またプラグインにより、ユーザの Windows ホームディレクトリ(Active Directory ユーザアカウントで指定)を共有ポイントとしてデスクトップにマウントするよう Mac OS X に指示されます。ユーザは Finder を使って、「ネットワーク」グローブの Windows ホームディレクトリと Mac OS X ホームディレクトリ間でファイルをコピーすることができます。
ユーザが Mac OS X に Active Directory のユーザ名とパスワードを使ってログインするたびに、Active Directory プラグインによって Mac OS X コンピュータの認証資格情報をキャッシュさせることができます。これにより、コンピュータがネットワークに接続されていないときでも、ユーザは同じコンピュータに再びログインできます。資格情報のキャッシュは、有効にしたり無効にしたりすることができます。
Active Directory スキーマが Mac OS X レコードタイプ(オブジェクトクラス)と属性を含むように拡張されている場合は、Active Directory プラグインによってそれらが自動的に検出されアクセスされます。たとえば、Windows 管理ツールを使って、Mac OS X Server で管理されるクライアント属性を含むように、Active Directory スキーマを変更することができます。この変更により、Active Directory プラグインで、「ワークグループマネージャ」の「環境設定」モジュールで行った管理クライアントの設定をサポートできるようになります。Mac OS X クライアントは、ディレクトリに追加された属性への完全な読み込みアクセス権を持ちます。したがって、これらの追加された属性をコンピュータアカウントで読み込めるようにするには、属性の ACL を変更することが必要となる場合があります。
Active Directory プラグインにより、Active Directory フォレストにあるすべてのドメインが自動的に検出されます。フォレスト内の任意のドメインのユーザが Mac OS X コンピュータで認証されるように、プラグインを設定することができます。また、クライアントで特定のドメインのみが認証されるように、複数ドメインの認証を無効にすることもできます。
Active Directory プラグインでは、Active Directory の複製とフェイルオーバーを完全にサポートしています。複数のドメインコントローラが検出され、最も近いものが決定されます。ドメインコントローラが使用できなくなった場合、プラグインによって近くにある別のドメインコントローラに自動的に切り替えられます。
Active Directory プラグインでは LDAP を使って Active Directory ユーザアカウントにアクセスし、Kerberos を使って認証します。Active Directory プラグインでは、ディレクトリまたは認証サービスの取得に、Microsoft 専有の ADSI(Active Directory Services Interface)は使用しません。