Active Directory ドメインへの LDAP アクセスを設定する


「ディレクトリアクセス」を使用すると、Windows サーバ上の Active Directory ドメインにアクセスするための LDAPv3 を設定できます。LDAPv3 の設定は、Mac OS X のレコードタイプや属性を Active Directory のオブジェクトクラス、検索ベース、属性などにマッピングする際の細かい制御を提供します。一意のユーザ ID(UID)など、Mac OS X の重要なレコードタイプや属性をマッピングする場合は、Active Directory スキーマを拡張する必要があります。

LDAPv3 の設定には、「ディレクトリアクセス」にリスト表示される Active Directory プラグインの多くの機能が含まれていません。たとえば、一意のユーザ ID やプライマリグループ ID の動的生成、ローカル Mac OS X ホームディレクトリの作成、Windows ホームディレクトリの自動マウント、キャッシュ内の認証資格情報、Active Directory フォレストの全ドメインの検出、Active Directory の複製やフェイルオーバーのサポートなどです。Active Directory プラグインの詳細については、別のヘルプトピックで学ぶことができます。

「ディレクトリアクセス」を使用して、Mac OS X が特定の LDAPv3 または LDAPv2 ディレクトリにアクセスする方法を指定した設定を作成できます。

  1. 「ディレクトリアクセス」で「サービス」をクリックします。
  2. ロックアイコンがロックされている場合は、それをクリックして管理者の名前とパスワードを入力します。
  3. サービスのリストで「LDAPv3」を選択し、「設定」をクリックします。
  4. サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。
  5. 「新規」をクリックし、設定の名前を入力します。
  6. tab キーを押し、Active Directory サーバの DNS 名または IP アドレスを入力します。
  7. DNS 名または IP アドレスの横のポップアップメニューをクリックして、「Active Directory」を選択します。
  8. Active Directory ドメインの検索ベースを入力し、「OK」をクリックします。
  9. オープンディレクトリが Active Directory サーバに接続するときに SSL(Secure Sockets Layer)を使用するように設定する場合は、「SSL」チェックボックスを選択します。

Mac OS X のレコードタイプや属性のいくつかは、LDAPv3 の設定の Active Directory マッピングテンプレートを使用して、Active Directory の標準スキーマに含まれていないオブジェクトクラスや属性にマップされます。テンプレートで定義されているマッピングを変更したり、Active Directory のスキーマを拡張することもできます。(または、LDAPv3 ではなく Active Directory プラグインを介して Active Directory ドメインにアクセスできる場合もあります。)

LDAPv3 の設定を作成した Active Directory ドメインにコンピュータがアクセスするには、「ディレクトリアクセス」の「認証」パネルか「コンタクト」パネルでカスタム検索方式にディレクトリを追加する必要があります。また、「サービス」パネルで「LDAPv3」が有効になっていることを確認してください。これらのタスクの手順は、別のヘルプトピックで説明しています。