Active Directoryにバインドする方法

ある程度規模のあるオフィスで複数台のWindowsを使用している場合、コンピュータへのログイン方法として’ユーザ名@ドメイン名’(または’ドメイン名?ユーザ名’)という方法を使用している人がほとんどだと思います。

これは、WindowsサーバーのActive Directory機能を使って、ユーザ情報を一元管理している環境で、このような管理をするメリットは、クライアントパソコン毎にユーザ設定を行う必要がなくなること。

Mac OS X(10.5の場合は10.5.2以上)なら、Windowsと同様にドメインに参加することができます。

管理者に対してMacのIPアドレスとコンピュータ名の登録を依頼しておけば、後は Mac OS Xの /アプリケーション/ユーティリティにある「ディレクトリユーティリティ」を使ってActive Directoryの設定を行うだけ。

ドメインにコンピュータを参加させてしまえば、後はドメインユーザを使用してMacにログインしたり、共有フォルダのアクセス権設定にドメインユーザやドメイングループを割り当てたり、アドレスブックのディレクトリからドメインユーザを検索することも可能になります。

以下に、Mac OS Xをドメインに参加させる方法を簡単に紹介しましょう。

●ステップ1:サーバー管理者にコンピュータ名の登録を依頼
  1. ドメイン内のネットワークで単一となるコンピュータ名(半角英数字とハイフンのみ)を決め、その名前をActive Directory に登録してもらう。このとき、登録したコンピュータ名の管理者(コンピュータをドメインに参加させることができるユーザ)を自分のドメインユーザにしておいてもらうと便利
  2. 可能ならば固定IPアドレスを管理者から発行してもらう(Mac に限らず、Windowsサーバー環境下ではできるだけDHCPでは利用しない方がよい)
    ※必要に応じて、WINSのアドレスやサブネットマスクなどの情報も入手しよう。
    ネットワーク接続そのものが確立していないと、ドメインにアクセスすらできなくなる。

●ステップ2:ネットワークの設定を整える
コンピュータ名の登録がすんだら、まずは「システム環境設定 - ネットワーク」で「詳細…」パネルを開き、以下の項目を設定すること
  • 固定IPがもらえたのであれば、TCP/IP 、DNS の構成を「手入力」にして、サーバー管理者の指示通りに設定する
  • WINSのNetBIOS 名でコンピュータ名 とワークグループ、WINS サーバーアドレスを登録する。コンピュータ名については、固定IPであれば、自動的に入力されるはずです。
  • 正しい設定になっているかどうか?はWindows側でコマンドプロンプトを開き、「ping ‘コンピュータ名’」を実行して応答を確認する。この操作はMac OS Xのターミナルでも可能。

次にMac OS Xの/アプリケーション/ユーティリティから“ディレクトリユーティリティ”を起動しましょう。

ステップ3:Active Directory にバインド
  1. ディレクトリユーティリティの画面右下のカギをクリックし、「詳細設定を表示」をクリック、ツールバーの「サービス」をクリック。
    //imgcp.aacdn.jp/img-a/auto/auto/aa/gm/article/2/4/5/9/directoryutill.jpg
    上図は詳細設定が表示している状態のためボタン名が「詳細設定を隠す」に変わっています
  2. 「Active Directory」をクリックして「適用」ボタンをクリックし、左下のえんぴつアイコンをクリックする。
    //imgcp.aacdn.jp/img-a/auto/auto/aa/gm/article/2/4/5/9/ad1.jpg
    適用ボタンはネットワーク設定を変更する毎に押してみよう
  3. 「Active Directory のドメイン:」に「ドメイン名のFQDN」をすべて大文字で記入(例:DOMAIN.COMPANY.COM)し、コンピュータIDに、事前にサーバー管理者に登録を依頼したコンピュータ名を入力(例:kinoshitamac001)

    //imgcp.aacdn.jp/img-a/auto/auto/aa/gm/article/2/4/5/9/adsetname.jpg
    「詳細オプションを表示」をクリックすることで、より細かな設定が可能になる
  4. 「バインド…」をクリックして、Windowsネットワークでのユーザ名(ドメインユーザ)、パスワードを入力。コンピュータ OU:は自動的に入力されるので、あとは「OK」ボタンを押せば完了だ。うまくいかない場合は、一度 最初の画面に戻って「適用」ボタンを押してからやりなおしてみましょう。

    //imgcp.aacdn.jp/img-a/auto/auto/aa/gm/article/2/4/5/9/adbind.jpg
    ユーザ名は「’ログイン名@ドメイン名’」の’ログイン名’のみを入力。環境によっては’ログイン名@ドメイン名のFQDN’(上の例ではkinoshita@DOMAIN.COMPANY.COMとなる)を入力する必要があるかもしれない

  5. 以上までが成功したら、あとはシステム環境設定-アカウントを開き、「ログインオプション」で「自動ログイン」を「無効」、「ログイン時の表示」を「名前とパスワード」に変更する。次にログインするときにログインパネルでドメインユーザとパスワードを入力すれば、そのユーザ専用のホームフォルダが自動的に作成され、Macを利用できるようになります。

ドメインに参加させずに使用する場合

前述のActive Directoryの設定をせずに、ネットワーク環境下にとりあえずつなげたい場合、システム環境設定 - ネットワークで「詳細…」パネルを開きWINSの項目で「NetBIOS 名」に任意の名前、「ワークグループ」 にドメイン名を指定しておくと便利でしょう。

ワークグループ名をWindowsネットワークのドメイン名と一致させることで、Windowsマシンからネットワークコンピュータの参照したときにMacが参照できるようになります。このワークグループ名を一致させる方法は、WindowsとMacでピーアツーピアのネットワークを実現する場合でも使える技なので覚えておいてください。

※追加情報:WindowsVista から ドメインに参加したMac OS XのSMB共有フォルダにアクセスできない場合があります。この場合、/etc/smb.conf の include = /var/db/smb.conf 直後の行に「auth methods = winbind」を追加してMacを再起動します。

なお、Windowsからこの SMB共有フォルダにアクセスしてドメインユーザで認証する必要があるときは、ユーザ名@ドメインではなく、ドメイン?ユーザ名 の形式でアクセスしてください。