
Active Directory ドメインへのアクセスを設定する
「ディレクトリアクセス」に表示される Active Directory プラグインを使用すると、Windows サーバ上の Active Directory ドメインの基本的なユーザアカウント情報に Mac OS X でアクセスするように設定できます。Mac OS X の認証に必要な属性はすべて、Active Directory プラグインで生成されます。Active Directory のスキーマを変更する必要はありません。ただし、Mac OS X クライアントの管理に必要な属性など、Mac OS X 標準のレコードタイプや属性を含めるように Active Directory のスキーマを拡張した場合は、こうした属性やレコードタイプが Active Directory プラグインによって検出され、アクセスされます。
重要:Active Directory プラグインの詳細オプションを使用すると、Active Directory スキーマに追加された適切な属性に Mac OS X の UID(unique user ID)属性をマップすることができます。後でこのマッピングオプションを変更した場合は、以前作成したファイルにユーザがアクセスできなくなる可能性があります。
- 「ディレクトリアクセス」で「サービス」をクリックします。
- ロックアイコンがロックされている場合は、それをクリックして管理者の名前とパスワードを入力します。
- サービスのリストで「Active Directory」を選択し、「設定」をクリックします。
- 設定対象のコンピュータが属している Active Directory のフォレストとドメインの、ホストサーバの DNS 名を入力します。
フォレストとドメインの名前は、Active Directory ドメインの管理者から入手できます。1 つのフォレストに 1 つのドメインしかない場合は、フォレストとドメインに同じ名前を入力します。
- コンピュータ ID を入力します。これは、設定対象のコンピュータが Active Directory ドメインで割り当てられている名前です。
- 「バインド」をクリックし、Active Directory ドメインへの接続を設定する権限があるユーザとして認証して、「OK」をクリックします。
名前とパスワード:Active Directory のユーザアカウントの名前とパスワードを入力すると、認証できる場合があります。認証できない場合は、Active Directory ドメインの管理者が名前とパスワードを提供する必要があります。
- 必要に応じて詳細オプションを設定します。
詳細オプションが表示されていない場合は、「詳細オプションの表示」をクリックします。
「オフライン操作時に最後のユーザログインをキャッシュする」:Active Directory のスキーマを変更せずにオフライン資格情報の使用を有効にするには、このオプションを選択します。この選択は、コンピュータにログインするユーザのデフォルト設定と見なされます。オープンディレクトリのドメインや LDAP ディレクトリの大半のドメインで、同様の機能が管理クライアントの設定によって提供されています。ユーザアカウントに実際の管理クライアントの設定がある場合は、このオプションは無視されます。
「複数のドメインで認証する」:フォレスト内のどのドメインのユーザでもこのコンピュータで認証できるようにするには、このオプションを選択します。このオプションを選択しなかった場合は、カスタム認証検索方式を設定するときにフォレスト内の特定ドメインのリストが表示され、検索方式に個々のドメインを追加できるようになります。
「このドメインサーバを優先する」:特定のサーバの Active Directory ドメインをデフォルトで使用したい場合にこのオプションを選択して、そのサーバの DNS 名を指定します。以降このサーバが使用不可になった場合は、Active Directory プラグインにより、フォレスト内の近くの別のサーバが自動的に使用されます。このオプションを選択しなかった場合は、フォレスト内の最も近い Active Directory が自動的に指定されます。
「UID を次の属性にマップする」:Active Directory サーバがすでに UNIX コンピュータ対応に設定されているなどの理由で、Active Directory のスキーマが拡張されてユーザごとに一意の UID(unique user ID)が格納される場合は、UID を格納する属性を指定できます。このオプションを選択しなかった場合は、 Active Directory の標準の GUID 属性に基づいて UID が自動的に生成されます。
「管理を許可するユーザ」:グループのリストを指定して、そのメンバーにこのコンピュータでの管理タスクの実行(ソフトウェアのインストールなど)を許可する場合は、このオプションを選択します。リストのグループ名はカンマで区切ります。セキュリティのため、グループ名は所属先のドメイン名で修飾する必要があります(例:ADS\Domain Admins,IL2\Domain Admins)。このオプションは、ドメイン管理者ではないデスクトップ管理者に管理者アクセスが必要な場合などに便利です。
設定が完了した Active Directory ドメインにコンピュータをアクセスさせるには、「サービス」パネルで「Active Directory」を有効にする必要があります。
さらに、「ディレクトリアクセス」の「認証」パネルか「コンタクト」パネルでカスタム検索方式に Active Directory ドメインを追加する必要があります。
- ステップ 7 で「複数のドメインで認証する」を選択した場合は、Active Directory のフォレストをカスタム認証検索方式に追加することによって、フォレスト内のどのドメインのユーザでもこのコンピュータで認証できるようになります。
- 「複数のドメインで認証する」を選択しなかった場合は、検索方式にドメインを個別に追加できます。
Active Directory サービスを有効にする方法とカスタム検索方式を定義する方法は、別のヘルプトピックで説明しています。