RIGHT:[[Mac 関係覚え書き]]
*Windows Server 2003 ドメインへの参加 [#lcd4ca7a]
Mac OS X v10.4.1 Tiger Server を Windows Server 2003 の
ドメインに参加させる.
これは,ユーティリティの「ディレクトリアクセス」で行う.
Tiger から ActiveDirectory への参加がかなり改善された.
かなり簡単にドメイン参加できることに加えて,
選択項目が増え細かな設定ができる.
**ディレクトリアクセスでの設定 [#w00d6762]
まず,システム環境設定の「ネットワーク」にて resolver の
設定を Active Directory の DC に向ける.
ここから,ディレクトリアクセスでの設定.
「Active Directory」を選択し「設定」を選択.
「Active Directory のフォレスト」は自動ではいるのでそのままにし,
「Active Directory のドメイン」にフルドメイン(ad.example.com)を
入力する.
で,「バインド」.
バインドがうまくいけば,詳細オプションを表示させて
細かな設定をする
必要なのは...
「ユーザ管理」タブ
-「ローカルホームディレクトリを起動ディスクに設定する」かどうか
--チェックを入れると,Windows のホームがネットワークドライブとして
自動的にマウントされた状態となる.
Mac のホームはその Mac 自身に作られる.
Mac Shield と併用しているような場合はいいかも.
また,ssh でリモートログインする場合など,
ホームディレクトリが AFP/SMB になっていると
ログイン時マウントされずホームディレクトリなしとなるので,
こちらにしておいた方がいいと思う.
--チェックを入れないと,Windows のホームが Mac のホームとして
使われる.
-「Active Directory からの UNC パスを使用してネットワークホーム
を設定する」をチェック
「マッピング」タブ
-「UID を次の属性にマップ」にチェックを入れると
すべて nobody になる(?)
->AD のスキーマをまともに拡張していないからかな?
ユーザマッピングは,AD の GID を元に自動的に割り振られる.
割り振られ方は一意なので,別の Mac からもおなじ GID が
振られるので,あまり心配しなくてもいいみたい.
「OK」で元の画面に戻った後,
「認証」タブ,「コンタクト」タブで
「/Active Directory/All Domains」が
カスタムパスリストにあることを確認して,
「サービス」タブの「Active Directory」のチェックを入れる.
このあと,「サーバ管理」の「オープンディレクトリ」にて,
「設定」→「一般」をクリック.
んで,「ディレクトリシステムに接続」を選択.
「kerberos へ接続」をクリックして,必要な項目
(管理者のアカウント/パスワード)をいれる.
これは,最初のみで,2回目以降はなぜかうまくいかない.
とりあえず,
/Library/Preferences/edu.mit.Kerberos
が
[libdefaults]
default_realm = AD.EXAMPLE.COM
dns_fallback = no
[realms]
AD.EXAMPLE.COM = {
kdc = server.ad.example.com.:88
admin_server = server.ad.example.com.
}
といった感じになっていればいい.
kinit にてパスワードを入れた時にエラーが出なければ O.K. かな.
$ kinit hoge@AD.EXAMPLE.COM
Please enter the password for hoge@AD.EXAMPLE.COM:
$
***AD ユーザ [#e578a308]
ちなみに,ターミナルでユーザの ID をみると以下のような感じ.
tigersrv:~ admin$ id administrator
uid=1324756764(administrator) gid=1578932953(AD\domain users)
groups=1578932953(AD\domain users), 940858238(AD\passwordpropdeny), 1392985649(AD\administrators),
1023958751(AD\enterprise admins), 936501334(AD\domain admins),
2117389952(AD\schema admins), 1927952868(AD\group policy creator owners)
tigersrv:~ admin$ id hoge
uid=295455378(hoge) gid=1578932953(AD\domain users) groups=1578932953(AD\domain users),
940858238(AD\passwordpropdeny), 1392985649(AD\administrators)
tigersrv:~ admin$ id aaaa
uid=1684723855(aaaa) gid=1578932953(AD\domain users) groups=1578932953(AD\domain users)
***LDAP クライアントとして AD を検索 [#oead8e00]
tigersrv:~ admin$ ldapsearch -h ldap.example.com -x -D "Administrator@example.com" \
-W -b 'dc=example,dc=com'
**ファイルサーバ [#kf992863]
ちなみに,この場合で Mac OS X Server を CIFS のサーバと
する場合は,サーバ管理の「Windows」にて新たにドメインに
メンバとして参加する必要はない.
(スタンドアロンサーバのままでいい)
ユーザのホームとする場合,
AD 側の GUI でユーザ登録する際にホームを作成しようとするが,
アクセス権の問題で不可となる.
このため,ユーザのホームディレクトリだけは,別途作ってやる必要がある.
**グループ管理 [#dc468fe3]
OpenDirectory 環境が別途あるのであれば,
OpenDirectory 側でグループを作ってやる.
で,AD, OD 両方にバインドした Mac で
ワークグループマネージャをたちあげる
(*)OD サーバは AD にはバインドさせない方がいい.
なので,管理用の Mac を用意し,AD, OD 両方にバインドさせて
運用するのがいいかと思う.
(**)ディレクトリアクセスの LDAP 設定画面で
OD に対するセキュリティ設定において,
-クリア・テキスト・パスワードを使用不可にする
-すべてのパッケットをデジタル署名する
-すべてのパケットを暗号化
などの項目を調整(ゆるめる)しないと OD に接続できないかも
知れない.
うまくいかないときは,/var/log/system.log にアクセスのログが
でるのでそれを参考に調整する.
で,ワークグループマネージャで OD のグループを表示させ,
メニューの「サーバ」->「ディレクトリを表示」を選択し,
もう一枚表示させる.
この時,「サーバのディレクトリノードではありません」という
メッセージが出るが,OK を押して進める.
すると,この画面は,AD の内容が表示される.
そして,OD のグループ管理画面で,
AD の画面からメンバをドラッグアンドドロップで
OD のメンバに加えてやる.
こうすることで,OD のグループとして,AD のユーザを管理することができる.
//-----------------------------------------------------------------
*Windows Server 2003 ドメインの操作 [#c41fc919]
Windows Server 2003 ドメインへ参加した状態で
ワークグループマネージャをを起動し,
上部のディレクトリ選択で Active Directory を選択する.
で,右上の鍵マークをクリックするとダイアログが出るので,
Administrator のパスワードを入れて認証を通すと
ユーザなどの情報を操作することができる.
ただし,デフォルトのままでは,AD の LDAP スキーマにある
情報のみ操作できるので,メールに関する設定などは,
一瞬変更できたかに見えるが,設定が保存できない.
![[PukiWiki]](image/alfa.png "[PukiWiki]")
