Mac OS X v10.4.1 Tiger Server を Windows Server 2003 の ドメインに参加させる.
これは,ユーティリティの「ディレクトリアクセス」で行う. Tiger から ActiveDirectory への参加がかなり改善された. かなり簡単にドメイン参加できることに加えて, 選択項目が増え細かな設定ができる.
まず,システム環境設定の「ネットワーク」にて resolver の 設定を Active Directory の DC に向ける.
ここから,ディレクトリアクセスでの設定.
「Active Directory」を選択し「設定」を選択.
「Active Directory のフォレスト」は自動ではいるのでそのままにし, 「Active Directory のドメイン」にフルドメイン(ad.example.com)を 入力する. で,「バインド」.
バインドがうまくいけば,詳細オプションを表示させて 細かな設定をする
必要なのは...
「ユーザ管理」タブ
「マッピング」タブ
ユーザマッピングは,AD の GID を元に自動的に割り振られる. 割り振られ方は一意なので,別の Mac からもおなじ GID が 振られるので,あまり心配しなくてもいいみたい.
「OK」で元の画面に戻った後, 「認証」タブ,「コンタクト」タブで 「/Active Directory/All Domains」が カスタムパスリストにあることを確認して, 「サービス」タブの「Active Directory」のチェックを入れる.
このあと,「サーバ管理」の「オープンディレクトリ」にて, 「設定」→「一般」をクリック.
んで,「ディレクトリシステムに接続」を選択.
「kerberos へ接続」をクリックして,必要な項目 (管理者のアカウント/パスワード)をいれる.
これは,最初のみで,2回目以降はなぜかうまくいかない. とりあえず, /Library/Preferences/edu.mit.Kerberos が
[libdefaults] default_realm = AD.EXAMPLE.COM dns_fallback = no [realms] AD.EXAMPLE.COM = { kdc = server.ad.example.com.:88 admin_server = server.ad.example.com. }
といった感じになっていればいい.
kinit にてパスワードを入れた時にエラーが出なければ O.K. かな.
$ kinit hoge@AD.EXAMPLE.COM Please enter the password for hoge@AD.EXAMPLE.COM: $
ちなみに,ターミナルでユーザの ID をみると以下のような感じ.
tigersrv:~ admin$ id administrator uid=1324756764(administrator) gid=1578932953(AD\domain users) groups=1578932953(AD\domain users), 940858238(AD\passwordpropdeny), 1392985649(AD\administrators), 1023958751(AD\enterprise admins), 936501334(AD\domain admins), 2117389952(AD\schema admins), 1927952868(AD\group policy creator owners) tigersrv:~ admin$ id hoge uid=295455378(hoge) gid=1578932953(AD\domain users) groups=1578932953(AD\domain users), 940858238(AD\passwordpropdeny), 1392985649(AD\administrators) tigersrv:~ admin$ id aaaa uid=1684723855(aaaa) gid=1578932953(AD\domain users) groups=1578932953(AD\domain users)
tigersrv:~ admin$ ldapsearch -h ldap.example.com -x -D "Administrator@example.com" \ -W -b 'dc=example,dc=com'
ちなみに,この場合で Mac OS X Server を CIFS のサーバと する場合は,サーバ管理の「Windows」にて新たにドメインに メンバとして参加する必要はない. (スタンドアロンサーバのままでいい)
ユーザのホームとする場合, AD 側の GUI でユーザ登録する際にホームを作成しようとするが, アクセス権の問題で不可となる. このため,ユーザのホームディレクトリだけは,別途作ってやる必要がある.
OpenDirectory 環境が別途あるのであれば, OpenDirectory 側でグループを作ってやる.
で,AD, OD 両方にバインドした Mac で ワークグループマネージャをたちあげる
(*)OD サーバは AD にはバインドさせない方がいい. なので,管理用の Mac を用意し,AD, OD 両方にバインドさせて 運用するのがいいかと思う.
(**)ディレクトリアクセスの LDAP 設定画面で OD に対するセキュリティ設定において,
で,ワークグループマネージャで OD のグループを表示させ, メニューの「サーバ」->「ディレクトリを表示」を選択し, もう一枚表示させる.
この時,「サーバのディレクトリノードではありません」という メッセージが出るが,OK を押して進める. すると,この画面は,AD の内容が表示される.
そして,OD のグループ管理画面で, AD の画面からメンバをドラッグアンドドロップで OD のメンバに加えてやる.
こうすることで,OD のグループとして,AD のユーザを管理することができる.
Windows Server 2003 ドメインへ参加した状態で ワークグループマネージャをを起動し, 上部のディレクトリ選択で Active Directory を選択する.
で,右上の鍵マークをクリックするとダイアログが出るので, Administrator のパスワードを入れて認証を通すと ユーザなどの情報を操作することができる.
ただし,デフォルトのままでは,AD の LDAP スキーマにある 情報のみ操作できるので,メールに関する設定などは, 一瞬変更できたかに見えるが,設定が保存できない.