Comments
Description
Transcript
Mac OS X Server オープンディレクトリの管理
Mac OS X Server オープンディレクトリの管理 バージョン 10.4 以降用 Apple Computer, Inc. © 2005 Apple Computer, Inc. All rights reserved. Mac OS X Server ソフトウェアの正規ライセンス製品の 使用許諾を受けたお客様、またはかかるお客様の許諾を 得た者は、本ソフトウェアの使用を学習する目的で本書 を複製することができます。本書のいかなる部分も、本書 のコピーの販売または有償のサポートサービスなどの商 用目的で、複製または譲渡することは禁じられています。 本書には正確な情報を記載するように努めました。 ただ し、誤植や制作上の誤記がないことを保証するものでは ありません。 Apple 1 Infinite Loop Cupertino CA 95014-2084 U.S.A. www.apple.com アップルコンピュータ株式会社 〒 163-1480 東京都新宿区西新宿 3 丁目 20 番 2 号 東京オペラシティタワー www.apple.com/jp Apple ロゴは、米国その他の国で登録された Apple Computer, Inc. の商標です。キーボードから入力可能な Apple ロゴについても、これを Apple Computer, Inc. か らの書面による許諾なしに商業的な目的で利用すると、 連邦および州の商標法および不正競争防止法違反となる 場合があります。 Apple、Apple ロゴ、 AppleTalk、 Mac、および Macintosh は、米国その他の国で登録された Apple Computer, Inc. の商標です。 Finder は、 Apple Computer, Inc. の商標です。 Adobe、 PostScript は、アドビシステムズ社の商標です。 UNIX は、X/Open Company, Ltd. が独占的にライセンス している米国その他の国における登録商標です。 本書に記載されているその他の会社名および製品名は、 それぞれの会社の商標です。 他社製品に関する記載は、 情報の提供のみを目的としたものであり、 保証または推 奨するものではありません。 Apple Computer, Inc. は他 社製品の性能または使用につきましては一切の責任を負 いません。 J019-0166/03-24-2005 3 序章 第1章 第2章 目次 11 12 13 14 14 15 16 16 このガイドについて 19 20 21 22 23 24 25 26 28 29 30 30 31 32 オープンディレクトリを使ったディレクトリサービス 33 33 34 34 35 36 38 38 オープンディレクトリの検索方式 バージョン 10.4 の新機能 このガイドの構成 このマニュアルを使う オンスクリーンヘルプを使用する Mac OS X Server マニュアル マニュアルのアップデートを入手する その他の情報 ディレクトリサービスとディレクトリドメイン 歴史的な背景 データの統合 データの分散 ディレクトリデータの使用 ディレクトリアクセスへのアクセス ネットワークサービスの検出 ディレクトリドメインの内側 LDAP ディレクトリ情報の構造 ローカル・ディレクトリドメインと共有ディレクトリドメイン ローカル・ディレクトリドメインについて 共有ディレクトリドメインについて 既存のディレクトリドメイン内の共有データ 検索方式のレベル ローカルディレクトリの検索方式 2 レベルの検索方式 複数レベルの検索方式 自動検索方式 カスタム検索方式 認証およびコンタクトの検索方式 3 第3章 第4章 4 39 39 40 40 41 41 42 43 44 44 45 46 46 47 47 48 48 48 48 49 50 51 52 53 54 54 オープンディレクトリの認証 57 57 59 59 60 60 61 62 62 63 63 65 65 67 67 68 オープンディレクトリの計画 パスワードタイプ 認証と認可 オープンディレクトリのパスワード シャドウパスワード 暗号化パスワード パスワードに対するオフライン攻撃 使用する認証オプションを決定する パスワード方式 シングルサインオン認証 Kerberos 認証 Kerberos 展開の障壁をなくす シングルサインオン環境 安全な認証 パスワードの次の段階へ マルチプラットフォーム認証 集中管理された認証 Kerberos に対応しているサービス Kerberos のプリンシパルと保護領域 Kerberos 認証プロセス オープンディレクトリ・パスワード・サーバとシャドウパスワードの認証方法 オープンディレクトリの認証方法を無効にする シャドウパスワードの認証方法を無効にする オープンディレクトリ・パスワード・サーバのデータベースの内容 LDAP バインド認証 Authentication Manager 一般的な計画のガイドライン データへのアクセス可能度を制御する ディレクトリ内のデータへの変更を簡素化する ディレクトリおよび認証要件を検討する 共有ドメインを管理するサーバを決定する オープンディレクトリ・サービスを複製する 小規模、中規模、および大規模な環境における負荷分散 複数の建物があるキャンパスにおける複製 NAT でオープンディレクトリのマスターまたは複製を使用する Kerberos が複数のディレクトリと競合しないようにする パフォーマンスと冗長性を向上させる オープンディレクトリのセキュリティ オープンディレクトリ・サービスの管理用ツール サーバ管理 ディレクトリアクセス 目次 68 69 69 第5章 第6章 ワークグループマネージャ コマンドラインツール NetInfo マネージャ 71 71 72 73 73 73 74 75 76 77 79 79 80 81 82 82 83 85 86 86 87 88 88 89 89 90 92 92 オープンディレクトリ・サービスを設定する 93 93 94 95 96 96 97 98 99 99 ユーザ認証を管理する 設定の概要 設定する前に サーバアシスタントを使ってオープンディレクトリを設定する オープンディレクトリをリモートサーバで管理する スタンドアロンサーバを設定する オープンディレクトリのマスターと複製の互換性 オープンディレクトリのマスターを設定する ユーザにログイン方法を指示する オープンディレクトリの複製を設定する オープンディレクトリのマスターの複数の複製を作成する オープンディレクトリのフェイルオーバーを設定する ディレクトリシステムへの接続を設定する シングルサインオン Kerberos 認証を設定する オープンディレクトリの Kerberos 保護領域を設定する オープンディレクトリのマスターを設定した後で Kerberos を起動する オープンディレクトリの Kerberos 保護領域に接続する権限を委任する サーバを Kerberos 保護領域に接続する オープンディレクトリのマスターまたは複製のオプションを設定する オープンディレクトリのマスターと複製のバインド方式を設定する オープンディレクトリのマスターと複製のセキュリティポリシーを設定する LDAP データベースの場所を変更する LDAP サービスの検索結果を制限する LDAP サービスの検索タイムアウトを変更する LDAP サービスの SSL を設定する ディレクトリドメインを Netinfo から LDAP に移行する ディレクトリアクセスを NetInfo から LDAP に切り替える LDAP に移行した後で NetInfo を無効にする パスワードを作成する ユーザのパスワードを変更する 複数ユーザのパスワードをリセットする ユーザのパスワードタイプを変更する パスワードタイプをオープンディレクトリに変更する パスワードのタイプを暗号化パスワードに変更する パスワードのタイプをシャドウパスワードに変更する ユーザのシングルサインオン Kerberos 認証を有効にする グローバルパスワード方式を変更する 目次 5 第7章 6 100 101 102 103 104 104 105 105 107 個々のユーザ用のパスワード方式を設定する 109 109 110 110 111 111 111 112 112 112 113 113 114 114 115 116 117 117 117 118 118 119 120 122 124 125 126 127 128 129 132 133 133 ディレクトリアクセスを管理する シャドウパスワードのユーザの認証方法を選択する オープンディレクトリのパスワードの認証方法を選択する オープンディレクトリ認証の管理者権限を割り当てる 主要な管理者のパスワードの同期を維持する ユーザに LDAP バインド認証を有効にする 書き出されたユーザまたは読み込まれたユーザのパスワードを設定する Mac OS X Server バージョン 10.1 以前からパスワードを移行する Authentication Manager のユーザを書き出す/読み込む リモートサーバ上のディレクトリアクセスを設定する サービスへのアクセスを設定する Active Directory サービスを有効にする/無効にする AppleTalk サービス検出を有効にする/無効にする BSD フラットファイルと NIS ディレクトリサービスを有効にする/無効にする LDAP ディレクトリサービスを有効にする/無効にする NetInfo ディレクトリサービスを有効にする/無効にする Bonjour サービスの検出を有効にする SLP サービス検出を有効にする/無効にする SMB/CIFS サービスの検出を有効にする/無効にする SMB/CIFS サービスの検出を設定する 検索方式を設定する 自動検索方式を定義する カスタム検索方式を定義する ローカルディレクトリ検索方式を定義する 検索方式の変更が有効になるまでの時間 コンピュータを不当な DHCP サーバから保護する LDAP ディレクトリにアクセスする Mail やアドレスブックで LDAP ディレクトリにアクセスする DHCP によって提供される LDAP ディレクトリを有効にする/無効にする LDAP サーバの設定を表示する/隠す LDAP ディレクトリへのアクセスを設定する LDAP ディレクトリへのアクセスを手動で設定する LDAP ディレクトリにアクセスするための設定を変更する LDAP ディレクトリにアクセスするための設定を複製する LDAP ディレクトリにアクセスするための設定を削除する LDAP ディレクトリの接続設定を変更する LDAP 接続のセキュリティポリシーを変更する LDAP 検索とマッピングを設定する LDAP ディレクトリへの信頼されたバインディングを設定する LDAP ディレクトリとの信頼されたバインディングを終了する LDAP 接続の開く/閉じるのタイムアウトを変更する 目次 第8章 134 134 134 135 135 135 136 137 137 138 138 139 139 141 143 143 145 145 146 146 147 147 148 149 149 149 151 151 152 153 153 154 155 156 LDAP 接続のクエリーのタイムアウトを変更する LDAP 接続の再バインド試行の待ち時間を変更する LDAP 接続が無操作状態のときに接続を解除するまでの時間を変更する 読み出し専用の LDAPv2 アクセスを強制する LDAP サーバの紹介を無視する LDAP 接続を認証する LDAP 接続の認証に使用されるパスワードを変更する LDAP ディレクトリの設定レコード属性をマッピングする RFC 2307 マッピングを編集してユーザを作成できるようにする Mac OS X の読み出し専用 LDAP ディレクトリを準備する Mac OS X のデータを含む LDAP ディレクトリを格納する Active Directory ドメインにアクセスする Active Directory プラグインについて Active Directory ドメインへのアクセスを設定する Active Directory のモバイル・ユーザ・ アカウントを設定する Active Directory ユーザアカウントのホームフォルダを設定する Active Directory ユーザアカウントの UNIX シェルを設定する UID を Active Directory 属性にマップする プライマリグループ ID を Active Directory 属性にマップする グループアカウントのグループ ID を Active Directory 属性にマップする 優先する Active Directory サーバを指定する コンピュータを管理できる Active Directory のグループを変更する Active Directory フォレスト内のすべてのドメインからの認証を制御する Active Directory サーバからバインドを解除する Active Directory 内のユーザアカウントとその他のレコードを編集する Active Directory のドメインに対する LDAP アクセスを設定する NIS ドメインにアクセスする BSD 設定ファイルを使用する BSD 設定ファイル内のデータを設定する レガシー NetInfo ドメインにアクセスする NetInfo バインディングについて NetInfo バインディングを設定する NetInfo 上位ドメインにマシンレコードを追加する 共有 NetInfo ドメインの静的ポートを設定する 157 157 157 158 159 159 160 160 保守と問題の解決 オープンディレクトリ・サーバへのアクセスを制御する サーバのログインウインドウへのアクセスを制御する SSH サービスへのアクセスを制御する オープンディレクトリを監視する オープンディレクトリのマスターまたは複製の状況をチェックする オープンディレクトリのマスターの複製を監視する オープンディレクトリの状況とログを表示する 目次 7 160 161 161 162 162 163 163 164 164 164 165 165 166 167 168 169 169 170 170 170 171 171 171 171 172 172 172 172 173 174 174 175 付録 8 177 178 178 185 201 201 205 206 207 208 オープンディレクトリによる認証を監視する ディレクトリデータを直接表示して編集する ディレクトリインスペクタを表示する ディレクトリインスペクタを隠す ユーザのショートネームを変更する ディレクトリアクセス制御(DAC)を設定する レコードを削除する 任意のタイプのレコードを読み込む オープンディレクトリの複製を管理する オープンディレクトリのマスターの複製をスケジュールする 要求されたときにオープンディレクトリの複製を同期させる オープンディレクトリの複製を昇格する オープンディレクトリの複製をデコミッションする オープンディレクトリのマスターをアーカイブする オープンディレクトリのマスターを復元する オープンディレクトリのマスターと複製の問題を解決する Kerberos がオープンディレクトリのマスターまたは複製で停止する オープンディレクトリの複製を作成できない ディレクトリアクセスの問題を解決する 起動に時間がかかる 認証の問題を解決する ユーザのオープンディレクトリ・パスワードを変更できない ユーザが一部のサービスにアクセスできない ユーザが VPN サービスに対して認証できない ユーザのパスワードタイプをオープンディレクトリに変更できない パスワードサーバに依存するユーザがログインできない ユーザが共有ディレクトリドメインのアカウントを使ってログインできない Active Directory ユーザとしてログインできない ユーザがシングルサインオンまたは Kerberos を使用して認証できない ユーザが自分のパスワードを変更できない サーバをオープンディレクトリの Kerberos 保護領域に接続できない 管理者パスワードをリセットする Mac OS X のディレクトリデータ LDAP スキーマへのオープンディレクトリの拡張 オープンディレクトリの LDAP スキーマオブジェクトクラス オープンディレクトリの LDAP スキーマ属性 標準のレコードタイプおよび属性を LDAP および Active Directory にマッピングする ユーザのマッピング Groups のマッピング Mounts のマッピング Computers のマッピング ComputerLists のマッピング 目次 209 210 211 212 213 214 215 216 216 217 222 223 224 224 225 用語集 227 索引 235 Config のマッピング People のマッピング PresetComputerLists のマッピング PresetGroups のマッピング PresetUsers のマッピング Printers のマッピング AutoServerSetup のマッピング Locations のマッピング オープンディレクトリの標準のレコードタイプと属性 ユーザレコード内の標準属性 グループレコード内の標準属性 コンピュータレコード内の標準属性 コンピュータリストレコード内の標準属性 マウントレコード内の標準属性 設定レコード内の標準属性 目次 9 序章 このガイドについて このガイドでは、Mac OS X Server を使用して設定できるディレクト リサ ービスと 認証サー ビスに ついて説 明します。また、Mac OS X Server および Mac OS X クライアントコンピュータをディレクトリ サービス用およびネットワークサービスの検出用に設定する方法に ついても説明します。 Mac OS X Server のオープンディレクトリでは、Mac OS X 、Windows、および UNIX コンピュータ が混在する ネットワーク用に、ディレ クトリサービスと認証 サービスを提供します。オ ープンディ レクトリでは、OpenLDAP(LDAP(Lightweight Directory Access Protocol )のオープンソース実 装)を使用してディレクトリサービスを提供します。これはほかの標準ベースの LDAP サーバと互 換性があり、Microsoft の Active Directory や Novell の eDirectory などの独自のサービスと統合す ることができ ます。オープンディレクトリ では、LDAP デー タベースバックエンドと してオープン ソースの Berkeley DB を使用します。これは非常に拡張性の高いデータベースであり、数十万もの ユーザアカウントやその他のレコードのインデックス作成に高いパフォーマンスを発揮します。 オープンディレクトリのプラグインを使用すると、Mac OS X クライアントや Mac OS X Server コ ンピュータで、ユーザおよびネットワークリソースのアクセス権情報を LDAP サーバから( Microsoft 所有の Active Directory からでさえ)読み書きできます。サーバでは、NIS、NetInfo、ローカル BSD 設定ファイル(/etc)などの従来のディレクトリのレコードにアクセスすることもできます。 オープンデ ィレクトリでは、認証サー ビスも提供します。ネット ワークのクライアント コンピュー タに ログイン したり、認 証が必 要なほ かのネッ トワー クリソー スを使 用した りするユ ーザの パス ワードを安 全に保存および検証し ます。また、パスワードの有効 期限や最小文字数など を設定する こともできます。オープン ディレクトリは、Mac OS X Server が提供す るドメインログイン、ファ イルサービス、およびその他の Windows サービスの Windows コンピュータユーザも認証できます。 11 MIT の Kerberos KDC(Key Distribution Center)は、オープンディレクトリと完全に統合されてお り、強力な認証 と安全なシングルサ インオンのサポート を提供します。つまり、ユ ーザは、一対の ユーザ名とパスワードを使用して 1 回認証を行うだけで、Kerberos 対応のネットワークサービスに アクセスできます。Kerberos 認証に対応していないサービスの場合は、統合された SASL( Secure Authentication and Service Layer)サービスによって、可能な最も強力な認証方法が自動的にネゴ シエートされます。 また、ディレク トリと認証の複製に よって、可用性と拡張性を 最大化します。オープン ディレクト リ・サーバの複製を作成すると、分散ネットワークですばやくクライアント対話を行うために、フェ イルオーバーサーバやリモートサーバを簡単に保守できます。 オープンディレクトリでは、ネットワークサービスの検出も管理します。Mac OS X および Mac OS X Server は、オープンディレクトリを使用して、ファイルサーバなどのネットワークサービスを検出 できます。これらのネットワークサービスは、Bonjour、 AppleTalk、SLP、または SMB/CIFS サー ビス検出プロトコルとして認識されます。 バージョン 10.4 の新機能 Mac OS X Server バージョ ン 10.4 で は、オープンディレクト リの次の機能が大幅に拡 張されてい ます: • 簡単になった LDAPv3 アクセスの設定:「ディレクトリアクセス」を使用して、LDAP ディレクト リへの接続を設定できます。 • LDAPv3 ディレクトリの信頼されたバインディング: LDAP ディレクトリとそのクライアントの 間に相互認証された接続を確立します。クライアントは LDAP ディレクトリに自分の識別情報を 証明し、ディレクトリはクライアントに自分の正統性を証明します。 • 強化された Active Directory との統合: Mac OS X ユーザのネットワーク・ホーム・ディレクト リを Active Directory で指定した場所からマウントすることができます。複数の Mac OS X 属性 (ユーザ ID、ユーザのプライマリグループ ID、およびグループ ID)を既存の Active Directory 属 性にマップできます。 • 強化された LDAP サーバ: Mac OS X Server v10.4 では、OpenLDAP バージョン 2.2.19 および Berkeley DB バージョン 4.2.52 を使用します。 • 簡単になったアーカイブと復元: ボタンをクリックすれば、ディレクトリと認証のデータベース がバックアップまたは復元されます。 • 強化された認証: サーバを既存の Active Directory の Kerberos 保護領域または MIT ベースの Kerberos 保護領域に接続することができます。ローカル・ユーザ・アカウントで、さらに多くの 認証方法を使用できます。 • 設定可能なパスワード保存のセキュリティ: 認証方法を選択的に無効にすることによって、サー バへのパスワード保存のセキュリティを高めることができます。 • LDAP スキーマの複製: LDAP ディレクトリに独自のカスタムスキーマを格納し、スキーマをオー プンディレクトリのマスターからそのすべての複製に伝達することができます。 12 序章 このガイドについて このガイドの構成 このガイドは、以下の章で構成されています: • 第 1 章「オープンディレクトリを使ったディレクトリサービ ス」では、ディレクトリドメインと は何か、その使い かた、およびそれらの編成につ いて説明します。また、ネットワ ークサービス の検出がどのようにディレクトリサービスと統合されるかについても説明します。 • 第 2 章「オープンディレクトリの検索方式」では、1 つ以上のディレクトリドメインを使った検索 方式について説明し、自動、カスタム、およびローカルだけの検索方式について説明します。 • 第 3 章「オープンディレクトリの認証」では、オープンディレク トリによる認証、シャドウパス ワードと暗号化パスワード、 Kerberos、LDAP バインド、およびシングルサインオンについて説 明します。 • 第 4 章「オープンディレクトリの計画」は、ディレクトリドメイ ンが必要かどうかの判断、ディ レクトリおよび 認証要件の見積もり、管理する共 有ドメインの識別、パフォーマ ンスと冗長性の 向上、複数の建物 があるキャンパスでの複製の 取り扱い、およびオープンディ レクトリ・サービ スを安全なもの にする際に役立ちます。この章 では、オープンディレクトリ・サ ービスの管理に 使用するツールも紹介しています。 • 第 5 章「オープンディレクトリ・サービスを設定する」では、ディ レクトリシステム、オープン ディレクトリの マスター、またはオープンディレ クトリの複製に接続されたスタ ンドアロンサー バなど、Mac OS X Server のオープンディレクトリの役割を設定する方法について説明します。こ の章では、オープンディレクトリのマスターまたは複製の LDAP サービスのオプションの設定方 法、および NetInfo から LDAP へのディレクトリドメインの移行方法についても説明します。さ らに、オープンディレクトリのマスターにシングルサインオンの Kerberos 認証を設定する方法に ついても説明します。 • 第 6 章「ユーザ認証を管理する」では、パスワード方式の設定、ユー ザのパスワードタイプの変 更、オープンディレ クトリによる認証のための管 理権限の割り当て、読み込まれ たユーザアカウ ントのパスワー ドのリセット、およびオープンデ ィレクトリによる認証へのパス ワードの移行の 方法について説明します。 • 第 7 章「ディレクトリアクセスを管理する」では、「ディレクトリアクセス」アプリケーションを 使用して、サービス 検出プロトコルを有効または 無効にしたり、設定したりする 方法について説 明します。認証検索方式およびコンタクト検索方式を設定する方法についても説明します。また、 LDAP 、Active Directory、NIS、BSD 設定ファイル、NetInfo など、さまざまなディレクトリドメ インへのアクセスの設定方法についても説明します。 • 第 8 章「保守と問題の解決」では、オープンディレクトリ・サービ スの監視方法、インスペクタ を使 ってディ レクト リデータ を直接表 示し編 集する方 法、オープ ンディレ クトリ のマスタ ーを アーカイブする方法、およびその他のディレクトリの保守を実行する方法について説明します。ま た、起こりうる問題の解決策についても説明します。 • 付録の「 Mac OS X のディレクトリデータ」では、LDAP スキーマへのオープンディレクトリの拡 張のリストを示し、Mac OS X の標準のレコードタイプおよび属性を明示します。 • 用語集には、このマニュアルで使用されている用語の定義が記載されています。 参考:アップルではソフトウェアの新しいバージョンやアップデートを頻繁にリリースするため、こ のガイドに示されている図は、画面の表示と異なる場合があります。 序章 このガイドについて 13 このマニュアルを使う このガイドの 章は、サーバにオープンデ ィレクトリを設定し管 理するときに必要と思 われる順番で 編成されています。 • ディレクトリサービス、検索方式、認証など、オープンディレクトリの概念を理解したいときは、 第 1 章∼第 3 章を読んでください。 • ネットワーク用にディレクトリ サービスとパスワード認証を計画する準備ができたら、第 4 章を 読んでください。 • 計画が終わったら、第 5 章の手順に従ってオープンディレクトリ・サービスを設定してください。 • パスワード方式 の設定やユーザアカウント内の パスワード設定の変更の必要 があるときは、必ず 第 6 章の手順を確認してください。 • Mac OS X または Mac OS X Server コンピュータがディレクトリドメイン にアクセスする方法を 設定または変更する必要がある場合は、第 7 章の手順に従ってください。 • ディレクトリおよび認証サービスの現行の保守については、第 8 章を参照してください。 オンスクリーンヘルプを使用する オンスクリーンヘルプを使用すると、サーバマニュアル一式に含まれるガイドに記載されている、手 順やその他の役立つ情報を参照できます。 「ワークグループマネージャ」または「サーバ管理」 Mac OS X Server が動作するコンピュータでは、 を開く と、オンスク リーンヘ ルプを利 用できます。 「ヘ ルプ」メニュ ーから、次の いずれか のオプ ションを選びます: • 「ワークグループマネージャヘルプ」または「サーバ管理ヘルプ 」を選ぶと、アプリケーションに 関する情報が表示されます。 • 「Mac OS X Server ヘルプ」を選ぶと、サーバヘルプのメインページが表示されます。ここから、 サーバ情報を検索またはブラウズできます。 • 「マニュアル」を選ぶと、www.apple.com/jp/server/documentation にアクセスして、サーバの マニュアルをダウンロードできます。 サーバまた は管理用コンピュー タの「Finder 」またはその他のアプ リケーションからオ ンスクリー ンヘルプを利用することもできます。(管理用コンピュータとは、サーバ管理ソフトウェアがインス トールされ ている Mac OS X コンピ ュータのことです。)「ヘ ルプ」メニューを使用 して「ヘルプ ビューア」を開き、「ライブラリ」>「Mac OS X Server ヘルプ」と選択します。 サーバの最新のヘルプトピックを参照するには、「ヘルプビューア」を使用している間、サーバまた は管理用コンピュータがインターネットに接続されていることを確認してください。「ヘルプビュー ア」は、サーバの最新のヘルプトピックをインターネットから自動的に取得してキャッシュします。 インターネットに接続されていないときは、「ヘルプビューア」は、キャッシュされているヘルプト ピックを表示します。 14 序章 このガイドについて Mac OS X Server マニュアル Mac OS X Server のマニュアルには、各サービスについて解説し、それらのサービスの設定、管理、 および問題 を解決する手順を説明 しているガイドが含ま れています。これらのガイ ドはすべて、次 の場所から PDF 形式で入手できます: www.apple.com/jp/server/documentation/ ガイド名 ガイドの内容: Mac OS X Server お使いになる前 Mac OS X Server をインストールし、はじめて設定する方法について説明 に バージョン 10.4 以降用 します。 Mac OS X Server アップグレード 古いバージョンのサーバで現在使用されているデータとサービス設定を使 および移行 バージョン 10.4 以降用 用する方法について説明します。 Mac OS X Server ユーザの管理 ユーザ、グループ、およびコンピュータのリストを作成および管理する方 バージョン 10.4 以降用 法について説明します。また、Mac OS X クライアントの管理された環境 設定を設定する方法について説明します。 Mac OS X Server ファイルサービ スの管理 バージョン 10.4 以降用 AFP、NFS、FTP、および SMB/CIFS プロトコルを使って、選択したサーバ のボリュームまたはフォルダを複数のサーバクライアントの間で共有する 方法について説明します。 Mac OS X Server プリントサービ 共有プリンタを管理する方法と、共有プリンタに関連付けられたキューと スの管理 バージョン 10.4 以降用 プリントジョブを管理する方法について説明します。 Mac OS X Server システムイメー NetBoot とネットワークインストールを使用して、Macintosh コンピュー ジおよびソフトウェア・アップデー トの管理 バージョン 10.4 以降用 タがネットワーク経由で起動できるディスクイメージを作成する方法につ いて説明します。また、クライアントコンピュータをネットワーク経由で アップデートするためのソフトウェア・アップデート・サーバを設定する 方法について説明します。 Mac OS X Server メールサービス の管理 バージョン 10.4 以降用 メールサービスをサーバ上で設定、構成、および管理する方法について説 明します。 Mac OS X Server Web テクノロ ジーの管理 バージョン 10.4 以降用 WebDAV 、WebMail、および Web モジュールを含めて、Web サーバを設 Mac OS X Server ネットワーク DHCP、DNS、VPN 、NTP 、IP ファイアウォール、および NAT の各サービ サービスの管理 バージョン 10.4 以降用 スをサーバ上で設定、構成、および管理する方法について説明します。 Mac OS X Server オープンディ ディレクトリサービスと認証サービスを管理する方法について説明します。 定および管理する方法について説明します。 レクトリの管理 バージョン 10.4 以降用 Mac OS X Server QuickTime QuickTime ストリーミングサービスを設定および管理する方法について説 Streaming Server の管理 バージョ ン 10.4 以降用 明します。 Mac OS X Server Windows サー PDC 、BDC、ファイル、Windows コンピュー タユーザ用のプリントなど ビスの管理 バージョン 10.4 以降用 のサービスを設定および管理する方法について説明します。 Mac OS X Server Windows NT か アカウント、共有フォルダ、およびサービスを Windows NT サーバから らの移行 バージョン 10.4 以降用 Mac OS X Server に移動する方法について説明します。 Mac OS X Server Java アプリケー Mac OS X Server 上で JBoss アプリケーションサーバを設定および管理す ションサーバの管理 バージョン 10.4 以降用 る方法について説明します。 Mac OS X Server コマンドライン 管理 バージョン 10.4 以降用 コマンドと設定ファイルを使って、 サーバ管理タスクを UNIX コマンドシェ ル内で実行する方法について説明します。 序章 このガイドについて 15 ガイド名 ガイドの内容: Mac OS X Server コラボレーショ ユーザ間で簡単に対話できるようにするウェブログ、チャット、およびそ ンサービスの管理 バージョン 10.4 以降用 の他のサービスを設定および管理する方法について説明します。 Mac OS X Server 高可用性の管理 バージョン 10.4 以降用 Mac OS X Server サービ スの高い可 用性を確 保するよう にフェイ ルオー Mac OS X Server Xgrid の管理 Xgrid アプリケーションを使用して Xserve の計算クラスタを管理する方法 バージョン 10.4 以降用 について説明します。 Mac OS X Server 用語集:Mac サーバおよび記憶装置製品で使用される用語の意味について説明します。 バー、リンクアグリゲーション、負荷分散、その他のハードウェアおよび ソフトウェア設定を管理する方法について説明します。 OS X Server、Xserve、Xserve RAID、および Xsan の用語 マニュアルのアップデートを入手する アップルで は必要に応じて、オンス クリーンヘルプの新し いトピック、改訂された ガイド、および ソリューシ ョンに関する書類を公 開しています。新しいヘル プトピックには、最新のガ イドの改訂 分が含まれます。 • オンスクリーン ヘルプの新しいトピックを表示 するときは、サーバまたは管理用 コンピュータが インターネットに接続されていることを確認し、 Mac OS X Server ヘルプのメインページにある 「最新情報」のリンクをクリックします。 • PDF 形式の最新のガイドおよびソリューションに関する書類をダウンロードするときは、 Mac OS X Server のマニュアルの Web ページ(www.apple.com/jp/server/documentation)に アクセスしてください。 その他の情報 さらに詳しい情報が必要な場合は、次の資料を参照してください: 大切な情報 — 重要なアップデートや特別な情報を記載しています。この書類はサーバディスクにあ ります。 Mac OS X Server の Web サイト(www.apple.com/jp/server/macosx/)— 製品およびテクノロ ジーに関するさまざまな情報を入手できます。 AppleCare のサービス&サポート Web サイト( www.apple.com/jp/support/)— アップルのサ ポート部門から寄せられた数多くの記事を利用できます。 アップルのカスタマートレーニング( www.apple.com/jp/training/)— サーバ管理のスキルアップ のための、インストラクターの指導による、自分のペースに合わせて進められるコースです。 アップルのディスカッショングループ(discussions.info.apple.com/jp) — 質問、知識、およびア ドバイスをほかの管理者と共有できる場です。 アップルのメーリング・リスト・ディレクトリ(www.lists.apple.com/ )— メーリングリストに登 録して、メールを使ってほかの管理者と意見の交換ができます。 16 序章 このガイドについて OpenLDAP の Web サイト( www.openldap.org)—LDAP ディレクトリサービスを提供するため にオープンディレクトリで使用するオープン・ソース・ソフトウェアについて知ることができます。 MIT Kerberos の Web サイト(web.mit.edu/kerberos/www/) — 堅牢なシングルサ インオン認 証を提供する ためにオープンディレク トリで使用するプロト コルの背景情報と仕様が 公開されてい ます。 Berkeley DB の Web サイト(www.sleepycat.com/) — オープンディレクトリで LDAP ディレク トリデータ の保存に使用するオー プン・ソース・データベースに ついての解説や技術マ ニュアルが あります。 RFC3377、Lightweight Directory Access Protocol(v3): 技術仕様 (www.rfc-editor.org/rfc/rfc3377.txt )—RFC( Request for Comment)に関するその他の 8 つの書 類のセットがリストされているほか、LDAPv3 プロトコルの概要と詳細な仕様が載っています。 序章 このガイドについて 17 1 オープンディレクトリを使った ディレクトリサービス 1 ディレクトリサービスは、組織内のコンピュータユーザとネットワー クリソースに関する情報の中央リポジトリを提供します。 中央リポジトリに管理データを保存することには、次のようなさまざまな利点があります: • データ入力の手間が減ります。 • すべてのネット ワークサービスおよびクライア ントに、ユーザとリソースに関す る一貫した情報 を持たせることができます。 • ユーザとリソースの管理を簡素化できます。 • ほかのネットワークサービスに識別、認証、および認可情報を提供できます。 ディレクトリ サービスは、教育機関や大 企業の環境でユーザや コンピュータリソース を管理する方 法として最適です。10 人程度の組織にも、ディレクトリサービスの導入は効果的です。 ディレクト リサービスには、二重の 利点があります。ディレク トリサービスによっ て、システムと ネットワークの管理が簡単になり、ユーザが簡単にネットワークを利用できるようになります。ディ レクトリサービスを使えば、管理者はすべてのユーザに関する情報(名前、パスワード、およびネッ トワークの ホームディレクトリの 場所など)を、各コンピュー タで管理するのでは なく、一元管理 できます。ディレクトリサービスは、プリンタ、コンピュータ、およびその他のネットワークリソー スに関する 情報も集中管理できま す。ユーザとリソースに関 する情報を集中化させ ることで、シス テム管理者 の情報管理にかかる負 担を削減できます。また、各 ユーザには、ネットワー ク上の認証 されたどのコンピュータにでもログインできる、集中管理されたユーザアカウントが用意されます。 集中管理され たディレクトリサービス とファイルサービスが ホストネットワークのホ ームディレク トリに設定 されていれば、ユーザが どこでログインしても、ユ ーザは同じホームデ ィレクトリ、個 人用デスク トップ、および個人設定 を取得できます。ユーザは、 いつでも自分のファイ ルにアクセ スし、認証されているネットワークリソースを簡単に探して使用できます。 19 ディレクトリサービスとディレクトリドメイン ディレクトリ サービスは、ユーザやリソ ースに関する情報を必 要とするアプリケーシ ョンやシステ ムソフトウェアのプロセスと、そうした情報を格納するディレクトリドメインとの間を仲介します。 Mac OS X および Mac OS X Server では、オープンディレクトリがディレクトリサービスを提供し ます。オープンディレクトリは、1 つのディレクトリドメインまたは複数のディレクトリドメイン内 の情報にアクセスできます。 ユーザ グループ プリンタ コンピュータ オープン マウント ディレクトリ ディレクトリ ドメイン アプリケーション およびシステム ソフトウェアのプロセス ディレクト リドメインは、専用のデ ータベースに情報を保 存します。このデータベ ースは、多数の 情報要求の処理および迅速な情報の検索と取得を実行できるように最適化されています。 Mac OS X コ ンピュー タで実行さ れるプロ セスは、オー プンディレ クトリ・サー ビスを使 用して、 ディレ クトリド メインに情 報を保存 できます。たと えば、 「ワーク グループマ ネージャ」を 使って ユー ザアカウ ントを 作成す ると、オー プンディ レクト リがユー ザ名と その他 のアカウ ント情 報を ディレクト リドメイン内に格納 します。もちろん、その後で 「ワークグループマネ ージャ」を使っ てユーザア カウント情報を確認す ることができます。その場 合、オープンディレクトリ はユーザ情 報をディレクトリドメインから取得します。 20 第1章 オープンディレクトリを使ったディレクトリサービス ほかのアプリ ケーションとシステム ソフトウェアのプロセ スも、ディレクトリドメイ ンに格納され たユーザアカウント情報を使用できます。ユーザが Mac OS X コンピュータにログインしようとす ると、ログイン プロセスがオープンデ ィレクトリ・サービスを使 ってユーザ名とパスワ ードを検証 します。 ディレクトリ ドメイン ワークグループマネージャ オープン ディレクトリ 歴史的な背景 Mac OS X と同様、 オープンディレクトリは UNIX の特性を継承しています。 UNIX システムでは一 般的に、煩雑な管理作業を必要とする設定ファイル内に管理データが保存されており、オープンディ レクトリはそれらのデータへのアクセスを提供します。(一部の UNIX システムは現在でも設定ファ イルのみを利用しています。)オープンディレクトリは、データを統合し、容易にアクセスおよび管 理できるように分散させます。 第1章 オープンディレクトリを使ったディレクトリサービス 21 データの統合 長年にわたり、 UNIX システムは、「/etc 」ディレクトリに置かれた一連のファ イルに管理情報を保 存してきました。この方式では、各 UNIX コンピュータが固有のファイルのセットを保存する必要が あり、UNIX コンピュータ上で実行されるプロセスは、管理情報が必要なときに、そのコンピュータ のファイルを読み取ります。UNIX の使用経験があれば、 「/etc」ディレクトリ内に置かれた「group」、 「hosts」、 「 hosts.equiv」、「master.passwd」などのファイルについてはご存知でしょう。たとえば、 ユーザのパスワードを必要とする UNIX のプロセスは、「/etc/master.passwd 」ファイルを参照しま す。「/etc/master.passwd」ファイ ルには、各ユー ザアカウ ントのレ コードが 含まれてい ます。ま た、グループ情報を必要とする UNIX プロセスは「 /etc/group」ファイルを参照します。 /etc/group /etc/hosts UNIX プロセス /etc/master.passwd オープンデ ィレクトリは、管理情報 を統合し、プロセスが、管理 データを簡単に作成お よび使用で きるようにします。 オープン ディレクトリ Mac OS X プロセス 22 第1章 オープンディレクトリを使ったディレクトリサービス プロセスは、管 理データの保存方法と 保存場所を知っている 必要がなくなります。オー プンディレ クトリが、プロ セスのためにデータを 取得します。プロセスがユ ーザのホームディレク トリの場所 を必要とす る場合、プロセスは単純に オープンディレクトリ に情報の取得を要求し ます。オープン ディレクトリ が要求された情報を探 して返すので、プロセスは 情報の詳しい保存方法 を知っている 必要 がありま せん。複数 のディ レクト リドメイ ンに保 存された 管理デ ータに アクセス するよ うに オープンデ ィレクトリを設定した 場合、オープンディレクト リは、必要に応じて自動的 にそれらの ディレクトリドメインを参照します。 ディレクトリ ドメイン ディレクトリ ドメイン オープン ディレクトリ Mac OS X プロセス ディレクトリドメインに保存されるデータの一部は、UNIX 設定ファイルに保存されるデータと同じ ものです。たとえば、ホームディレクトリの場所、実際の名前、ユーザ ID 、グループ ID などは、標 準の「/etc/passwd 」ファイルではなく、ディレクトリドメインのユーザ レコードに保存されます。 ただし、ディレクトリドメインは大量の追加データを保存して、Mac OS X クライアントコンピュー タ管理のサポートなど、Mac OS X に固有の機能をサポートします。 データの分散 UNIX 設定ファイルのもう 1 つの特徴として、設定ファイルに保存された管理データはファイルが置 かれているコンピュータでのみ利用できることが挙げられます。各コンピュータは、専用の UNIX 設 定ファイルを保持します。UNIX 設定ファイルを使用する場合、ユーザが使用する各コンピュータに そ のユ ーザ のア カウ ント 設定 が保 存さ れて いる 必要 があ り、さら に各 コン ピュ ータ にそ のコ ン ピュ ータを使 用でき るすべ てのユー ザのア カウン ト設定が 保存さ れてい る必要が ありま す。コン ピュータの ネットワーク構成を設 定する場合、管理者は、その コンピュータに移動 し、ネットワー クでコンピュータを識別する IP アドレスやその他の情報を直接入力する必要があります。 同様に、UNIX 設定ファイル内のユーザ情報またはネットワーク情報を変更する場合、管理者は、設 定ファイルが 置かれているコンピュ ータ上で情報を変更す る必要があります。ネット ワーク設定な ど、変更内容に よっては、管理者が複数 のコンピュータで同じ 変更を加える必要が あります。ネッ トワークのサイズが大きくなり、より複雑になると、この方法は困難になります。 第1章 オープンディレクトリを使ったディレクトリサービス 23 オープンディレクトリでは、ネットワーク管理者が 1 カ所から管理できるディレクトリドメインに 管理データ を保存できるので、この問 題が解決します。オープン ディレクトリを使用す ると情報を 分散できるの で、情報を必要とするコン ピュータや情報を管理 する管理者がネットワ ークで情報を 見ることができます。 ディレクトリ ドメイン システム管理者 オープン ディレクトリ ユーザ ディレクトリデータの使用 オープンディレクトリによって、ディレクトリドメイン内でネットワーク情報を簡単に統合して管理 できるようになりますが、これらの情報が価値を持つのは、ネットワークコンピュータ上で実行され るアプリケーションやシステムソフトウェアが実際にそれらの情報にアクセスする場合のみです。 Mac OS X シス テムやアプリケーション ソフトウェアがディレ クトリデータを使用す るケースにつ いて次に示します: • ログイン: すでに述べた通り、「ワ ークグループマネージ ャ」でディレクトリドメイ ン内にユー ザレコードを作成でき、それらのレコードは、Mac OS X コンピュータおよび Windows コンピュー タにログインするユーザの認証に使用できます。ユーザが Mac OS X のログインウインドウで名 前とパスワード を指定すると、ログインプロセス がオープンディレクトリに、名 前とパスワード を認証するよう 要求します。オープンディレクト リは、その名前を使ってディレ クトリドメイン でユーザのアカ ウントレコードを検索し、ユーザ レコード内の追加データを使っ てパスワードを 検証します。 • フォルダやファイルへのアクセス: ログインが正常に完了すると、ユーザはファイルやフォルダ にアクセスできるようになります。Mac OS X では、ユーザレコードの別のデータを使用して、各 ファイルまたはフォルダに対するユーザのアクセス権を判別します。 24 第1章 オープンディレクトリを使ったディレクトリサービス • ホームディレクトリ: ディレクトリドメイン内の各ユーザレコードにはユーザのホームディレク トリの場所が保 存されています。ホームディレク トリはホームフォルダとも 呼ばれます。ホーム ディレクトリ は、ユーザが個人用のファイル、フ ォルダ、環境設定を保存する 場所です。ユーザ のホームディレ クトリは、ユーザが通常使用する 特定のコンピュータまたは ネットワーク・ファ イル・サーバに置くことができます。 • 自動マウント共有ポイント: 共有ポイントは、クライアントコンピュータの Finder ウインドウの 「/ ネットワーク」フォルダ(ネットワークアイコン)に自動マウントされる(自動的に表示され る)ように設定でき ます。これらの自動マウント共 有ポイントに関する情報はデ ィレクトリドメ インに保存されます。共有ポイントとは、ネットワーク経由でアクセスできるように設定したフォ ルダ、ディスク、またはディスクパーティションです。 • メールアカウント設定: ディレクトリドメイン内の各ユーザレコードでは、ユーザがメールサー ビスを使用でき るかどうか、使用するメールプ ロトコル、受信メールの表示方 法、メール到着時 に警告をユーザに表示するかどうかなどを指定します。 • リソー スの利用: ディスク、プ リント、および メールの クオータを ディレクト リドメイ ンの各 ユーザレコードに保存できます。 • 管理されたクライアントの情報: 管理者は、アカウントレコードがディレクトリドメイン内に保 存されているユーザの Mac OS X 環境を管理できます。管理者は、ディレクトリドメイン内に保 存されている必須の環境設定の設定を行い、ユーザの個人設定を無効にします。 • グループの管理: ディレクトリドメインには、ユーザレコードに加えて、グループレコードも保 存されます。各グ ループレコードは、グループに 所属するすべてのユーザに影 響します。グルー プレコード内の情報は、グループメンバーの環境設定を指定します。グループレコードによって、 ファイル、フォルダ、およびコンピュータへのアクセス権も決まります。 • 管理対象ネットワーク表示: 管理者は、ユーザが Finder ウインドウのサイドバーで「ネットワー ク」アイコンを選択 したときに表示されるカスタ ム表示を設定できます。これら の管理対象ネッ トワーク表示は、デ ィレクトリドメインに保存さ れるため、ユーザのログイン時 に自動的に利用 できるようになります。 ディレクトリアクセスへのアクセス オープンディ レクトリは、次の種類のデ ィレクトリサービス内 のディレクトリドメイ ンにアクセス できます: • LDAP (Lightweight Directory Access Protocol)。Macintosh 、UNIX、および Windows システ ムが混在する環境でよく使われるオープンスタンダードの 1 つ。 LDAP は、Mac OS X Server の 共有ディレクトリ用のネイティブ・ディレクトリ・サービスです。 • NetInfo。すべての Mac OS X システムのローカル・ディレクトリドメイン用のディレクトリサー ビス。Mac OS X Server のレガシー・ ディレクトリ・サービスです。 • Active Directory。Microsoft Windows 2000 および 2003 サーバのディレクトリサービス • NIS (Network Information System )。多くの UNIX サーバのディレクトリサービス • BSD フラットファイル。 UNIX システムのレガシー・ディレクトリ・サービス 第1章 オープンディレクトリを使ったディレクトリサービス 25 ネットワークサービスの検出 オープンデ ィレクトリは、ディレクト リから取得する管理デ ータ以外の情報も提供 できます。つま り、オープンディレクトリは、ネットワークで使用可能なサービスに関する情報も提供できます。た とえば、オープンディレクトリは、現在使用可能なファイルサーバに関する情報を提供できます。 ファイルサーバ オープン ディレクトリ ファイルサーバ オープンデ ィレクトリは、存在と場所 を公開しているネット ワークサービスを検出 できます。サー ビスは、標準の プロトコルを使用し て公開されます。オープン ディレクトリは、次のサ ービス検出 プロトコルをサポートしています: • Bonjour。ファイル、プリント、チャット、音楽の共有、および IP ネットワーク上のその他のサー ビスを検出するために、マルチキャスト DNS を使用する Apple プロトコル • AppleTalk 。ファイル、プリ ント、およびそ の他のネッ トワークサ ービスを検 出するため のレガ シープロトコル • SLP (Service Location Protocol )。IP ネットワークでファイルサービスやプリントサービスの検 出に使用されるオープンスタンダードのプロトコル • SMB/CIFS(Server Message Block/Common Internet File System)。Microsoft Windows でファ イル、プリント、およびその他のサービスに使用されるプロトコル 実際には、オー プンディレクトリは、サー ビス検出プロトコルと ディレクトリドメイン の両方から 取得したネ ットワークサービスに 関する情報を提供でき ます。この処理を実現する ために、オープ ンディレクトリは、単純に、Mac OS X のプロセスから要求された情報の種類に対応するすべての情 報ソースに 問い合わせます。要求され た種類の情報を保管し ている情報ソースは、その 情報をオー プンディレ クトリに提供します。オ ープンディレクトリは、提 供されたすべての情 報を集めて、要 求元の Mac OS X のプロセスに渡します。 26 第1章 オープンディレクトリを使ったディレクトリサービス たとえば、オー プンディレクトリがフ ァイルサーバに関する 情報を要求した場合、ネッ トワークの ファイルサ ーバが、サービス検出プ ロトコルを使用して応 答し、サービスの情報を 提供します。一 部のファイル サーバに関する比較的静 的な情報を含んでいる ディレクトリドメインも この要求に答 えます。オープ ンディレクトリは、サービ ス検出プロトコルとデ ィレクトリドメインか ら情報を収 集します。 ディレクトリ ドメイン ファイルサーバ オープン ディレクトリ ファイルサーバ オープンデ ィレクトリが、ユーザに 関する情報を要求した 場合、サービス検出プロ トコルは、ユー ザ情報を保管していな いため応答しません。 (理論的には、AppleTalk 、Bonjour、SMB/CIFS、およ び SLP はユーザ情報を提供できますが、実際には、提供できるユーザ情報を格納していません。)オー プンディレクトリが収集するユーザ情報は、その情報を格納しているすべてのソース、すなわちディ レクトリドメインから提供されます。 第1章 オープンディレクトリを使ったディレクトリサービス 27 ディレクトリドメインの内側 ディレクト リドメイン内の情報は、 レコードタイプごとに 整理されます。レコード タイプは、ユー ザ、グループ、コ ンピュータなど、特定の 情報カテゴリです。ド メインディレクトリ で、レコード タイプごと に保存できるレコード 数に制限はありません。各 レコードは属性の集ま りであり、各属 性は 1 つ以上の値を含んでいます。各レコードタイプを 1 つのカテゴリの情報を含むスプレッドシー トと考えた 場合、レコードはスプレッ ドシートの行と考える ことができ、属性はスプレ ッドシート の列と考えることができます。そして、スプレッドシートの各セルが 1 つ以上の値を含みます。 たとえば、「ワークグループマネージャ」を使用してユーザアカウントを定義する場合は、ユーザレ コード(レコードタイプが「ユーザ」のレコード)を作成します。ユーザ名(ショートネーム)、フ ルネーム、ホームディレクトリの場所など、ユーザアカウントに対して設定する値が、ユーザレコー ド内の属性の値になります。ユーザレコードとその属性値は、ディレクトリドメインに保存されます。 LDAP や Active Directory などの一部のディレクトリサービスでは、ディレクトリ情報は、オブジェ クトクラス ごとに整理されます。レ コードタイプと同様に、オ ブジェクトクラスは、情 報のカテゴ リを定義し ます。オブジェクトクラ スでは、エントリーと呼ば れる、類似の情報オブジ ェクトを定 義します。エン トリーは、エントリーに 含める必要がある、また は含めることができる 属性を指定 することで 定義されます。特定のオブ ジェクトクラスの場合 は、ディレクトリドメイン に複数のエ ントリーを 含めることができ、各エン トリーには複数の属性 を含めることができま す。属性によっ ては、単一の値を持つ場合と、複数の値を持つ場合があります。たとえば、inetOrgPerson オブジェ クトクラスでは、ユーザ属性を含むエントリーを定義します。 inetOrgPerson クラスは、RFC 2798 で定義された標準 LDAP クラスです。その他の標準 LDAP オブジェクトクラスおよび属性は、 RFC 2307 で定義されています。オープンディレクトリのデフォルトのオブジェクトクラスおよび属性は、 これらの RFC に基づいています。 属性とレコー ドタイプまたはオブジ ェクトクラスの集まり は、ディレクトリドメイン 内の情報の青 写真を提供します。この青写真は、ディレクトリドメインのスキーマと呼ばれています。 28 第1章 オープンディレクトリを使ったディレクトリサービス LDAP ディレクトリ情報の構造 LDAP ディレクトリでは、エント リーは、階層構造のツリー状構 造に配置されます。一部の LDAP ディレクト リでは、この構造は、地理的 境界や組織的境界に 基づいています。さら に、この構造は 通常、インターネットドメイン名に基づいています。 簡単なディ レクトリ構造では、ユー ザ、グループ、コンピュー タ、およびその他のオブ ジェクトク ラスを表すエントリーは、階層のルートレベルの直下にあります。 dc=com dc=example cn=users uid=anne cn=Anne Johnson cn=groups cn=computers uid=juan cn=Juan Chavez エントリーは、その識別名(DN)で参照されます。 DN は、相対識別名(RDN)と呼ばれるエント リー自 体の名前と、そ のエント リーの上位 エントリー の名前を連 結して構成 されます。た とえば、 Anne Johnson のエントリーの場合、「uid=anne」という RDN と「 uid=anne, cn=users, dc=example, dc=com 」という DN があります。 LDAP サービスでは、エントリーの階層を検索することによってデータを取得します。検索は、どの エントリー からでも開始できます。 検索を開始するエント リーは、検索ベースと呼 ばれます。検索 ベースを指定するには、LDAP ディレクトリ内のエントリーの識別名を指定します。たとえば、検索 ベース「 cn=users, dc=example, dc=com」では、「 cn 」属性の値が「users」であるエン トリーか ら LDAP サービスが検索を開始するように指定されます。 また、LDAP 階層で検索ベースより下のどのレベルまで検索するかを指定することもできます。検索 範囲には、検索 ベースより下のすべて のサブツリーを含める ことも、検索ベースより下 の最初のレ ベルのエントリーだけを含めることもできます。コマンドラインツールを使用して LDAP ディレク トリを検索する場合は、検索範囲を検索ベースのエントリーだけに制限することもできます。 第1章 オープンディレクトリを使ったディレクトリサービス 29 ローカル・ディレクトリドメインと共有ディレクトリドメイン サーバのユー ザ情報とほかの管理デ ータを保存する場所は、デ ータを共有する必要が あるかどうか に応じて決 定します。この情報は、サー バのローカル・ディレク トリドメインまたは共 有ディレク トリドメイン内に保存することもできます。 ローカル・ディレクトリドメインについて すべての Mac OS X コンピュータには、ローカル・ディレクトリドメインがあります。ローカルド メインの管理 データにアクセスでき るのは、そのドメインが置 かれたコンピュータ上 で実行される アプリケー ションやシステムソフ トウェアのみです。ロー カルドメインは、ユーザ が、ログインす る場合や、ディ レクトリドメインに保存 されたデータを必要と するほかの操作を実行 する場合に最 初に参照されるドメインです。 ユーザが Mac OS X コンピュータにログインすると、オープンディレクトリによって、コンピュー タのローカ ル・ディレクトリドメイ ンでユーザのレコード が検索されます。ローカ ル・ディレクト リドメ インにユー ザのレコード が含まれて いる場合で ユーザが正 しいパスワー ドを入力し た場合、 ログインプロセスが続行され、ユーザはコンピュータにアクセスできるようになります。 ログイン後、ユーザは、「移動」メニューから「サーバへ接続」を選び、ファイルサービスを使用す るために Mac OS X Server に接続できます。この場合は、サーバのオープンディレクトリが、サー バのローカル・ディレクトリドメイン内でユーザのレコードを検索します。サーバのローカル・ディ レクトリドメ インにユーザのレコー ドが保存されていて、ユー ザが正しいパスワード を入力した場 合、サーバはファイルサービスへのアクセス権をユーザに与えます。 Mac OS X ローカル・ ローカル・ ディレクトリ ディレクトリ にログイン ドメイン Mac OS X Server の ファイルサービスに接続 ドメイン Mac OS X コンピュータをはじめて設定する場合は、コンピュータのローカル・ディレクトリドメイ ンが自動的 に作成され、ドメインに レコードが格納され ます。たとえば、インストール を実行した ユーザのユ ーザレコードが作成さ れます。ユーザレコードに は、設定中に入力されたユ ーザ名とパ スワード、およびユーザの一意の ID やユーザのホームディレクトリの場所などの情報が含まれます。 30 第1章 オープンディレクトリを使ったディレクトリサービス 共有ディレクトリドメインについて すべての Mac OS X コンピュータ上のオープンディレクトリは、コンピュータのローカル・ディレ クトリドメ イン内に管理データを 保存できますが、オープン ディレクトリの真の効 果は、共有ディ レクトリドメイン内にデータを保存することによって、複数の Mac OS X コンピュータが管理デー タを共有できる点にあります。コンピュータが共有ドメインを使用する ように設定されている場合、 そのコンピュ ータ上で実行されるアプ リケーションやシステ ムソフトウェアも共有ド メイン内のす べての管理データにアクセスできます。 オープンディレクトリが Mac OS X コンピュータのローカルドメイン内でユーザのレコードを見つ けることが できない場合、オープンデ ィレクトリは、そのコンピ ュータがアクセスでき るすべての 共有ドメイ ン内でユーザのレコー ドを検索できます。次の例 では、両方のコンピュータ からアクセ スできる共有 ドメイン内にユーザの レコードが含まれてい るので、ユーザは両方のコ ンピュータに アクセスできます。 共有 ディレクトリ ドメイン Mac OS X ローカル・ ローカル・ ディレクトリ ディレクトリ にログイン ドメイン Mac OS X Serverの ファイルサービスに接続 ドメイン 共有ドメイ ンは通常、サーバ上に置 かれています。これは、ディ レクトリドメインが認 証するユー ザのデータ などの極めて重要なデ ータを保管するため です。通常、サーバへのアク セスは、そこに あるデータ を保護するために厳し く制限されます。さらに、ディ レクトリデータは常に 利用可能で ある必要が あります。多くの場合、サーバ には信頼性を高めるた めの特別なハードウェ アが用意さ れています。また、サーバは無停電電源に接続することができます。 第1章 オープンディレクトリを使ったディレクトリサービス 31 既存のディレクトリドメイン内の共有データ 大学や世界的規模の企業など、一部の組織では、UNIX サーバや Windows サーバのディレクトリド メイン 内にユー ザ情報やそ の他の管 理データを 保存しま す。オープンデ ィレクト リは、Mac OS X Server システムの共有オープンディレクトリのドメインと同様に、アップル以外のドメインも検索 するように設定できます。 Windows サーバ Mac OS X Server ローカル ディレクトリ Active Directory 共有 ドメイン ディレクトリ ローカル ディレクトリ Mac OS 9 ユーザ Mac OS X ユーザ Windows ユーザ Mac OS X が ディ レ クト リ ド メイ ン を検 索 する 順 序を 設 定 する こ とが で きま す。検 索 方式 は、 Mac OS X がディレクトリドメインを検索する順序を決定します。検索方式については、次の章で説 明します。 32 第1章 オープンディレクトリを使ったディレクトリサービス 2 オープンディレクトリの検索方式 2 各コンピュータには検索方式があり、 1 つまたは複数のディレクトリ ドメインと、オープンディレクトリがそれらを検索する順序を指定し ます。 それぞれの Mac OS X コンピュータには、コンピュータのローカルディレクトリや特定の共有ディ レクトリなど、 オープンディレクトリが どのディレクトリドメ インにアクセスできる かを指定する 検索方式が あります。検索方式は、オープ ンディレクトリがディ レクトリドメインにア クセスする 順序も指定 します。オープンディレク トリは各ディレクトリ ドメインを順番に検索 し、一致が見つ かると検索 を停止します。たとえば、オ ープンディレクトリは、 探している名前と一致 するユーザ 名を持つレコードが見つかると、ユーザレコードの検索を停止します。 検索方式は「検索パス」とも呼ばれます。 検索方式のレベル 検索方式には、ローカルディレクトリのみ、ローカルディレクトリと共有ディレクトリ、またはロー カル ディレク トリと 複数の 共有ディ レクト リを含 めること ができ ます。共有 ディレク トリを 含む ネットワークでは、通常は複数のコンピュータが共有ディレクトリにアクセスします。この配置は、 一番上に共有 ディレクトリがあり一 番下にローカルディレ クトリがある、ツリーのよ うな構造とし て表現できます。 33 ローカルディレクトリの検索方式 最も単純な検索方式は、コンピュータのローカルディレクトリのみで構成されます。この場合、オー プンディレ クトリは、ユーザ情報とそ の他の管理データを各 コンピュータのローカ ル・ディレクト リドメイン内のみで検索します。ネットワーク上のサーバが共有ディレクトリを管理する場合、オー プンディレ クトリはユーザ情報や 管理データをそこで検 索しません。これは、共有ディ レクトリが コンピュータの検索方式の一部ではないためです。 検索方式 1 ローカル・ディレクトリドメイン ローカル・ディレクトリドメイン 2 レベルの検索方式 ネットワーク 上のサーバのいずれか が共有ディレクトリを 管理する場合は、ネットワ ーク上のすべ てのコンピュータの検索方式に共有ディレクトリを含めることができます。この場合、オープンディ レクトリはユ ーザ情報とその他の管 理データを最初にロー カルディレクトリで検索 します。必要な 情報がローカ ルディレクトリで見つ からない場合、オープンデ ィレクトリは共有ディ レクトリを確 認します。 共有ディレクトリドメイン 検索方式 1 2 ローカル・ディレクトリドメイン ローカル・ディレクトリドメイン 2 レベルの検索方式を使用できるケースについて、次に説明します: 共有ディレクトリドメイン 検索方式 1 2 34 ローカル・ディレクトリドメイン ローカル・ディレクトリドメイン ローカル・ディレクトリドメイン 英語クラスのコンピュータ 数学クラスのコンピュータ 理科クラスのコンピュータ 第2章 オープンディレクトリの検索方式 各学科(英語、数 学、理科)には、専用のコン ピュータがありま す。各学科の学生は、そ の学科の コンピュータのローカルドメインでユーザとして定義されています。これらの 3 つのローカルドメ インは同じ共有ドメインを使用し、すべての教師はその共有ドメインに定義されています。教師は、 共有ドメイ ンのメンバーとして、すべ ての学科のコンピュー タにログインできます。各 ローカルド メインの学生は、自分のローカルアカウントが置かれているコンピュータにのみログインできます。 ローカルド メインは、各部門のコン ピュータに置かれます が、共有ドメインは、ローカ ルドメイン のコンピュータからアクセスできるサーバ上に置くことができます。教師が 3 つの学科コンピュー タのいずれ かにログインしたとき に、ローカルドメインでそ の教師が見つからない 場合は、オープ ンディレクトリは共有ドメインを検索します。この例では、共有ドメインは 1 つのみですが、より 複雑なネットワークではより多くの共有ドメインが含まれる場合があります。 学校の Mac OS X Server 理科クラスの コンピュータ ローカル ディレクトリ ローカル ディレクトリ 共有 ディレクトリ ローカル ローカル ディレクトリ ディレクトリ 英語クラスの 数学クラスの コンピュータ コンピュータ 複数レベルの検索方式 ネ ット ワー ク上 の複 数の サー バが 共有 ディ レク トリ を管 理す る場 合は、ネ ット ワー ク上 のコ ン ピュータの検索方式に 2 つ以上の共有ディレクトリを含めることができます。より単純な検索方式 の場合、オープ ンディレクトリは常に、ユ ーザ情報とその他の管 理データを最初にロー カルディレ クトリで検 索します。必要な情報がロ ーカルディレクトリで 見つからないと、オープン ディレクト リは、各共有ディレクトリを検索方式で指定されている順序で検索します。 第2章 オープンディレクトリの検索方式 35 複数の共有ディレクトリを使用できるケースについて、次に説明します: 学校のディレクトリドメイン 検索方式 1 2 3 4 Active Directory ドメイン 理科クラスのディレクトリドメイン 数学クラスのディレクトリドメイン 英語クラスのディレクトリドメイン 各学科(英語、数 学、理科)には、共有ディレク トリドメインを管 理するサーバがあ ります。各教 室のコンピ ュータの検索方式は、コ ンピュータのローカル ドメイン、学科の共有ド メイン、および 学校の共有 ドメインを指定します。各 学科の学生は、学科のどの コンピュータにもログ インできる ように、その学 科のサーバの共有ド メインのユーザとして 定義されています。教師 は、どの教室の コンピュータにもログインできるように、学校のサーバの共有ドメインに定義されています。 管理データを定義するドメインを選択することによって、ネットワーク全体を対象とすることも、特 定のコンピュ ータのグループを対象 とすることもできます。検 索方式内の高いレベル に管理データ を置くほど、ユーザやシステムリソースの変更時に変更する必要がある個所が少なくなります。ディ レクトリサ ービスに関する局面の うち、管理者にとって最も 重要なのは、ディレクトリ ドメインと 検索方式の 計画だと言えます。この 計画は、共有するリソー ス、それらを共有する ユーザ、さらに はディレクトリデータの管理方法も反映している必要があります。 自動検索方式 Mac OS X コンピュータは、検索方式を自動的に設定するように設定できます。自動検索方式は 3 つ の部分で構成され、そのうちの 2 つはオプションです: • ローカル・ディレクトリドメイン • 共有 NetInfo ドメイン(オプション) • 共有 LDAP ディレクトリ(オプション) 36 第2章 オープンディレクトリの検索方式 コンピュー タの自動検索方式では、 常に、コンピュータのロー カル・ディレクトリドメ インが最初 に検索されま す。Mac OS X コンピ ュータがネットワークに 接続されていない場合、コ ンピュータ はユーザア カウントとその他の管 理データを、そのローカル・デ ィレクトリドメインの みで検索し ます。 次に、自動検索方式では、コンピュータが共有 NetInfo ドメインにバインドするように設定されて いるかどうかを判断します。コンピュータは、共有 NetInfo ドメインにバインドされている場合が あり、そのドメインが別の共有 NetInfo ドメインにバインドされ、さらにバインドが続いている場 合もあります。NetInfo バインディングがある場合は、自動検索方式の 2 番目の部分を構成します。 詳しくは、153 ページの「NetInfo バインディングについて」を参照してください。 最後に、自動検索方式を持つコンピュータは、共有 LDAP ディレクトリにバインドすることができ ます。コンピュータは起動時に、DHCP サービスから LDAP ディレクトリサーバのアドレスを取得 できます。Mac OS X Server の DHCP サービスは、DNS サーバおよびルーターのアドレスを提供す るのと同様に、LDAP サーバアドレスを提供できます。(アップル以外の DHCP サービスも LDAP サーバアドレスを提供できる場合があります。この機能は DHCP Option 95 と呼ばれます。) Mac OS X Server の DHCP サービスで、クライアントに自動検索方式のために特定の LDAP サーバ のアドレスを提供する場合は、DHCP サービスの LDAP オプションを設定する必要があります。手 順については、ネットワークサービス管理ガイドの DHCP の章を参照してください。 Mac OS X コンピュータで DHCP サービスから LDAP サーバのアドレスを取得する場合は、以下の 点に注意してください: • コンピュータが自動検索方式を使用するように設定されている必要があります。これには、DHCP から提供されるLDAPディレクトリを追加するオプションの選択も含まれます。詳しくは、114 ペー ジの「検索方式を設定する」および 118 ページの「 DHCP によって提供される LDAP ディレクト リを有効にする/無効にする」を参照してください。 • コンピュータの「ネットワーク」環境設定が、「DHCP」または「DHCP を使って IP アドレスを手 入力」に設定されている必要があります。Mac OS X は、最初は「DHCP」を使用するように設定 されています。「ネットワーク」環境設定の設定について詳しくは、「 Mac ヘルプ」を検索してく ださい。 自動検索方 式は、特にモバイルコン ピュータの場合に、利便性 と柔軟性に優れてい ます。自動検索 方式を持つコ ンピュータがネットワ ークから接続を解除さ れている場合や、別のネッ トワークに接 続されてい る場合、または別のサブネ ットに移動された場合、自 動検索方式が変わるこ とがありま す。コンピュー タがネットワークか ら接続を解除されてい る場合は、そのローカル・デ ィレクトリ ドメインを使 用します。コンピュータが 別のネットワークまた はサブネットに接続さ れている場合 は、その NetInfo バイン ディングを自動的に変更し、現在のサブネッ ト上の DHCP サービスから LDAP のアドレスを取得できます。自動検索方式では、新しい場所でディレクトリおよび認証サービ スを取得するために、コンピュータを再設定する必要はありません。 第2章 オープンディレクトリの検索方式 37 重要:自動の認証検索方式を使用し、DHCP から提供される LDAP サーバまたは DHCP から提供さ れる NetInfo ドメインを使用するように Mac OS X を設定すると、攻撃者にコンピュータの制御を 奪われる危険 性が増します。コンピュー タがワイヤレスネット ワークに接続するよう に設定されて いる場合、この危険性はさらに高くなります。詳しくは、117 ページの「コンピュータを不当な DHCP サーバから保護する」を参照してください。 カスタム検索方式 Mac OS X コンピュータで、DCHP が提供する自動検索方式を使用しない場合は、コンピュータにカ スタム検索 方式を定義できます。た とえば、カスタム検索方 式では、オープンディ レクトリ・サー バの共有ディレクトリドメインの前に Active Directory ドメインを検索するように指定できます。こ れによ り、ユーザは、 Active Directory ドメインか らユーザ レコードを 使用して ログイン したり、 オープンディ レクトリドメインからグ ループレコードおよび コンピュータレコードで 環境設定を管 理したりできます。 一般に、カスタム検索方式は、複数のネットワークでは、またはネットワークに接続されていないと きは、機能しま せん。これは、カスタム検索 方式が特定のネット ワークの特定のディレ クトリドメ インの可用性 に依存しているためで す。ポータブルコンピュー タが通常のネットワー クから接続を 解除されて いる場合、そのポータブル コンピュータは、カスタム 検索方式で共有ディレ クトリドメ インにアクセスすることはできなくなります。接続を解除されたコンピュータでも、それ自体のロー カル・ディレク トリドメインにはア クセスできます。これは、そ のドメインがすべての 検索方式で 最初のディレクトリドメインであるためです。ポータブルコンピュータのユーザは、ローカル・ディ レクトリドメインからユーザレコードを使用してログインできます。これには、モバイル・ユーザ・ アカウントが含まれることもあります。ユーザアカウントは、ポータブルコンピュータが通常のネッ トワークに接続したときにアクセスする共有ディレクトリドメインからミラーリングされます。 認証およびコンタクトの検索方式 Mac OS X コンピュータは、実際には複数の検索方式を持ちます。認証情報を検索するための検索方 式を持ち、コンタクト情報を検索するための別の検索方式を持ちます。オープンディレクトリは、認 証検索方式を 使って、ディレクトリドメ インからユーザ認証情 報やその他の管理デー タを検索して 取得します。オ ープンディレクトリ は、コンタクト検索方式を 使って、ディレクトリド メインから 名前、アドレス、その他のコンタクト情報を検索して取得します。 Mac OS X の「アドレスブック」 はこのコンタ クト情報を使用します が、その他のアプリケーシ ョンも同様にこれを使 うように設計 できます。 それぞれの検索方式は、自動、カスタム、またはローカルディレクトリのみにすることができます。 38 第2章 オープンディレクトリの検索方式 3 オープンディレクトリの認証 3 オープンディレクトリは、Mac OS X Server のディレクトリドメイン にアカウントが保存されているユーザを認証するためのさまざまな オプションを提供します。オプションには、Kerberos のほかに、ネッ トワークサービスで要求される従来の認証方法が含まれます。 オープンディレクトリは、次のようにしてユーザを認証できます: • シングルサインオンに Kerberos 認証を使用する • 従来の認証方法と、オープンディレクトリ・パスワード・サーバに安全に格納されているパスワー ドを使用する • 従来の認証方法 と、ユーザごとに安全なシャド ウ・パスワード・ファイルに格納 されているシャ ドウパスワードを使用する • レガシーシステ ムとの後方互換性のために、ユー ザのアカウントに直接保存され ている暗号化パ スワードを使用する • LDAP バインド認証のため、アップル以外の LDAP サーバを使用する また、オープン ディレクトリを使用 すると、パスワードの有効 期限や最小長などに ついて、すべて のユーザのためのパスワード方式やユーザごとに固有のパスワード方式を設定できます。(パスワー ド方式は、管理者、暗号化パスワード認証、または LDAP バインド認証には適用されません。) パスワードタイプ 各ユーザアカ ウントには、そのユーザア カウントの認証方法を 決定するパスワードタ イプがありま す。ローカル・ディレクトリドメインの場合、標準のパスワードタイプはシャドウパスワードです。 Mac OS X Server バージョン 10.3 からアップグレードされたサーバでは、ローカル・ディレクトリ ドメイン内の ユーザアカウントにオー プンディレクトリのパ スワードタイプを設定す ることもでき ます。 Mac OS X Server の LDAP ディレクトリ内のユーザアカウントの場合、標準のパスワードタイプは オープンディレクトリです。LDAP ディレクトリ内のユーザアカウントには、暗号化パスワードのパ スワードタイプを設定することもできます。 39 認証と認可 ログインウインドウや Apple ファイルサービスのようなサービスは、オープンディレクトリから のユーザ認証を必要とします。認証は、サービスがリソースへのユーザによるアクセスを許可する かどうかを決定するプロセスの一部です。通常、このプロセスには 認可も必要です。認証はユーザ の身元を証明し、認可は認証されたユーザが何を行うことができるかを決定します。一般的にユー ザは、有効な名前とパスワードを入力することによって認証を行います。その後でサービスが、認 証されたユーザに特定のリソースへのアクセスを認可します。たとえば、ファイルサービスは、認 証されたユーザが所有するフォルダとファイルへの完全アクセスを認可します。 クレジットカードを使用するときは、認証と認可が行われます。販売店は、売上伝票の署名をクレ ジットカードの署名と比較することによって認証を行います。次に、認証済みのクレジットカード の口座番号を銀行に提出します。これにより、口座残高と信用限度額に基づいて支払いが認可され ます。 オープンディレクトリでユーザアカウントを認証し、サービスアクセス制御リスト( SACL )でサー ビスの使用を認可します。オープンディレクトリでユーザを認証すると、ログインウインドウ用の SACL でそのユーザがログイン可能かどうかを判別します。AFP サービス用の SACL ではファイル サービスに接続可能かどうかを判別し、その他同様に判別を行います。一部のサービスでは、ユー ザが特定のリソースへのアクセスを認可されているかどうかも判別します。この認可では、ディレ クトリドメインから 追加のユーザアカ ウント情報を取得 する必要がある場 合があります。たとえ ば、AFP サービ スでは、ユーザが読み出しや書き込みを認 可されているフォルダやファイルを判 別するために、ユーザ ID とグループのメンバーシップ情報が必要です。 オープンディレクトリのパスワード ユーザのアカウン トにオープンディレクトリのパス ワードタイプがある場合、ユーザは、 Kerberos またはオープンディレクトリ・パスワード・サーバによって認証されます。 Kerberos は、信頼され たサーバが発行した資格情報を使用するネットワーク認証システムです。オープンディレクトリ・パ スワード・サーバでは、ネットワークサービスの一部のクライアントで要求される、従来のパスワー ド認証方法をサポートしています。 (Kerberos は、LDAP ディレクトリではなく共有 NetInfo ディレ クトリでア ップグレードされたサ ーバなど、一部のオープン ディレクトリ・サーバでは 利用できま せん。) Kerberos もオープンディレクトリ・パスワード・サーバも、ユーザのアカウントにはパスワードを 保存しません。Kerberos とオープンディレクトリ・パスワード・サーバは、両方ともディレクトリ ドメインとは 別の所にある安全なデ ータベースにパスワー ドを保存し、パスワードの 読み出しは一 切できません。パス ワードは設定と検証のみ行うこ とができます。悪意のあるユーザは、 Kerberos やオープン ディレクトリ・パスワー ド・サーバへのアクセスを 得るために、ネットワー ク上でログ インを試み ることがあります。オープ ンディレクトリのログ は、失敗したログイン試行 をユーザに 警告する ことができます。詳し くは、160 ページ の「オープンディレク トリの状況とログ を表示す る」を参照してください。 40 第3章 オープンディレクトリの認証 次のディレク トリドメイン内のユー ザアカウントには、オープ ンディレクトリのパス ワードを設定 できます: • Mac OS X Server の LDAP ディレクトリ • バージョン 10.2 ∼10.3 からアップグレードされたMac OS X Server のローカル・ディレクトリドメ イン • Mac OS X Server バージョン 10.2 からアップグレードされたサーバ、またはまだ 10.2 が動作してい るサーバの共有 NetInfo ディレクトリ 参考:オープンディレクトリのパスワードを使用して Mac OS X バージョン 10.1 以前にログインす ることはできません。Mac OS X バージョン 10.1 以前のログインウインドウを使ってログインする 必要がある ユーザは、暗号化パスワー ドを使用するように設 定する必要があります。こ のパスワー ドタイプは、ほかのサービスの問題にはなりません。たとえば、 Mac OS X バージョン 10.1 のユー ザは、オープンディレクトリのパスワードを使って Apple ファイルサービス用に認証できます。 シャドウパスワード シャドウパ スワードでは、オープン ディレクトリ・パスワード・ サーバと同じ従来の認 証方法をサ ポートしています。これらの認証方法は、ネットワークを介してスクランブル形式、つまりハッシュ で、シャドウパスワードを送信するために使用されます。 シャドウパス ワードは、ユーザアカウン トが置かれているディ レクトリドメインと同 じコンピュー タ上のファ イルに、複数のハッシュと して保存されます。パスワ ードはユーザアカウン トに保存さ れないため、ネットワークを介してパスワードを取得するのは簡単ではありません。各ユーザのシャ ドウパスワ ードは、シャドウパスワー ドファイルと呼ばれる 別々のファイルに保存 され、これらの ファイルは、ルート・ユーザ・アカウントによってのみ読み出せるように保護されます。 コン ピュータ のロー カルデ ィレクト リに保 存され ているユ ーザア カウン トだけが、シ ャドウ パス ワードを持 つことができます。共有デ ィレクトリに保存され たユーザアカウントは、シ ャドウパス ワードを持つことができません。 シャドウパ スワードは、モバイル・ユー ザ・アカウントのキャ ッシュされた認証も 提供します。モ バイル・ユーザ・アカウントについて詳しくは、ユーザ管理ガイドを参照してください。 暗号化パスワード 暗号化パス ワードは、暗号化された 値、つまりハッシュとして、 ユーザアカウント内に 保存されま す。この方法は、従 来より基本認証と呼 ばれており、ユーザレコ ードに直接アクセスす る必要があ るソフトウェアと最も互換性があります。たとえば、 Mac OS X バージョン 10.1 以前では、ユーザ アカウントに保存された暗号化パスワードを探すことが求められます。 暗号化による認証は、最大で 8 バイト(8 文字の ASCII 文字)の長さのパスワードのみをサポートし ます。これより 長いパスワードをユー ザアカウントに入力し た場合、暗号化パスワード の検証には 最初の 8 バイトのみが使用されます。シャドウパスワードとオープンディレクトリのパスワードで は、この長さの制限はありません。 ネットワーク上で安全にパスワードを送信するため、暗号化は DHX による認証方法をサポートして います。 第3章 オープンディレクトリの認証 41 パスワードに対するオフライン攻撃 暗号化パスワードはユーザアカウントに直接保存されるため、解読される可能性があります。共有 ディレクトリドメイン内のユーザアカウントは、ネットワーク上でアクセスできます。「ワークグ ループマネージャ」を持っているユーザや、コマンドラインツールの使いかたを知っているユーザ はだれでも、保存されているパスワードなどのユーザアカウントの内容をネットワーク上で読み出 すことができます。オープンディレクトリのパスワードとシャドウパスワードは、ユーザアカウン トに保存されません。そのため、これらのパスワードはディレクトリドメインから読み出すことは できません。 悪意のある攻撃者、つまりクラッカーにより、「ワークグループマネージャ」や UNIX コマンドを 使って、ユーザレコードをファイルにコピーされる可能性があります。クラッカーはこのファイル をシステムに転送し、さまざまな技術を使って、ユーザレコードに保存されている暗号化パスワー ドをデコードします。暗号化パスワードをデコードすれば、クラッカーは、正当なユーザ名と暗号 化パスワードを使って気付かれずにログインできます。 この攻撃は、オフライン攻撃と呼ばれています。システムにアクセスするためにログインに成功す る必要がないためです。 パスワードの暗号解読を阻止する非常に効果的な方法は、適切なパスワードを使用することです。 パスワードは、権限がないユーザが簡単に推測できないように、英数字と記号を組み合わせて指定 します。パスワードは実在の言葉で構成しないようにします。適切なパスワードには、数字と記号 ( # や $ など)を含める場合があります。また、特定のフレーズのすべての単語の、最初の文字で 構成する場合もあります。大文字と小文字を両方とも使用するようにします。 重要:シャドウパスワードとオープンディレクトリ・パスワードはユーザレコードに保存されない ため、オフライン攻撃を受ける可能性は低くなります。シャドウパスワードは別のファイルに保管 され、このファイルは、ルートユーザ(システム管理者とも呼ばれます)のパスワードを知ってい るユーザだけが読み出すことができます。オープンディレクトリのパスワード は、Kerberos KDC 内とオープンディレクトリ・パスワード・サーバのデータベース内に、安全に保管されます。ユー ザのオープンディレ クトリのパスワー ドは、オープンディレ クトリによる認証 の管理権限を持つ ユーザであっても、ほ かのユーザが読 み出すことはでき ません。 (この管理者 が変更できるのは、 オープンディレクトリのパスワードとパスワード方式だけです。) 暗号化パス ワードは安全であると 考えることはできませ ん。暗号化パスワードは、暗号 化パスワー ドが要求される UNIX クライアントや、Mac OS X バージョン 10.1 クライアントとの互換性が必要な ユーザアカウ ントでのみ使用するよ うにしてください。暗号化 パスワードはユーザア カウントに保 存されるためアクセスが容易であり、そのためオフライン攻撃を受けやすくなります(「パスワード に対するオフライン攻撃」を参照)。エンコードされた形式で保存されていますが、デコードは比較 的容易です。 42 第3章 オープンディレクトリの認証 暗号化パスワードの暗号化のしくみ 暗号化パス ワードはクリアテキス トでは保存されません。こ れらのパスワードは隠 蔽され、暗号化 により判読 不能になります。暗号化パ スワードは、クリアテキス トのパスワードを乱数 と共に数学 関数(一方向ハ ッシュ関数と呼ばれ ます)に提供することに よって、暗号化されま す。一方向ハッ シュ関数は 常に、特定の入力から暗号 化された同じ値を生成 しますが、生成した暗号化 された値か らオリジナルのパスワードを再生成するために使用することはできません。 暗号化された値を使ってパスワードを検証する際、Mac OS X は関数をユーザが入力したパスワード に適用し、それ をユーザアカウントま たはシャドウファイル に保管されている値と 比較します。値 が一致した場合、パスワードは有効とみなされます。 使用する認証オプションを決定する ユーザを認 証するため、オープンディ レクトリでは、使用する認 証オプションを決定す る必要があ ります。認証オプ ションには、Kerberos、オ ープンディレクトリ・パスワー ド・サーバ、シャドウ パスワード、または暗号化パスワードがあります。ユーザのアカウントには、使用する認証オプショ ンを指定する情報が含まれています。この情報は、認証機関属性と呼ばれています。このため、オー プンディレク トリは、ユーザが提供する 名前を使ってディレク トリドメイン内のユー ザのアカウン トを探しま す。次に、オープンディレクト リはユーザのアカウン トの認証機関属性を調 べて使用す る認証オプションを確認します。 ユーザの認証機関属性は、次の表に示すように、「ワークグループマネージャ」の「詳細」パネルで パスワ ードタイ プを変更 すること によって 変更できま す。詳しくは、 96 ペー ジの「ユーザ のパス ワードタイプを変更する」を参照してください。 パスワードタイプ 認証機関 オープンディレクトリ オープンディレクトリ・パスワー いずれか、または両方: ド・サーバや Kerberos1 • ;ApplePasswordServer; • ;Kerberosv5; シャドウパスワード 各ユーザのパスワードファイル、 ルートユーザのみ読み出し可能 ユーザレコード内の属性 いずれか: • ;ShadowHash;2 • ;ShadowHash;< 有効な認証方法の リスト > 暗号化パスワード ユーザレコード内のエンコードされ いずれか: たパスワード • ;basic; • 属性なし Mac OS X Server バージョン 10.2 のユーザアカウントは、 Kerberos 認証機関属性を含むように再設定する必要があります。 99 ページの「ユーザのシングルサインオン Kerberos 認証を有効にする」を参照してください。 ユーザレコード内の属性が「;ShadowHash;」で、有効な認証方法のリストがない場合は、デフォルトの認証方法が有効になりま す。デフォルトの認証方法のリストは、Mac OS X Server と Mac OS X とで異なります。 1 2 認証機関属 性では、複数の認証オプ ションを指定できます。た とえば、オープンディレ クトリのパ スワードタイプを 持つユーザアカウントには、通常 Kerberos とオープンディ レクトリ・パスワー ド・サーバの両方を指定する認証機関属性が設定されています。 第3章 オープンディレクトリの認証 43 ユーザアカ ウントに認証機関属性 が含まれている必要は、ま ったくありません。ユーザ のアカウン トに認証機関属性が含ま れていない場合、Mac OS X Server は、ユーザの アカウントに暗号化パス ワードが保存されているとみなします。たとえば、バージョン 10.1 以前の Mac OS X を使って作成 されたユーザ アカウントには暗号化 パスワードが含まれて いますが、認証機関属性は 含まれていま せん。 パスワード方式 オープンディ レクトリでは、パスワード タイプがオープンディ レクトリまたはシャド ウパスワード のユーザの パスワード方式を強化 します。たとえば、ユーザのパ スワード方式でパスワ ードの有効 期限の間隔 を指定できます。ユーザが ログインしたときに、オー プンディレクトリがユ ーザのパス ワードの有効 期限が切れていること を検出した場合、ユーザは 有効期限が切れたパス ワードを差し 替える必要があります。その後オープンディレクトリはユーザを認証できます。 パスワード 方式により、特定の日付、数 日後、待機状態の期間 の後、または何回かのロ グイン試行 の失敗の後 に、ユーザアカウントを 使用不可にすることが できます。パスワード方 式は、パスワー ドが最小の長さを満たすこと、少なくとも 1 つの英字を含むこと、少なくとも 1 つの数値を含むこ と、アカウント 名とは異なること、最新 のパスワードとは異な ること、または定期的に 変更するこ とを必要とする場合もあります。 モバイル・ユー ザ・アカウントのパスワ ード方式は、ネットワー クから接続解除されて いる場合も 接続されている場合も、そのアカウントが使用されているときに適用されます。モバイル・ユーザ・ アカウント のパスワード方式は、オフ ライン時に使用できる ようにキャッシュされ ています。モバ イル・ユーザ・アカウントについて詳しくは、ユーザ管理ガイドを参照してください。 パスワード 方式は、管理者アカウント には影響しません。管理者 はパスワード方式を自 由に変更で きるため、管理 者にはパスワード方 式は適用されません。また、 管理者にパスワード方 式を適用す ると、サービス拒否攻撃を受ける可能性があります。 Kerberos とオープンディレクトリ・パスワ ード・サーバは、パスワード方式を別 々に管理します。 オープンディレクトリ・サーバは、Kerberos のパスワード方式のルールとオープンディレクトリ・ パスワード・サーバのパスワード方式のルールを同期させます。 シングルサインオン認証 Mac OS X Server は、シングルサインオン認証のために Kerberos を使用します。これによりユーザ は、すべてのサ ービスに対して名前と パスワードを別々に入 力する手間を軽減でき ます。シングル サインオンでは、ユーザは常にログインウインドウに名前とパスワードを入力します。その後、ユー ザは、Kerberos 認証を使用する Apple ファイルサービスやメールサービスなどのサービスに対して 名前とパス ワードを入力する必要 がなくなります。シングル サインオン機能を活用 するには、ユー ザとサービスを Kerberos 対応にし、つまり Kerberos 認証用に設定し、それらが同じ Kerberos KDC (Key Distribution Center)サーバを使用する必要があります。 44 第3章 オープンディレクトリの認証 Mac OS X Server の LDAP ディレクトリ内にあり、オープンディレクトリのパスワードタイプを持 つユ ーザ アカ ウン トは、サ ーバ の組 み込み KDC を 使用し ます。こ れら のユ ーザ アカ ウン トは、 Kerberos およびシングルサインオン用に自動的に設定されます。 このサーバの Kerberos に対応し たサービスもサーバの組み込み KDC を使用し、自動的にシングルサインオン用に設定されます。こ の Mac OS X Server KDC では、その他のサーバによって提供されるサービスでもユーザを認証でき ます。Mac OS X Server が搭載された追加のサーバで Mac OS X Server KDC を使用するときは、最 小限の設定だけで済みます。 Kerberos 認証 Kerberos は、インターネッ トなどの開かれたネ ットワークでの安 全な認証と通信を提 供するため に、MIT が開発しました。この名前は、ギリシア神話の、冥府への入口を守る 3 つの頭を持つ番犬 にちなんで付けられました。 Kerberos は、2 者に対し て身元証明書を提示します。使用したいネットワ ークサービスに対して、 自分の身元を証明できます。また、アプリケーションに対して、ネットワークサービスが正統で、詐 称されていないことも証明します。ほかの認証システムと同様、Kerberos では認可は提供しません。 証明された身元に基づいて、それぞれのネットワークサービスで独自に許可内容を決定します。 Kerberos を使えば、クライアントとサーバは、従来展開されてきた通常のチャレンジ/レスポンス 型のパスワード 認証方法よりも格段に安全に、相互 に明瞭に識別できます。また、 Kerberos では、 シングルサインオン環境を提供します。シングルサインオン環境では、ユーザが 1 日、1 週間、また は一定の期間に 1 回だけ認証すれば済むため、ユーザにかかる認証の負担が軽減されます。 Mac OS X Server では、実質的にだれでも展開可能な、統合された Kerberos サポートを提供してい ます。実際、Kerberos の展開は自動化されているため、ユーザや管理者はその展開に気付かないこ ともあります。Mac OS X バージョン 10.3 以降では、ユーザがオープンディレクトリ認証に設定さ れたアカウントを使用してログインすると、自動的に Kerberos が使用されます。これは、Mac OS X Server LDAP ディレクトリのユーザアカウントのデフォルト設定です。AFP やメールサービスなど、 LDAP ディレクトリサーバが提供するその 他のサービスでも、Kerberos が 自動的に使用されます。 ネットワークに Mac OS X Server バージョン 10.4 が搭載された追加のサーバがある場合、それらの サーバは簡単に Kerberos サーバに接続する ことができ、それらのサーバのほと んどのサービスで Kerberos が自動的に使用されます。また、Microsoft Active Directory などの Kerberos システムが すでにネットワークにある場合は、認証にそれを使うように Mac OS X Server および Mac OS X コ ンピュータを設定することもできます。 Mac OS X Server および Mac OS X のバージョン 10.3 および 10.4 は、 Kerberos バージョン 5 をサ ポートします。 第3章 オープンディレクトリの認証 45 Kerberos 展開の障壁をなくす 最近 まで、Kerberos は 大学 や 一部 の官 公庁 サ イト 向け のテ ク ノロ ジー にす ぎ ませ んで した。 Kerberos がそれほど優れているなら、なぜもっと広く展開されないのでしょうか。それは、採用 時の障壁をなくす必要があったのです。 Mac OS X および Mac OS X Server のバージョン 10.3 以降では、Kerberos を採用する際の歴史的 な障壁が取り除かれています。 • 管理者は、Kerberos KDC (Key Distribution Center)を設定する必要がありました。これは、 展開と管理において重要なプロセスであり、覚悟がなければできませんでした。 • ディレクトリシステムとの標準的な統合方法はありませんでした。Kerberos では認証だけを行 います。ユーザ ID( UID )、ホームディレクトリの場所、グループのメンバーシップなどのユー ザアカウントのデータは保存されません。管理者は、Kerberos とディレクトリシステムを統合 する方法を解明する必要がありました。 • すべてのサーバは、Kerberos KDC に登録する必要がありました。このため、サーバの設定プロ セスに追加の作業が必要でした。 • Kerberos サーバを設定したら、管理者はすべてのクライアントコンピュータの前に来て、 Kerberos を使用するようにそれぞれのコンピュータを設定する必要がありました。この作業は 難しくはありません が、時間がかかる上に、設定 ファイルを編集した り、コマンドラインツー ルを使用したりする必要がありました。 • 一連の Kerberos 対応アプリケーション(サーバソフトウェアとクライアントソフトウェア)が 必要でした。基本的なアプ リケーションの中に は利用可能なものも ありますが、移植して自分 の環境で使用できるように変更することは簡単ではありませんでした。 • クライアント/サーバ型の認証に使用されるすべてのネットワークプロトコルが Kerberos に対 応しているわけではあ りません。一部のネット ワークプロトコルで は、依然として従来のチャ レンジ/レスポンス型の認証方法が必要です。また、Kerberos とこれらの従来型のネットワー ク認証方法を統合する標準的な方法はありません。 • Kerberos クライアントはフェイルオーバーをサポートしているので、ある KDC がオフラインの 場合でも複製を使用できます。しかし、管理者は、Kerberos の複製を設定する方法を解明する 必要がありました。 • 管理ツールは、統合されて いませんでした。ディレ クトリドメインのユ ーザアカウントを作成 および編集するためのツールは、Kerberos について何も認識しませんでした。また、Kerberos のツールは、ディレクトリのユーザアカウントについて何も認識しませんでした。ユーザレコー ドの設定は、KDC とディレクトリシステムを統合した方法に基づく操作で、サイトごとに異な りました。 シングルサインオン環境 Kerberos は、資格情報またはチケットベースのシステムです。ユーザが Kerberos システムに 1 回 ログイ ンすると、有効 期限のあ るチケット が発行され ます。このチケ ットの有 効期限内で あれば、 ユーザは、Kerberos 対応のサービスにアクセスするために再度認証を受ける必要はまったくありま せん。Mac OS X の「 Mail」アプリケーションなど、ユーザの Kerberos 対応ソフトウェアでは、有 効な Kerberos チケットを自動的に提示してユーザを認証し、 Kerberos 対応のサービスを利用でき るようにします。これにより、シングルサインオン環境を実現します。 46 第3章 オープンディレクトリの認証 Kerberos チケットは、たとえば、週末の 3 日間複数のナイトクラブで開催されるジャズフェスティ バルのプレスパスのようなものです。パスを入手するには、自分の身元を 1 回証明します。パスの 有効期限が切れるまでは、どのナイトクラブでもパスを示せば、公演のチケットを入手できます。参 加しているナイトクラブはすべて、再度身元証明書を確認することなく、パスを受け入れます。 安全な認証 インターネ ットは本質的に安全で はありません。多くの認証 プロトコルでは、依然とし て本当のセ キュリティ を提供していません。悪意 のあるハッカーは、簡単に 入手可能なソフトウェ アツールを 使用して、ネッ トワークを介して送信 されるパスワードを傍 受できます。多くのアプリ ケーション ではパスワ ードを暗号化せずに送 信するため、傍受したパス ワードはすぐに使えま す。暗号化され たパスワー ドであっても、完全に安 全ではありません。十分な 時間と計算能力があ れば、暗号化さ れたパスワードを破ることができます。 ファイアウォ ールを使用してプライベ ートネットワーク上の パスワードを隔離するこ とができます が、それも万能 薬というわけではあ りません。ファイアウォー ルでは、不満や悪意を持 つ内部関係 者に対するセキュリティは提供されません。 Kerberos は、ネットワークセキュリティの問題を解決するために設計されました。Kerberos では、 ユーザのパス ワードをネットワーク 上に送信したり、ユーザの コンピュータのメモリ やディスクに 保存したりすることはありません。そのため、Kerberos の資格情報が破られたり危険にさらされた りしても、攻撃 者が元のパスワード を知ることはなく、危険に さらされるとしても、そ れはネット ワーク全体ではなく、ネットワークのごく一部に限られます。 Kerberos では、優れたパスワード管理だけでなく相互認証も行います。クライアントはサービスへ の認証を受け、サービスはクライアントへの認証を受けます。 Kerberos 対応のサービスを使用して いるときは、Man-in-the-Middle 攻撃、つまりなりすまし攻撃は不可能です。つまり、ユーザはア クセスしているサービスを信頼できます。 パスワードの次の段階へ ネットワー ク認証は扱いにくい分 野です。新しいネットワー ク認証方法を展開する には、クライア ントとサー バの両方で認証方法に 関する合意がなければ なりません。また、任意のクラ イアント/ サーバプロセ スでカスタムの認証方 法に合意することは可 能ですが、一連のネットワ ークプロトコ ル、プラットフォーム、およびクライアントで広く採用することは事実上不可能です。 たとえば、ネットワーク認証方法としてスマートカードを展開するとします。 Kerberos を使用しな いと、新しい方 法に対応するために、クラ イアント/サーバのす べてのプロトコルを変 更する必要 がありま す。そのプロトコル のリストには、SMTP、 POP、IMAP、AFP、SMB、 HTTP 、FTP、IPP、 SSH、QuickTime Streaming、DNS、LDAP、Netinfo、RPC、NFS、AFS 、WebDAV、LPR などが含 まれ、ほかにも まだまだあります。ネット ワーク認証を行うすべ てのソフトウェアのこ とを考える と、新しい認証方法を一連のネットワークプロトコルすべてに展開することはやっかいな作業です。 この作業は 1 つの製造元のソフトウェアでは実行可能かもしれませんが、新しいスマートカードの 方法を使用す るために、すべての製造元 のクライアントソフト ウェアを変更しようと は思わないで しょう。さ らに、スマートカ ード認証を Mac OS X、Windows、および UNIX の複数のプ ラット フォームで使用したい場合もあります。 第3章 オープンディレクトリの認証 47 Kerberos の設計により、Kerberos をサポートするクライアント/サーバ型のバイナリやプロトコル では、ユーザが身元(ユーザ名とパスワードのペア、スマートカードと PIN など)を証明する方法 を認識することはありません。そのため、Kerberos クライアントと Kerberos サーバを変更するだ けでスマート カードなどの新しい身 元証明書を受け入れる ことができ、クライアント とサーバの新 しいバージョンのソフトウェアを展開せずに、Kerberos ネットワーク全体で新しい身元証明書の方 法を採用できます。 マルチプラットフォーム認証 Kerberos は、Mac OS X、Windows、Linux、各種の UNIX など、すべての主要プラットフォームで 使用できます。 集中管理された認証 Kerberos では、ネットワークの中央認証機関を提供します。ネットワーク上の Kerberos 対応のサー ビスとクラ イアントはすべて、この 中央機関を使用します。管 理者は、認証方式と操作 を集中的に 監査および制御できます。 Kerberos に対応しているサービス Kerberos は、Mac OS X Server の次のサービス用にユーザを認証できます: • ログインウインドウ • メールサービス • AFP ファイルサービス • FTP ファイルサービス • SMB/CIFS ファイルサービス(Active Directory の Kerberos 保護領域のメンバーとして) • VPN サービス • Apache Web サービス • LDAP ディレクトリサービス これらのサービスは、実行していてもいなくても、Kerberos に対応しています。Kerberos を使って ユーザを認証できるのは、Kerberos に対応しているサービスだけです。Mac OS X Server には、MIT ベースの Kerberos と互換性のある追加のサービスを Kerberos に対応させるためのコマンドライン ツールが含 まれています。詳しくは、コマ ンドライン管理ガイド のオープンディレクト リの章を参 照してください。 Kerberos のプリンシパルと保護領域 Kerberos に対応したサービスは、 特定の Kerberos 保護領域で認識されるプリンシパルを認証する ように設定されています。保護領域は、 Kerberos 固有のデータベースまたは認証ドメインとみなす ことができます。ここには、ユーザとサービス(「プリンシパル」と呼ばれます)を検証するための データが保 管されています。サーバ の検証データが保管さ れることもあります。た とえば、保護領 域にはプリ ンシパルの秘密鍵が含 まれています。これは、パスワ ードに適用される一方 向関数の結 果です。通常、サー ビスのプリンシパル は、パスワードではなく ランダムに生成される 秘密に基づ いています。 保護領域とプリンシパル名の例を挙げます。保護領域名は、 DNS ドメイン名と区別するために、名 前付け規則により大文字で記述します: • 保護領域: MYREALM.EXAMPLE.COM 48 第3章 オープンディレクトリの認証 • ユーザプリンシパル: [email protected] • サービスプリンシパル: afpserver/[email protected] Kerberos 認証プロセス Kerberos 認証には、いくつかのフェーズがあります。最初のフェーズで、クライアントは、Kerberos に対応したサービスへのアクセスを要求するために使用する資格を取得します。次のフェーズで、ク ライアントは、特定のサービスに対する認証を要求します。最後のフェーズで、クライアントは、そ れらの資格をサービスに示します。 次の図で、この状況の概略を示します。この図の中のサービスとクライアントは、同じエンティティ (ログインウインドウなど)である場合も、2 つの別のエンティティ(メールクライアントとメール サーバなど)である場合もあることに注意してください。 4 KDC 6 (Key Distribution Center) Kerberos に 2 対応したサービス 3 クライアント 1 1 5 クライアントは Kerberos KDC(Key Distribution Center)に認証します。Kerberos KDC は、保護 領域を操作し て認証データにアクセ スします。パスワードとそ れに関連するパスワー ド方式情報の チェックが必要となるのは、この手順のみです。 2 KDC はクライアントに、クライアントが Kerberos に対応したサービスを使用するときに必要な資格 情報である 身分証明書を発行し ます。身分証明書は、設定可 能な期間中は有効 です。ただし、期限 切れの前に 取り消すことができま す。身分証明書は、期限切れ になるまで、クライアン トのキャッ シュに保存されます。 3 クライアントは、特定の Kerberos に対応したサービスを使いたいときに、身分証明書によって KDC と連絡します。 4 KDC は該当のサービスに対してチケットを発行します。 5 クライアントは、サービスにチケットを示します。 6 サービスは、チケットが有効であることを検証して、クライアントを認証します。 サービスは、ク ライアントを認証する と、クライアントがサービ スを使用する権限が認 証されてい るかどうかを判別します。Kerberos は、クライアントを認証するだけで、クライアントがサービス を使用する権限は認証し ません。たとえば、多くのサービスでは、 Mac OS X Server のサービスア クセス制御リ ストを使用して、クライア ントがサービスを使用 する権限が認証されて いるかどうか を判別します。 Kerberos はパスワードやパスワード方式の情報をどのサービスにも送信しないことに注意してくだ さい。いったん身分証明書を取得した後は、パスワード情報を入力する必要はありません。 第3章 オープンディレクトリの認証 49 Kerberos では時間が非常に重要です。クライアントと KDC が数分以上同期しない場合、クライア ントは KDC を使って認証を得ることができなくなります。日付、時刻、および時間帯の情報は、KDC サーバおよびクライアント上で正確である必要があります。これらはすべて、同じネットワーク・タ イム・サービスを使用してそれぞれの時計を同期させる必要があります。 Kerberos について詳しくは、MIT Kerberos の Web サイトを参照してください: web.mit.edu/kerberos/www/index.html オープンディレクトリ・パスワード・サーバとシャドウパスワード の認証方法 さまざまなサービスとの 互換性を持たせるため、Mac OS X Server では 、さまざまな認証方法を使 用して、オープ ンディレクトリのパス ワードとシャドウパス ワードを検証します。オー プンディレ クト リのパ スワー ドの場 合、Mac OS X Server では、標準 の SASL( Simple Authentication and Security Layer)方法を使用してクライアントとサービス間で認証方法をネゴシエートします。シャ ドウパスワードの場合、SASL を使用するかどうかは、ネットワークプロトコルによって決まります。 認証方法 ネットワークのセキュリティ 記憶域のセキュリティ 使用するもの APOP 暗号化、クリアテキストの クリアテキスト POP メールサービス 暗号化 IMAP メールサービス、 LDAP サービス フォールバックを使用 CRAM-MD5 暗号化、クリアテキストの フォールバックを使用 DHX 暗号化 暗号化 AFP ファイルサービス、 オープンディレクトリの 管理 Digest-MD5 暗号化 暗号化 ログインウインドウ、 メールサービス MS-CHAPv2 暗号化 暗号化 VPN サービス NTLMv1 と NTLMv2 暗号化 暗号化 SMB/CIFS サービス (Windows NT / 98 以降) LAN Manager 暗号化 暗号化 SMB/CIFS サービス (Windows 95 ) WebDAV-Digest 暗号化 クリアテキスト WebDAV ファイルサービス (iDisk ) 認証を必要と する各サービスが使用 する方法と使用しない 方法があるため、オープン ディレクトリ は、多数のさま ざまな認証方法をサポ ートする必要がありま す。ファイルサービスはあ る認証方法 のセットを使用し、Web サービスは別の認証方法のセットを使用し、さらにメールサービスはまた 別のセットを使用します。 50 第3章 オープンディレクトリの認証 ほかの認証 方法よりも安全な認証 方法もあります。より安全 な方法は、より強固なアル ゴリズムを 使用してク ライアントとサーバ間 で送信する情報をエン コードします。また、より安全 な認証方法 は、サーバから 容易に回復できないハ ッシュと呼ばれる暗号 化パスワードを保存し ます。安全性の 低い方法は、回復可能なクリアテキストのパスワードを保存します。 管理者やルー トユーザを含み、暗号化パ スワードをデータベー スから読み出して回復 できるユーザ はいません。管 理者は「ワークグループ マネージャ」を使ってユ ーザのパスワードを設 定できます が、ユーザのパスワードを読み出すことはできません。 参考:Mac OS X Server バージョン 10.4 以降を Mac OS X Server10.3 以前のディレクトリドメイン に接続する場合は、古いディレクトリドメインに定義されているユーザは NTLMv2 方法で認証でき ない こと を認識 してお いて くださ い。この方 法で は、Mac OS X Server バ ージ ョン 10.4 以 降の Windows サービスのために、一部の Windows ユーザを安全に認証する必要があります。Mac OS X Server バージョン 10.4 以降のオープンディレクトリ・パスワード・サーバは NTLMv2 による認証 をサポートしますが、Mac OS X Server バージョン 10.3 以前のパスワードサーバは NTLMv2 をサ ポートしません。 同様に、Mac OS X Server バージョン 10.3 以降を Mac OS X Server バージョン 10.2 以前のディレ クト リド メイ ンに 接続 する 場合 は、古い ディレ クト リド メイ ンに 定義 され ている ユー ザは MSCHAPv2 方法で認証できません。この方法では、Mac OS X Server バージョン 10.3 以降の VPN サー ビスのために、ユーザを安全に認証する必要があります。 Mac OS X Server バージョン 10.3 以降の オ ープ ン ディ レク ト リ・パス ワ ード・サ ーバ は MS-CHAPv2 によ る 認証 を サポ ート し ます が、 Mac OS X Server バージョン 10.2 のパスワードサーバは MS-CHAPv2 をサポートしません。 オープンディレクトリの認証方法を無効にする 認証方法を 選択的に無効にするこ とによって、サーバでのオ ープンディレクトリ・パス ワードの保 存のセキュリティを高めることができます。たとえば、Windows サービスを使用するクライアント がない場合は、NTLMv1 、NTLMv2、および LAN Manager の認証方法を無効にして、これらの方法 を使用して パスワードをサーバに 保存できないようにで きます。そうすれば、だれかが 何らかの方 法でサーバの パスワードデータベー スにアクセスしても、これ らの認証方法の脆弱性 を悪用してパ スワードを破ることはできません。 重要:認証方法 を無効にすると、次回ユー ザが認証を行うときに そのハッシュがパスワ ードデータ ベースから 削除されます。無効にされ ていた認証方法を有効 にする場合は、オープンデ ィレクトリ のパ スワード をすべ て再設 定して、新 しく有効 にされ た認証方 法のハ ッシュ をパスワ ードデ ータ ベースに追 加する必要があります。ユ ーザは自分のパスワー ドを再設定でき、ディレク トリ管理者 がその再設定を行うこともできます。 第3章 オープンディレクトリの認証 51 認証方法を 無効にすると、悪意のある ユーザがオープンディ レクトリのサーバ(マスタ ーまたは複 製)、またはオープンディレクトリのマスターのバックアップが保存されたメディアに物理的にアク セスできる 場合に、オープンディレ クトリ・パスワード・サーバ のデータベースのセキ ュリティが 強化されます。パスワードデータベースにアクセスできるユーザは、どの認証方法によってパスワー ドデータベー スに保存されたハッシ ュまたは回復可能なテ キストでも攻撃して、ユー ザのパスワー ド破りを試 みることができます。無効 にした認証方法では、パス ワードデータベースに 何も保存さ れないため、オ ープンディレクトリのサ ーバまたはそのバック アップに物理的にアク セスできる攻 撃者が利用できる攻撃方法が 1 つ減ります。 一部の認証方 法によってパスワード データベースに保存さ れたハッシュは、ほかのハ ッシュよりも 簡単に破ることができます。回復可能な認証方法は実際に、(そのままで判読可能な)クリアテキス トを保存します。クリアテキストまたは弱いハッシュを保存する認証方法を無効にすると、強いハッ シュを保存す る認証方法を無効にす る場合よりもさらに、パス ワードデータベースの セキュリティ が強化されます。 オープンディレクトリのマスター、複製、およびバックアップが安全であると確信している場合は、 すべての認証 方法を選択できます。オー プンディレクトリのサ ーバまたはそのバック アップメディ アのいずれかの物理的セキュリティに懸念がある場合は、一部の認証方法を無効にします。 参考:認証方法 を無効にしても、ネットワ ークを介して伝送され る間のパスワードのセ キュリティ が向上するわけではありません。効果があるのはパスワードデータベースのセキュリティだけです。 実際には、一部 の認証方法を無効にす ると、クライアントではク リアテキストのパスワ ードをネッ トワ ーク経由 で送信 するよ うにソフ トウェ アを設 定しなけ ればな らなく なる場合 があり、そ れに よって逆にパスワードのセキュリティが低下する可能性があります。 シャドウパスワードの認証方法を無効にする 認証方法を選 択的に無効にすること によって、シャドウパスワ ードのファイルに保存 したパスワー ドのセキュリティを高めることができます。たとえば、ユーザがメールサービスまたは Web サービ スを使用しない場合は、そのユーザの WebDAV-Digest および APOP の認証方法を無効にすること ができます。こ うすると、だれかが何らか の方法でサーバ上のシ ャドウパスワードのフ ァイルにア クセスしても、ユーザのパスワードを回復することはできません。 重要:シャドウパスワードの認証方法を無効にすると、次回ユーザが認証を行うときにそのハッシュ がユーザのシ ャドウパスワードのフ ァイルから削除されま す。無効になっていた認証 方法を有効に すると、ログインウインドウや AFP などのクリアテキストのパスワードを使用できるサービスを利 用するために ユーザが次回認証を行 うときに、新しく有効にし た方法のハッシュがユ ーザのシャド ウパスワー ドのファイルに追加さ れます。または、ユーザのパ スワードを再設定し て、新しく有効 にした方法 のハッシュを追加する こともできます。ユーザは パスワードを再設定で き、ディレクト リ管理者がその再設定を行うこともできます。 52 第3章 オープンディレクトリの認証 認証方法を無効にすると、悪意のあるユーザがサーバのシャドウパスワードのファイル、またはシャ ドウ パスワー ドのフ ァイルの バック アップが 保存さ れたメデ ィアに 物理的に アクセ スできる 場合 に、シャドウパ スワードのセキュリテ ィが強化されます。パスワ ードのファイルにアク セスできる ユーザは、どの認証方法によって保存されたハッシュまたは回復可能なテキストでも攻撃して、ユー ザのパスワード破りを試みることができます。無効にした認証方法では何も保存されないため、サー バのシャドウ パスワードのファイルま たはそのバックアップ に物理的にアクセスでき る攻撃者が利 用できる攻撃方法が 1 つ減ります。 一部の認証方法によって保存されたハッシュは、ほかのハッシュよりも簡単に破ることができます。 回復可能な 認証方法を使用すると、元 のクリアテキストのパ スワードは、ファイルに保 存されてい る内容から再 構築できます。回復可能な ハッシュまたは弱いハ ッシュを保存する認証 方法を無効に すると、強いハ ッシュを保存する認証 方法を無効にする場合 よりもさらに、シャドウパ スワードの ファイルのセキュリティが強化されます。 サーバ のシャドウ パスワードの ファイルお よびバック アップが安 全であると確 信している 場合は、 すべての認証 方法を選択できます。サー バまたはそのバックア ップメディアのいずれ かの物理的セ キュリティに懸念がある場合は、一部の認証方法を無効にします。 参考:認証方法 を無効にしても、ネットワ ークを介して伝送され る間のパスワードのセ キュリティ が向上する わけではありません。効果 があるのはパスワード の記憶域のセキュリテ ィだけです。実 際には、一部の 認証方法を無効にする と、クライアントではクリ アテキストのパスワー ドをネット ワーク経由で 送信するようにソフト ウェアを設定しなけれ ばならなくなる場合があ り、それによっ て逆にパスワードのセキュリティが低下する可能性があります。 オープンディレクトリ・パスワード・サーバのデータベースの内容 オープンデ ィレクトリ・パスワード・サ ーバは、認証データベー スをディレクトリドメ インとは別 に管理します。オープンディレクトリでは、認証データベースへのアクセスを厳しく制限します。 オープンデ ィレクトリ・パスワード・サ ーバは、オープンディレ クトリのパスワードタ イプを持っ ているユーザアカウントごとに、次の情報をその認証データベースに保存します: • ユーザのパスワード ID。パスワードが作成されたときに割り当てられた 128 ビット値。これはディ レクトリドメイン内のユーザのレコードにも保存され、オープンディレクトリ・パスワード・サー バのデータベースでユーザのレコードを検索するためのキーとして使われます。 • 回復可能な(クリ アテキスト)形式またはハッシ ュされた(暗号化された)形式で 保存されたパ スワード。形式は認証方法によって異なります。APOP および WebDAV 認証方法の場合、復元可 能なパスワード が保存されます。ほかのすべて の方法の場合、レコードにはハ ッシュされた(暗 号化された)パスワ ードが保存されます。クリアテ キストパスワードを必要とす る認証方法が使 用できない場合、オ ープンディレクトリの認証デ ータベースはパスワードのハッ シュのみを保存 します。 第3章 オープンディレクトリの認証 53 • 「サーバ管理」で表示可能なログメッセージで使用するユーザ名(ショートネーム)。 • パスワード方式のデータ。 • タイムスタンプ および使用状況に関するその 他の情報。最後のログイン時刻、最 後に失敗した検 証の時刻、失敗した検証の回数、複製の情報など。 LDAP バインド認証 アップル以外のサーバ上の LDAP ディレクトリにあるユーザアカウントの場合、オープンディレク トリは LDAP バインド認証を使用しようとします。オープンディレクトリは LDAP ディレクトリサー バに、認証するユーザが提供する名前とパスワードを送信します。LDAP サーバが一致するユーザレ コードとパスワードを見つけると、認証が成功します。 LDAP ディレクトリサービスとクライアントコンピュータからそのサービスへの接続が、ネットワー クを介してクリアテキストのパスワードを送信できるように設定されている場合、LDAP バインド認 証は安全でないことがあります。オープンディレクトリは、LDAP ディレクトリで安全な認証方法を 使用しようとします。ディレクトリが安全な LDAP バインドをサポートしておらず、クライアント の LDAPv3 接続でクリアテキストのパスワードを送信できる場合、オープンディレクトリは単純な LDAP バイ ンドに切 り替え られま す。この場合、 SSL (Secure Sockets Layer)プロ トコル経 由で LDAP ディレクトリにアクセスするよう設定することで、単純な LDAP バインド認証を安全なものに することができます。SSL は、LDAP ディレクトリとのすべての通信を暗号化することによって、ア クセスを安全なものにします。詳しくは、128 ページの「LDAP 接続のセキュリティポリシーを変更 する」および 127 ページの「LDAP ディレクトリの接続設定を変更する」を参照してください。 Authentication Manager Mac OS X Server は、 Mac OS X Server v 10.0 ∼ 10.2 で従来の「 Authentication Manager」の技 術を使用するように設定されていたユーザをサポートしています。 「Authentication Manager 」は、次のようなユー ザのパスワードを 安全に検証するた めの、従来の 技術です: • Windows サービスのユーザ( SMB-NT、 SMB-LM、および CRAM-MD5 のサポートを含む) • Mac OS 8 コンピュータが AFP クライアントソフトウェア v3.8.3 以降でアップグレードされなかっ た Apple ファイルサービスのユーザ • APOP または CRAM-MD5 を使用してメールサービスの認証を行う必要があるユーザ 「Authentication Manager 」は、Mac OS X Server バージョン 10.0 ∼ 10.2 の NetInfo ドメインで作 成されたユーザアカウントでのみ機能します。「Authentication Manager」が NetInfo ドメインに 対して有効になっていた必要があります。 54 第3章 オープンディレクトリの認証 サーバを、 「 Authentication Manager」が有効になっていた以前のバージョンから Mac OS X Server バージョン 10.4 にアップグレードした場合、 「Authentication Manager」は有効なままになります。 既存のユー ザは、引き続き同じパスワ ードを使用することが できます。既存のユーザア カウントが 「Authentication Manager 」が有効になっていた NetInfo ドメイン内にあり、暗号化パスワードを 使用するように設定されている場合、そのアカウントは「Authentication Manager 」を使用します。 ユーザまたは 管理者が回復可能な認証 方法を使用できるサー ビスのパスワードまたは ユーザ認証を 変更すると、サーバのローカル・ディレクトリドメイン( NetInfo ドメイン)の既存の各ユーザアカ ウントは、暗号化パスワードからシャドウパスワードに自動的に変換されます。 サーバを Mac OS X Server バージョン 10.4 にアップグレードした後は、オープンディレクトリを 使って認証す るように既存のユーザ アカウントを変更でき ます。アップグレードされ たサーバに共 有 NetInfo ドメインがあり、そのドメインを LDAP ディレクトリに移行する場合、すべてのユーザ アカウントは、オープンディレクトリのパスワードに自動的に変換されます。 オー プンディ レクト リのパ スワード とシャ ドウパ スワード では、暗号 化パス ワードよ りセキ ュリ ティが 強化されて います。オープ ンディレク トリのパス ワードとシ ャドウパス ワードの両 方とも、 Windows ファイルサービスで使用できます。オープンディレクトリのパスワードは、Windows ワー クステーションから Mac OS X Server のプライマリ・ドメイン・コントローラへのドメインログイ ンに必要です。Mac OS X Server バージョン 10.4 の LDAP ディレクトリで作成した新しいユーザア カウントは、オープンディレクトリ認証を使用するように設定されます。 第3章 オープンディレクトリの認証 55 4 4 オープンディレクトリの計画 建物の配管工事や配線工事と同様に、ネットワークのディレクトリ サービスは、場当たり的にではなく、事前に計画を立てる必要があり ます。 共有ディレ クトリドメイン内に情 報を保存すると、ネットワ ークの管理効率が向上 し、情報にアク セスできる ユーザを増やすことが でき、さらに情報をより簡 単に管理できるように なります。ただ し、管理効率と 利便性が向上する度 合は、共有ドメインの計画 段階での努力に比例 します。ディレ クトリドメインを計画する際の目標は、Mac OS X ユーザが必要なネットワークリソースに簡単にア クセスするこ とができ、さらに最小限の 時間でユーザレコード とその他の管理データ を管理できる ような最も単純な共有ドメインの配置を設計することです。 この章では、オ ープンディレクトリ・サ ービスの計画のガイド ラインを示し、それらを 管理するた めのツールについて説明します。 一般的な計画のガイドライン ユーザ情報やリソース情報を複数の Mac OS X コンピュータで共有する必要がない場合、ディレク トリドメイ ンの計画はほとんど必 要ありません。ローカル・ディ レクトリドメインから すべての情 報にアクセスできます。特定の Mac OS X コンピュータを使用する必要があるすべてのユーザが、そ のコンピュータにユーザアカウントを持っているだけで済みます。これらのユーザアカウントは、そ のコンピュータのローカ ル・ディレクトリドメインにあります。また、 Mac OS X Server のファイ ルサービス、メ ールサービス、または認証 が必要なその他のサー ビスを使用する必要の あるユーザ はすべて、その サーバのローカル・ディ レクトリドメインにユ ーザアカウントが必 要です。この方 法では、各ユーザは 2 つのアカウントを持ちます。1 つはコンピュータへのログイン用で、もう 1 つ は Mac OS X Server のサービスへのアクセス用です。 Mac OS X ローカル・ ローカル・ ディレクトリ ディレクトリ にログイン ドメイン Mac OS X Server の ファイルサービスに接続 ドメイン 57 複数の Mac OS X コンピュータおよびサーバで情報を共有する場合は、少なくとも 1 つの共有ディ レクトリド メインを設定する必要 があります。この方法で は、各ユーザは、共有ディレ クトリドメ インにアカウントを 1 つ持つだけで済みます。ユーザは、この 1 つのアカウントを使って、共有ディ レクトリドメインにアクセスするように設定されているどのコンピュータの Mac OS X にでもログ インできます。このユーザは、この同じアカウントを使用して、共有ディレクトリドメインにアクセ スするように設定されているどの Mac OS X Server のサービスにでもアクセスすることができます。 共有 ディレクトリ ドメイン Mac OS X ローカル・ ローカル・ ディレクトリ ディレクトリ にログイン ドメイン Mac OS X Serverの ファイルサービスに接続 ドメイン 多くの組織 では、単一の共有ディレク トリドメインで十分で す。幾十万ものユーザや幾 千ものコン ピュータが、プ リンタキュー、ホームデ ィレクトリの共有ポイ ント、アプリケーション の共有ポイ ント、書類の共 有ポイントなどの同じ リソースを共有するこ とができます。共有ディレ クトリドメ インを複製し て、複数のサーバでディレ クトリシステムのネッ トワーク負荷を処理で きるようにす ることで、ディレクトリシステムの容量やパフォーマンスを向上させることができます。 より大規模 で複雑な組織では、共有デ ィレクトリドメインを 追加することで、作業効率 を上げるこ とができます。 学校のディレクトリドメイン 検索方式 1 2 3 理科クラスのディレクトリドメイン 58 第4章 オープンディレクトリの計画 数学クラスのディレクトリドメイン 英語クラスのディレクトリドメイン データへのアクセス可能度を制御する 単一の共有デ ィレクトリドメインの 場合は、クライアントの環 境設定およびネットワ ーク表示を管 理して、特定の ネットワークサービス を隔離し、ほかのサービス はすべてのユーザが利 用できるよ うにするこ とができます。たとえば、会計 のアプリケーションと ファイルを含む共有ポ イントは会 計部門のコンピュータだけに表示されるように、管理対象ネットワーク表示を設定できます。また、 パブリッシン グのソフトウェアや書類 ファイルを含む共有ポ イントはテクニカルライ ターだけに表 示されるように別の管理対象ネットワーク表示を設定できます。すべての従業員が互いのドロップ・ ボックス・フォ ルダにアクセスでき るようにするには、ドロ ップ・ボックス・フォルダ を含む共有 ポイントをす べての管理対象ネット ワーク表示に含めます。管 理対象のクライアント および管理対 象ネットワーク表示について詳しくは、ユーザ管理ガイドを参照してください。 ネットワーク に複数の共有ディレク トリドメインがある場 合は、ネットワークのコン ピュータのサ ブセットだ けが各ディレクトリの 情報を利用できるよう にすることができます。た とえば、科学の ディ レクトリ ドメイ ンのユ ーザアカ ウント を持つ 学生は、検索 方式に 科学の ドメイン を含む コン ピュータにのみログインすることができます。 す べて のコ ンピ ュー タが 特定 の管 理デ ータ にア クセ スで きる よう にす る場 合は、す べて のコ ン ピュータの検 索方式にある共有ディ レクトリドメイン内に そのデータを保存します。 データをある コンピュータ のサブセットにのみア クセスできるようにす る場合は、それらのコンピ ュータの検索 方式だけにある共有ディレクトリドメイン内にそのデータを保存します。 ディレクトリ内のデータへの変更を簡素化する 複数の共有デ ィレクトリドメインが 必要な場合は、時間の経過 と共にデータ変更が必 要になる場所 の数が最小 になるように検索方式 を編成する必要があり ます。さらに、次のような継続 的に発生す るイベントに必要な管理方法を実現する計画を工夫する必要があります: • 組織への新規ユーザの参加と組織からのユーザの脱退 • ファイルサーバの追加、機能拡張、交換 • プリンタの場所の移動 ディレクトリ ドメインを使用するす べてのコンピュータに 対して、それぞれが使用す るディレクト リドメイン を有効にすると、複数のド メインで情報を変更ま たは追加する必要がな くなります。マ ルチレベルの 共有ドメインを示す前 述の図では、クラスの共有 ドメインに新しい学生 を追加するこ とで、その学生 がクラスのコンピュー タのいずれかにログイ ンできるようになりま す。教師が雇用 されたり退 職するとき、管理者は、学校 の共有の共有ドメイン を編集することによ って、ユーザ情 報を簡単に調整できます。 複数の管理者 が管理する、広く分散した 複雑なディレクトリド メインの階層構造がネ ットワーク内 にある場合 は、矛盾を最小限に抑え るために方法を工夫す る必要があります。たと えば、不注意な ファイ ルアクセスを 防ぐために、ユー ザ ID (UID)の範囲を事 前に定義して おくことがで きます。 (詳しくは、ユーザ管理ガイドのアカウントの設定の章を参照してください。) 第4章 オープンディレクトリの計画 59 ディレクトリおよび認証要件を検討する 複数のディレ クトリドメインにディ レクトリデータを分配 する方法を考慮するほか に、各ディレク トリドメイン の許容量についても考 慮する必要があります。デ ィレクトリドメインを どの程度大き くすることができるかには、多数の要因が影響します。1 つの要因は、ディレクトリ情報を保管する データベースのパフォーマンスです。Mac OS X Server の LDAP ディレクトリドメインは、Berkeley DB データベースを使用します。これは、200,000 レコードでも効率を保ちます。もちろん、このサ イズ のディレ クトリ ドメイ ンを管理 するサ ーバに は、すべての レコー ドを保 管するた めの十 分な ハードディスク容量が必要になります。 ディ レクトリ サービ スの接続 はサー バが提供 するす べてのサ ービス の接続状 況に応 じて起こ るた め、ディレクトリサービスが 処理できる接続の数を測定することは困難です。 Mac OS X Server で は、オープンディレクトリ専用のサーバは、同時クライアントコンピュータの接続数が 1000 に制限 されています。 実際には、オープンディレクトリ・サーバはこれより多くのクライアントコンピュータに LDAP お よび認証サ ービスを提供できる場 合があります。これは、すべて のクライアントコンピ ュータがこ れらのサービ スを一度に必要とするわけ ではないためです。各クライ アントコンピュータは LDAP ディレクトリに最大 2 分間接続し、オープンディレクトリ・パスワード・サーバへの接続はさらに 短時間です。オープンディレクトリ・サーバは優に 1000 台を超えるクライアントコンピュータをサ ポートでき る場合があります。これ は、確率として、オープンデ ィレクトリに接続して いるクライ アントコンピュータのうち、実際に同時に接続するのはその一部だけであるためです。その割合、つ まり、同時に接 続を行う可能性のあるク ライアントコンピュー タのパーセンテージを 判断すること は、難しい場合があります。たとえば、複数のクライアントコンピュータがあり、それぞれに 1 日 中グラフィックファイルで作業する 1 人のユーザがいる場合、オープンディレクトリ・サービスが 必要になることは比較的まれです。反対に、コンピュータ室にあるコンピュータには、1 日を通して 多数のユーザ がログインし、それぞれが 異なるセットの管理さ れたクライアント環境 設定を持つた め、これらのコンピュータには相対的に、オープンディレクトリに高い負荷がかかります。 通常、オープンディレクトリの使用は、ログインおよびログアウトと相関させることができます。こ れらのアク ティビティは、一般に、あらゆ るシステムでディレク トリおよび認証サービ スを制御し ます。ユーザが ログインとログアウ トを頻繁に行うほど、オ ープンディレクト リ・サーバ(または ディレクトリ および認証サーバ)がサポ ートできるクライアン トコンピュータの数が 少なくなりま す。ユーザが頻繁にログインする場合は、より多くのオープンディレクトリ・サーバが必要です。作 業セッショ ンの時間が長く、ログイン が頻繁に発生しない場 合は、より少ないオープン ディレクト リ・サーバで済む場合があります。 共有ドメインを管理するサーバを決定する 複数の共有ド メインが必要な場合は、共 有ドメインを置く場所 に適したサーバを識別 する必要があ りま す。Mac OS X Server 共 有ドメ インは 多くのユ ーザに 影響す るため、次 のような 特徴を 持つ Mac OS X Server 上に置く必要があります: • 物理アクセスが制限されている • ネットワークアクセスが制限されている • 無停電電源など可用性を高めるテクノロジーを備えている 60 第4章 オープンディレクトリの計画 交換される頻 度が少なく、またディレク トリドメインの拡大に 対応できる適切な容量 を備えたコン ピュータを 選択する必要がありま す。共有ドメインは設定後 に移動できますが、ユーザ が引き続き ログインでき るようにするために、共有 ドメインにバインドす るコンピュータの検索 方式の再設定 が必要になる場合があります。 オープンディレクトリ・サービスを複製する Mac OS X Server は、LDAP ディレクトリサービス、オープンディレクトリ・パスワード・サーバ、 および Kerberos KDC の複製をサポートしています。 ディレクトリおよび認証サービスを複製することによって、次のことが可能になります: • 地理 的に分散 したネッ トワーク のユー ザの集団 に対する ディレ クトリお よび認証 サービス のパ フォーマンスを向上させて、ディレクトリ情報をそれらのユーザのより近くに移動します。 • 冗長性をもたら して、ディレクトリシステムにエ ラーが発生したり、アクセスで きなくなった場 合に、サービスの混乱によるユーザへの影響をわずかなものにすることができます。 1 つのサーバには、共有 LDAP ディレクトリドメイン、オープンディレクトリ・パスワード・サー バ、および Kerberos KDC( Key Distribution Center)の 1 つの主要コピーがあります。このサーバ は、オープンデ ィレクトリのマスタ ーと呼ばれています。各オ ープンディレクトリ の複製は、マス ターの LDAP ディレクトリ、オープンディレクトリ・パスワード・サーバ、および Kerberos KDC のコピーとは別のサーバです。 複製上の LDAP ディレクトリへのアクセスは読み出し専用です。LDAP ディレクトリ内のユーザレ コードおよび その他のアカウント情 報に対するすべての変 更は、オープンディレクト リのマスター 上でのみ行うことができます。 オープンディレクトリのマスターは、その複製を、LDAP ディレクトリに対する変更と共に自動的に 更新します。マ スターは変更があるた びに複製を更新できま すが、更新が一定の間隔で のみ行われ るようにスケ ジュールを設定するこ ともできます。複製が低速 のネットワークリンク によってマス ターに接続されている場合は、固定スケジュールのオプションが最適です。 パスワード およびパスワード方式 は、どの複製でも変更でき ます。ユーザのパスワード またはパス ワード方式が複数の複製で変更された場合は、最も新しい変更が優先されます。 複製の更新 は、マスターおよびすべて の複製の同期された時 計に基づいて行われま す。複製とマス ターの時間の概念が大幅に異なっていると、更新がやや不定になることがあります。日付、時刻、お よび時間帯 の情報は、マスターおよ び複製上で正確である 必要があります。これら はすべて、同じ ネットワーク・タイム・サービスを使用してそれぞれの時計を同期させる必要があります。 低速のネットワークリンクのどちらの側に配置する複製も 1 つだけにしないでください。ある 1 つ の複製が低速の ネットワークリンクによっ てほかのすべての複製と分 離されている場合に、その 1 つの複製に 障害が発生すると、その複 製のクライアントは、低速 のネットワークリンク のもう一方 の側の複製 にフェイルオーバーし ます。そのため、ディレクトリ サービスが著しく低下 する可能性 があります。 第4章 オープンディレクトリの計画 61 ネットワークに Mac OS X Server バージョン 10.3 と 10.4 が混在している場合は、一方のバージョ ンをもう一方のバージョンのマスターの複製にすることはできません。バージョン 10.4 のオープン ディレクトリのマスターは、Mac OS X Server バージョン 10.3 に複製されません。また、Mac OS X Server バージョン 10.3 のオープンディレクトリのマスターは、Mac OS X Server バージョン 10.4 に 複製されません。 Mac OS X Server バージョン 10.4 Mac OS X Server バージョン 10.3 のマスター のマスター Mac OS X Server バージョン 10.4 の はい いいえ 複製 Mac OS X Server バージョン 10.3 の いいえ はい 複製 小規模、中規模、および大規模な環境における負荷分散 他社製のサービス負荷分散ソフトウェアをオープンディレクトリ・サーバで使用しないでください。 負荷分散ソ フトウェアが原因で、オー プンディレクトリ・クライ アントに予期しない問 題が起こる 場合があります。また、Mac OS X および Mac OS X Server のオープンディレクトリの自動負荷分 散およびフェイルオーバーの動作と干渉することがあります。Mac OS X クライアントは、利用可能 な最も近い オープンディレクト リ・サーバ(マスターまたは 複製)を自動的に探し ます。クライア ントに最も近 いオープンディレクト リのマスターまたは複 製が、クライアントのオー プンディレク トリ接続要求に最もすばやく応答します。 複数の建物があるキャンパスにおける複製 複数 の建物に またが るネッ トワーク リンク は、建物間 のネット ワーク がそれ ぞれの建 物の中 での ネットワー クリンクよりも遅くな ることがあります。また、建 物間のネットワーク リンクは、オー バーロード になることもあります。こ のような状態は、別の建物 にあるサーバからオー プンディレ クトリ・サービ スを取得するコンピュ ータのパフォーマンス に悪影響を与えます。これ に対応する ため、それぞれ の建物にオープンデ ィレクトリの複製を設 定できます。また必要に 応じて、高層ビ ルの各フロ アにオープンディレク トリの複製を設定する こともできます。各複製は、そ の近くにあ るクライア ントコンピュータに、効果 的なディレクトリおよ び認証サービスを提供 します。クライ アントコン ピュータは、オープンデ ィレクトリ・サーバとの接 続を、建物間の低速で混 雑したネッ トワークリンクを経由して行う必要はありません。 より多くの 複製があると、不都合が 生じます。複製は、ネットワ ークを経由してほかの 複製やマス ターと通信 します。複製を追加する と、このネットワーク通信 のオーバーヘッドが 増加します。複 製を追加し すぎると、建物間のネット ワークトラフィックが、オ ープンディレクトリの クライアン ト通信という形で減少しても、複製の更新という形で実際には増加する場合があります。 このため、配備 する複製の数を決定す るときは、クライアントコ ンピュータがオープン ディレクト リ・サービスをどの程度使用するかを考慮する必要があります。平均して、クライアントコンピュー タが比較的オープンディレクトリ・サービスのライトユーザであり、建物がかなり高速なネットワー クリンク(100 Mbit/s Ethernet など)に接続されている場合は、おそらく各建物に複製を配備する 必要はありません。 62 第4章 オープンディレクトリの計画 オープンディ レクトリの複製とマス ター間の通信のオーバ ーヘッドは、オープンディ レクトリのマ スターが複製 を更新する頻度をスケ ジュールすることによ って削減できます。マスタ ーで変更があ るたびに複製を更新する必要はありません。複製の更新頻度を少なくしてスケジュールすると、ネッ トワークのパフォーマンスが向上します。 NAT でオープンディレクトリのマスターまたは複製を使用する Mac OS X Server の NAT ルーターなどの NAT ルーター( またはゲートウェイ)のプライベートネッ トワーク側にオープンディレクトリ・サーバがある場合は、NAT ルーターのプライベートネットワー ク側にあるコンピュータだけが、オープンディレクトリ・サーバの LDAP ディレクトリドメインに 接続できます。NAT ルーターのパブリックネットワーク側にあるコンピュータは、プライベートネッ トワーク側にあるオープンディレクトリのマスターまたは複製の LDAP ディレクトリドメインに接 続できません。 オープンディレクトリ・サーバが NAT ルーターのパブリックネットワーク側にある場合、NAT ルー ター のプ ライベ ート ネット ワーク とパ ブリッ クネ ットワ ーク の両方 の側に ある コンピ ュー タは、 オープンディレクトリ・サーバの LDAP ディレクトリに接続できます。 Kerberos が複数のディレクトリと競合しないようにする すでに Active Directory ドメインがあるネットワークにオープンディレクトリのマスターを設定す ると、ネットワークに 2 つの Kerberos 保護領域が存在することになります。オープンディレクトリ の Kerberos 保護領域と Active Directory の Kerberos 保護領域です。実際の目的では、ネットワー ク上のほかのサーバが使用できるのは一方の Kerberos 保護領域だけです。ファイルサーバ、メール サーバ、または Kerberos 認証を使用できるほかのサーバを設定するときに、一方の Kerberos 保護 領域を選択する必要があります。 Mac OS X Server は、そのクライアントユーザと同じ Kerberos 保護領域に属している必要がありま す。Kerberos 保護領域には、正統な Kerberos サーバが 1 つだけあります。この Kerberos サーバ は、保護領域内の Kerberos 認証に対するすべての責任を負います。 Kerberos サーバは、その保護 領域内のクラ イアントとサーバだけ を認証できます。別の保護 領域にあるクライアン トまたはサー バを認証することはできません。 選択した Kerberos 保護領域内のユーザアカウントだけが、シングルサインオンを利用できます。ほ かの保護領域 内のユーザアカウント も認証を行うことがで きますが、シングルサイン オンは利用で きません。 それぞれが 1 つの Kerberos 保護領域を持つ複数のディレクトリシステムにアクセスするようにサー バを設定している場合は、Kerberos 対応サービスを使用するユーザアカウントを慎重に検討する必 要 があ りま す。2 つ の ディ レク ト リサ ービ ス にア ク セス する 目 的を 認識 す る必 要 があ りま す。 Kerberos とシングルサインオンを利用できるようにするユーザアカウントを含むディレクトリドメ インに関連する保護領域にサーバを接続する必要があります。 第4章 オープンディレクトリの計画 63 たとえば、Active Directory の保護領域へのアクセス権をそのユーザレコード用に設定し、オープン ディレクトリの LDAP ディレクトリへのアクセス権を、 Active Directory にないグループレコードや コンピュータレコードなどの Mac OS X のレコードおよび属性用に設定することができます。ほか のサーバは、Active Directory の Kerberos 保護領域またはオープンディレクトリの Kerberos 保護 領域のいずれかに接続することができます。この場合、ほかのサーバは Active Directory の Kerberos 保護領域に接続して、Active Directory のユーザアカウントでシングルサインオンを利用できるよう にします。オープンディレクトリ・サーバの LDAP ディレクトリにもユーザアカウントがある場合 は、ユーザはそ のユーザアカウント を使用して認証を行う こともできます。ただし、オ ープンディ レクトリのユーザアカウントでは、Kerberos やシングルサインオンは使用せず、オープンディレク トリ・パスワード・サーバの認証方法を使用します。 Mac ユーザはすべてオープンディレクトリド メインに配置し、Windows ユーザはすべて Active Directory ドメインに配置すると、すべてのユー ザが認証を行うことができます。ただし、Kerberos を使用できるのは、どちらか一方のユーザだけ です。 重要:Active Directory ドメインにもアクセスするようにオープンディレクトリのマスターまたは複 製を設定すると、重大な問題が起こります。この場合、オープンディレクトリの Kerberos 保護領域 と Active Directory の Kerberos 保護領域の両方で、オープンディレクトリ・サーバ上の同じ設定 ファイルを使用しようとします。このとき、オープンディレクトリの Kerberos 認証が混乱する可能 性があります。したがって、Active Directory ドメインや Kerberos 保護領域を持つその他のディレ クトリドメイ ンにもアクセスするよう にオープンディレクト リのマスターまたは複製 を設定しない でください。 Kerberos 設定ファイルの競合を避けるには、 Active Directory ドメインなど、 別の Kerberos サー バのディレク トリドメイン内のユーザ を管理するためのワー クステーションとしてオ ープンディレ クトリ・サーバ を使用しないでくだ さい。代わりに、対象となる すべてのディレクトリ ドメインに アクセスする ように設定されている 管理用コンピュータ(サー バ管理ツールがインス トールされた Mac OS X コンピュータ)を使用してください。オープンディレクトリ・サーバを使用して別のサー バのディレク トリドメイン内のユー ザを管理する必要があ る場合は、そのディレクト リドメインが オープンディレクトリ・サーバの認証検索方式の一部でないことを確認してください。 Kerberos 設定ファイルの競合をさらに避けるには、 別の Kerberos サーバのディレクトリドメイン にアクセスす る必要があるサービス を提供するためにオー プンディレクトリ・サーバ を使用しない でください。たとえば、オープンディレクトリと Active Directory の両方にアクセスするように AFP ファイルサー ビスを設定する必要が ある場合は、ファイルサー ビスを提供するために オープンディ レクトリ・サー バを使用しないでく ださい。別のサーバを使用 して、一方のディレクト リサービス の Kerberos 保護領域に接続するようにします。 理論的には、サーバまたはクライアントは、2 つの Kerberos 保護領域、たとえばオープンディレク トリの保護領域と Active Directory の保護領域に属することができます。複数の保護領域の Kerberos 認証には、非常に高度な設定が必要です。たとえば、 Kerberos サーバとクライアントを相互保護領 域認証用に設定し、Kerberos 対応のサービスソフトウェアを複数の保護領域に属することができる ように変更します。これらの高度な手順について説明することは、このガイドの範囲外です。 64 第4章 オープンディレクトリの計画 パフォーマンスと冗長性を向上させる サーバにメモリを追加し、サーバが提供するサービスを少なくすることで、オープンディレクトリ・ サービスのパフォーマン スを向上させることができます。この方法は、 Mac OS X Server のその他 のすべてのサービスと同様に適用されます。個々のサーバを特定の作業専用にする割合が増えると、 それだけそのパフォーマンスも良くなります。 一般的な方法に加えて、LDAP データベースをそれ自体のディスクに方向付けし、オープンディレク トリのログ を別のディスクに方向 付けすることで、オープン ディレクトリ・サーバのパ フォーマン スを向上させることもできます。 ネットワーク にオープンディレクト リのマスターの複製を 含める場合は、複製の更新 頻度を少なく してスケジュールすることで、ネットワークのパフォーマンスを向上させることができます。少ない 頻度で更新することは、複製のディレクトリデータが必ずしも最新ではないことを意味します。ネッ トワークのパフォーマンスの高さと複製の正確さの低さの間でバランスをとる必要があります。 オープンデ ィレクトリの複製とし て追加のサーバを設定 すると、オープンディレク トリ・サービス の冗長性を高めることができます。冗長性を高めるもう 1 つの方法は、オープンディレクトリ・サー ビス用の RAID セットを備えたサーバを使用することです。 オープンディレクトリのセキュリティ Mac OS X Server では、共有 LDAP ディレクトリドメインを持つサーバがオープンディレクトリに よる認証も 提供します。オープンディ レクトリによって保管 される認証データは、特に 機密性が高 いも のです。こ の認証 データ にはオ ープン ディレ クトリ・パ スワー ド・サーバ のデー タベー スと Kerberos データベースが含まれるため、極めて取り扱いに注意が必要です。このため、オープンディ レクトリのマ スターとすべてのオー プンディレクトリの複 製は、次のようにして必ず 安全性を確保 する必要があります: • オープンディレ クトリのマスターまたは複製で あるサーバの物理的なセキュ リティは、最優先事 項です。部屋のドアには必ず鍵をかけ、常にログアウトした状態にしておいてください。 • オープンディレクトリ・パスワード・サーバのデータベースと Kerberos データベースのバックアッ プに使用するメ ディアを保護します。オープンデ ィレクトリ・サーバのある部屋 のドアに鍵をか けても、バックアッ プテープを毎晩デスク上に置 いたままにしていては、保護さ れていることに はなりません。 • 可能であれば、オー プンディレクトリのマスター や複製であるサーバは、ほかの サービスには使 用しないでくだ さい。サーバをオープンディレク トリのマスターや複製専用にす ることができな い場合は、少なく とも、サーバが提供するその他 のサービスの数を最小限にし てください。その 他のサービスによって、だれかが不注意で Kerberos またはオープンディレクトリ・パスワード・ サーバのデータ ベースにアクセスできてしまう という、セキュリティ侵害が起き る場合がありま す。サーバをオー プンディレクトリ・サービスの 提供専用にすることが最良の 方法ですが、必須 ではありません。 • ログインウインドウおよび SSH のサービスアクセス制御リスト(SACL )を設定して、オープンディ レクトリのマスターまたは複製にログインできるユーザを制限します。 第4章 オープンディレクトリの計画 65 • オー プン ディ レク トリ のマ スタ ーや 複製 であ るサ ーバ の起 動ボ リュ ーム とし て、ほか のコ ン ピュータと共有している RAID ボリュームは使用しないでください。ほかのコンピュータのいず れかでセキュリ ティ侵害があると、オープンディ レクトリの認証情報のセキュリ ティが脅かされ る危険性があります。 • IP ファイアウォールサービスを設定して、ディレクトリ、認証、および管理プロトコルに使用す るポート以外のポートをすべてブロックします。 • オープンディレクトリ・パスワード・サーバは、ポート 106 および 3659 を使用します。 • Kerberos KDCは TCP/UDP ポート 88 を使用し、Kerberos の管理には TCP/UDP ポート749 を使用 します。 • 共有 LDAP ディレクトリは、通常接続の場合は TCP ポート 389、SSL 接続の場合は TCP ポート 636 を使用します。 • オー プンディ レクトリ の複製を 作成して いる間 は、マスター と予定さ れている 複製との 間で ポート 22 が開いている必要があります。これは、SSH(Secure Shell)データの転送に使用す るポートです。SSH データ転送は、LDAP データベースの完全な最新のコピーを転送するため に使用します。複製を初期設定した後は、LDAP ポート(389 または 636)だけを複製の作成 に使用します。 • 「ワークグループマネージャ」は、TCP ポート 311 および 625 を使用します。 • 「サーバ管理」は TCP ポート 311 を使用します。 • SMB/CIFS は、TCP/UDP ポート 137、138 、139、および 445 を使用します。 • オープンディレクトリのマスター用コンピュータに無停電電源装置を備え付けます。 要約すれば、最も安全で最良の方法は、オープンディレクトリのマスターや複製である各サーバを、 オープンディレクトリ・サービス専用にすることです。LDAP、パスワードサーバ、Kerberos、 「ワー クグループマネージャ」、「サーバマネージャ」などのサーバのそれぞれにファイアウォールを設定 して、ディレク トリアクセス、認証、およ び管理プロトコルの みを許可します。それぞ れのオープ ンディレク トリ・サーバおよび一緒に 使用するすべてのバッ クアップメディアは、物理 的にも安全 に管理してください。 ディレクトリ と認証のデータをネッ トワークを介して複製 すると、セキュリティ上の リスクは最小 限になりま す。パスワードデータは、各 複製セッション中に、ネ ゴシエートされたラン ダムキーを 使って安全に複製されます。複製のトラフィックの認証部分(オープンディレクトリ・パスワード・ サーバと Kerberos KDC)は、完全に暗号化されます。付加的なセキュリティとして、オープンディ レクトリ・サー バ間のネットワーク接 続を、ハブではなくネット ワークスイッチを使う ように設定 できます。この 設定により、信頼できるネ ットワークセグメント への認証の複製のトラ フィックが 隔離されます。 66 第4章 オープンディレクトリの計画 オープンディレクトリ・サービスの管理用ツール 「サーバ管理」、 「ディレクトリアクセス」、および「ワークグループマネージャ」アプリケーション は、Mac OS X Server のオープンディレクトリ・サービスを管理するため のグラフィカルインター フェイスを備えてい ます。また、 「ターミナル」を使用することによって、オ ープンディレクトリ・ サービスをコマンドラインから管理することもできます。「 NetInfo マネージャ」も従来の NetInfo ドメインに利用できます(または、「ワークグループマネージャ」のインスペクタを使用することも できます)。 これらのアプリケーションはすべて Mac OS X Server に組み込まれており、Mac OS X バージョン 10.4 以降を搭載した別のコンピュータにインストールし て、そのコンピュータを管理用コンピュー タにすることができます。管理用コンピュータの設定について詳しくは、「お使いになる前に」ガイ ドのサーバ管理の章を参照してください。 サーバ管理 「サーバ管理」アプリケーションを使って、オープンディレクトリ・サービスやその他のサービスの 設定、管理、および監視に使用するツールにアクセスできます。「サーバ管理」を使用して、次のこ とを実行します: • Mac OS X Server を、オープンディレクトリのマスター、オープンディレクトリの複製、ディレク トリシステムに 接続されたサーバ、またはローカ ルディレクトリのみを持つスタ ンドアロンサー バとし て設定します。手 順については、第 5 章「オープ ンディレクト リ・サービスを設 定する」 を参照してください。 • 追加の Mac OS X Server システムを、オープンディレクトリのマスターまたは複製の Kerberos KDC を使用するように設定します。手順については、第 5 章を参照してください。 • アップグレードされたサーバの共有ディレクトリドメインを NetInfo から LDAP に移行します。手 順については、第 5 章を参照してください。 • オープンディレクトリのマスター上に LDAP オプションを設定します。手順については、第 5 章を 参照してください。 • DHCP サービスを設定して、自動検索方式を含む Mac OS X コンピュータに LDAP サーバアドレス を提供します。手順については、ネットワークサービス管理ガイドの DHCP の章を参照してくだ さい。 • 個々のパスワー ド方式を無効にしていないすべ てのユーザに適用される、パスワ ード方式を設定 します。手 順については、第 6 章「ユーザ 認証を管理 する」を参照し てください。 (個々 のパス ワード方式を設定するには、 「ワークグループマネージャ」を使用します。第 6 章を参照してくだ さい。) • オープ ンディレクト リ・サービスを監 視します。手順に ついては、第 8 章「保守と問題 の解決」 を参照してください。 「サーバ管理」の 使いかたの基本情報 については、 「お使いにな る前に」ガイドのサーバ 管理の章を 参照してください: • • • • • サーバ管理を開く/サーバ管理で認証する 特定のサーバを操作する サービスを管理する サービスへのアクセスを制御する リモートサーバ管理に SSL を使用する 第4章 オープンディレクトリの計画 67 • 「サーバ管理」環境をカスタマイズする 「サーバ管理」は「/ アプリケーション / サーバ /」にインストールされています。 ディレクトリアクセス 「ディレクト リアクセス」では、Mac OS X コ ンピュータでディレ クトリサービスを使 用する方法、 ネットワーク サービスを検出する方 法、およびディレクトリサ ービスの認証とコンタ クトの情報を 検索する方法を決定します。「ディレクトリアクセス」を使用して、次のことを実行します: • LDAP ディレクトリ、Active Directory ドメイン、NIS ドメイン、および NetInfo ドメインへのアク セスを設定します。 • LDAP ディレクトリのデータマッピングを設定します。 • 複数のディレクトリサービスの認証とコンタクトの情報を検索する方式を定義します。 • 各種ディレクトリサービスおよび各種ネットワークサービス検出を有効または無効にします。 「ディレクトリアクセス」はネットワーク上のほかのサーバに接続できるため、それらをリモートで 設定できます。 「ディレクトリアクセス」の使いかたについては、第 7 章「ディレクトリアクセスを管理する」を参 照してください。 「ディレクトリアクセス」は、すべての Mac OS X コンピュータの「/ アプリケーション / ユーティ リティ /」にインストールされています。 ワークグループマネージャ 「ワークグループマネージャ」アプリケーションを使用すると、Mac OS X Server のクライアントを 包括的に管理できます。「ワークグループマネージャ」を使用して、次のことを実行します: • ユーザアカウント、グループアカウント、およびコンピュータリストを設定して管理します。ユー ザ認証の管理については、第 6 章「ユーザ認証を管理する」を参照してください。ユーザ、グルー プ、およびコンピュ ータの管理に関するその他の トピックについては、ユーザ管 理ガイドおよび Windows サービス管理ガイドを参照してください。 • ファイルサービスの共有ポイントとユーザのホームディレクトリを管理します。手順については、 ファイルサービス管理ガイドの共有ポイントの章、ユーザ管理ガイドのホームディレクトリの章、 および Windows サービス管理ガイドの Windows サービスの管理の章を参照してください。 • 「Finder」のサイドバーでネットワークアイコンを選択したときに、Mac OS X ユーザに表示され る内容を制御す ることができます。手順について は、ユーザ管理ガイドのネット ワーク表示の管 理の章を参照してください。 • インス ペクタを使 用して、ディレク トリのエン トリーをそ のまま表示し ます。手順につ いては、 161 ページの「ディレクトリデータを直接表示して編集する」を参照してください。 「ワークグループマネージャ」の使いかたの基本情報については、 「お使いになる前に」ガイドのサー バ管理の章を参照してください: • ワークグループマネージャを開く/ワークグループマネージャで認証する • アカウントを管理する • 「ワークグループマネージャ」環境をカスタマイズする 「ワークグループマネージャ」は「/ アプリケーション / サーバ /」にインストールされています。 68 第4章 オープンディレクトリの計画 コマンドラインツール コマンド駆動 型サーバ管理の使用を 好む管理者のために、完全 な機能を備えたコマン ドラインツー ルが用意されています。リモートサーバ管理の場合は、SSH(Secure Shell)セッションでコマンド を実行します。「ターミナル」アプリケーション(「/ アプリケーション / ユーティリティ /」にあり ます)を使用して、Mac OS X サーバおよびコンピュータでコマンドを入力することができます。手 順については、コマンドライン管理ガイドを参照してください。 NetInfo マネージャ 「NetInfo マネージャ」は、Mac OS X Server v 10.2 以前を使用しているコンピュータや v 10.2 以前 からアップグレードしたコンピュータの従来の NetInfo ドメインのレコード、属性、および値の表 示や変更に使用します。「ワークグループマネージャ」のインスペクタを使用すると、これらと同じ 作業を実行できます。また、「NetInfo マネージャ」を使って、従来の NetInfo 階層を管理したり、 従来の NetInfo ドメインをバックアップおよび復元したりすることもできます。 「NetInfo マネージャ」は「 / アプリケーション / ユーティリティ /」にあります。 第4章 オープンディレクトリの計画 69 5 オープンディレクトリ・サービスを 設定する 5 「サーバ管理」を使って、サーバのオープンディレクトリの役割の設 定、シングルサインオン Kerberos 認証サービスの設定、LDAP オプ ションの設定、および NetInfo から LDAP への移行を行うことができ ます。 オープンデ ィレクトリ・サービス(ディ レクトリサービスと 認証サービス)は、ネット ワークのイ ンフラスト ラクチャの重要な部分 です。これらのサービスは、ほ かのネットワークサー ビスやユー ザに重大な 影響を及ぼします。このた め、オープンディレクトリ は最初から正しく設定 する必要が あります。 設定の概要 次に、オープンディレクトリ・サービスを設定するために実行する主要な作業の概要を示します。各 手順について詳しくは、示されているページを参照してください。 手順 1 : 計画を立てる Mac OS X Server で オー プ ンデ ィ レク ト リを 設 定す る 前に 検討 す る項 目 のリ ス トに つ いて は、 72 ページの「設定する前に」 を参照してください。 手順 2 : スタンドアロンサーバを設定する ディレ クトリサー ビスから認証 やその他の 管理情報を 取得しない ようにサーバ を設定する 場合は、 73 ページの「スタンドアロンサーバを設定する」を参照してください。 手順 3 : オープンディレクトリのマスターを設定する ディレクトリサービスと認証サービスを提供するようにサーバを設定する場合は、74 ページの「オー プンディ レクトリのマスタ ーと複製の互換性 」および 75 ページの「オ ープンディレクト リのマス ターを設定する」を参照してください。 手順 4 : オープンディレクトリのマスターの複製を設定する 分散 ネットワ ークで すばや くクライ アント 対話を 行うため に、フェイ ルオー バーのデ ィレク トリ サービスと認 証サービス、またはリモー トのディレクトリサー ビスと認証サービスを 提供するよう に 1 つ以上のサーバを設定する場合は、77 ページの「オープンディレクトリの複製を設定する」を 参照してください。 71 手順 5 : ほかのディレクトリシステムに接続するサーバを設定する ディ レクトリ サービ スと認証 サービ スにアク セスす る必要が あるフ ァイルサ ーバま たはその 他の サーバがある場合は、80 ページの「ディレクトリシステムへの接続を設定する」を参照してください。 手順 6 : シングルサインオン Kerberos 認証を設定する オープンディレクトリのマスターを設定済みの場合は、その Kerberos 保護領域に接続するようにほ かのサーバを設定 できます。Kerberos なしで オープンディレクトリのマスター を設定する場合は、 後で Kerberos を設定できます。手順については、81 ページの「シングルサインオン Kerberos 認証 を設定する」を参照してください。 手順 7 : アップグレードしたサーバを NetInfo から LDAP に移行する Mac OS X Server バージョン 10.2 からアップグレードされたサーバがあり、共有 NetInfo ディレク トリ ドメイ ンをま だ使用し ている 場合は、こ れらの サーバ を LDAP に移行す ること ができ ます。 90 ページの「ディレクトリドメインを Netinfo から LDAP に移行する」および 92 ページの「 LDAP に移行した後で NetInfo を無効にする」を参照してください。 手順 8 : クライアントコンピュータ上にディレクトリアクセスを設定する オープンディ レクトリのマスターを 設定済みの場合は、そのデ ィレクトリドメインに アクセスする ようにクライアントコンピュータを設定する必要があります。Microsoft Active Directory などのそ の他のディレ クトリサービスにアクセ スするようにクライア ントコンピュータを設定 することもで きます。第 7 章「ディレクトリアクセスを管理する」を参照してください。 手順 9 : ユーザにログイン方法を指示する 76 ページの「ユーザにログイン方法を指示する」を参照してください。 設定する前に オープンディレクトリ・サービスをはじめて設定するときは、事前に次の作業を行います: • ディレクトリデータの用途を理解し、ディレクトリが必要かどうかを判断します。 ディレクトリド メインからのデータを必要とす るサービスを識別し、これらのサ ービスへのアク セスを必要とするユーザを特定します。 サー バ上 で情 報を 最も 簡単 に管 理で きる ユー ザは、 オープ ンデ ィレ クト リの マス ター であ る Mac OS X Server の共有 LDAP ディレクトリに定義されている必要があります。これらのユーザ の一部は、代わりに、Windows サーバ上の Active Directory のドメインなど、ほかのサーバ上の ディレクトリドメインに定義することもできます。 これらの概念については、第 1 章「オープンディレクトリを使っ たディレクトリサービス」で説 明しています。 • 複数の共有ドメインが必要かどうかを判断します。必要な場合は、各共有ドメインに定義するユー ザを決定します。詳しくは、35 ページの「複数レベルの検索方式 」および 59 ページの「ディレ クトリ内のデータへの変更を簡素化する」を参照してください。 • ユーザに必要な認証オプショ ンを決定します。利用できるオプションについては、第 3 章「オー プンディレクトリの認証」を参照してください。 72 第5章 オープンディレクトリ・サービスを設定する • オープンディレ クトリのマスターの複製を用意 するかどうかを決定します。ガイ ドラインについ ては第 4 章「オープンディレクトリの計画」で説明しています。 • サーバ管理者を 慎重に選びます。信頼できるユー ザにのみ管理者のパスワー ドを与えます。管理 者の数はできる だけ少なくします。ユーザレコー ドの設定変更などの細かい作業 に対する管理者 のアクセス権を委任しないようにします。 重要:ディレク トリ情報には力があ ります。ディレクトリ情報 は、この情報を使用する コンピュー タを持つすべてのユーザに重大な影響を与えます。 サーバアシスタントを使ってオープンディレクトリを設定する オープンディレクトリの初期設定は、Mac OS X Server のインストール中に「サーバアシスタント」 を使用するときに行います。 「サーバアシスタント」の使いかたについては、 「お使いになる前に」ガ イドを参照してください。 オープンディレクトリをリモートサーバで管理する 「サーバ管理」は Mac OS X バージョン 10.4 以降を搭載したコンピュータにインストールでき、これ を使って任 意のサーバ上のオープ ンディレクトリを、ローカ ルネットワークで、または その範囲を 超えて管理できます。また、Mac OS X コンピュータまたは Macintosh 以外のコンピュータからコ マンドライ ンツールを使って、オープ ンディレクトリをリモ ートで管理することも できます。詳し くは、「お使いになる前に」ガイドのサーバ管理の章を参照してください。 スタンドアロンサーバを設定する 「サーバ管理」を使って、サーバのローカル・ディレクトリドメインのみを使用するように Mac OS X Server を設定できます。このサーバは、ほかのコンピュータにディレクトリ情報を提供せず、既存 のシステムからもディレクトリ情報を取得しません。(ローカル・ディレクトリドメインは共有され ません。) 重要:Mac OS X Server をそのローカル・ディレクトリドメインからのみ ディレクトリ情報を取得 するよう変更 すると、サーバが以前に共 有ディレクトリドメイ ンから取得したユーザ レコードやそ の他の情報は利用できなくなります: • 共有ディレクトリドメイン内のユーザレコードやその他の情報は、削除されます。 • サーバ上のファ イルやフォルダは、アカウントが 共有ディレクトリドメインにあ るユーザには利 用できなくなります。 • サーバがオープンディレクトリのマスターであり、その他のサーバがそれに接続していた場合: • 共有ディレクトリドメ イン内のユーザアカウントやその他の情報が 利用できなくなると、接続 されているサーバ上でサービスが正常に使用できなくなることがあります。 • アカウントが共有ディ レクトリドメイン内にあるユーザは、オープンデ ィレクトリのマスター 上のファイルやフォルダ、およびその共有 LDAP ディレクトリドメインに接続されていたその 他のサーバ上のファイルやフォルダに、アクセスできなくなることがあります。 第5章 オープンディレクトリ・サービスを設定する 73 • オープンディレクトリ のマスターをスタンドアロンサーバに変更す る前に、オープンディレク トリのマスターのディ レクトリと認証データのコピーをアーカイブ することができます。手順 については、 167 ページの「オープンディレ クトリのマスターをアーカイ ブする」を参照して ください。オープンディレ クトリのマスターをスタンドアロンサーバ に変更する前に、オープ ンディレクトリのマス ターからユーザ、グループ、およびコンピュータ リストを書き出すこと もできます。詳しくは、ユーザ管理ガイドを参照してください。 共有されてい ないサーバ自身のロー カル・ディレクトリドメイ ンのみを使用するよう サーバを設定 するには: 1 「サーバ管理」を 開き、「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 3 4 「役割」ポップアップメニューから「スタンドアロンサーバ」を選びます。 ユー ザやサー ビスが、サ ーバが 管理ま たは接続 してい る共有デ ィレク トリド メインに 保存さ れた ディレクトリデータにアクセスする必要がないことが確かな場合は、「保存」をクリックします。 オープンディレクトリのマスターと複製の互換性 オープンディレクトリのマスターとその複製の両方で、同じバージョンの Mac OS X Server を使用 する必要があります。 • Mac OS X Server バージ ョン 10.4 を使用する オープンディレクトリのマ スターは、Mac OS X Server バージョン 10.3 に複製されません。 • Mac OS X Server バージョン 10.4 は、Mac OS X Server バージョン 10.3 を使用するオ ープンディ レクトリのマスターの複製にすることはできません。 • Mac OS X Server バージ ョン 10.4 を使用する オープンディレクトリのマ スターは、Mac OS X Server バージョン 10.4 を使用するオープンディレクトリの複製に複製することができます。 オープンディレクトリのマスターと複製で Mac OS X Server バージョン 10.3 を使用している場合は、 それらを一緒にバージョン 10.4 にアップグレードする必要があります。まずマスターをアップグレー ドし、次に複製 をアップグレードし ます。マスターと複製のク ライアントは、アップグ レード処理 中も引き続き ディレクトリサービス と認証サービスを受け 付けます。マスターをアッ プグレードし ている間、そのクライアントは最も近い複製に自動的にフェイルオーバーします。複製を 1 つずつ アップグレー ドするときは、クライアン トはアップグレード済 みのマスターにフェイ ルオーバーし ます。 オープンディレクトリのマスターを Mac OS X Server バージョン 10.3 からバージョン 10.4 にアッ プグレード すると、サーバはそのサー バの既存の複製に結び つけられます。オープンデ ィレクトリ の各複製を Mac OS X Server バージョン 10.4 にアップグレードすると、各複製はスタンドアロン サーバになります。そのた め、もう一度複製にする必要があります。 Mac OS X Server バージョン 10.4 にアップグレードする手順については、アップグレードおよび移行ガイドを参照してください。 74 第5章 オープンディレクトリ・サービスを設定する オープンディレクトリのマスターを設定する 「サーバ管理」を使って、Mac OS X Server をオープンディレクトリのマスターとして設定して、ほ かのシ ステムにデ ィレクト リ情報と認 証情報を提 供できるよ うにする ことができ ます。Mac OS X Server は、共有 LDAP ディレクトリドメインを管理することによってディレクトリ情報を提供しま す。さらに、サーバは、アカウントが共有 LDAP ディレクトリドメインに保存されているユーザを 認証します。 オープンディレクトリのマスターには、オープンディレクトリ・パスワード・サーバがあります。こ のパスワードサーバは、 Mac OS X Server のサービスに必要な従来の認証 方法をすべてサポートし ています。さらに、オープンディレクトリのマスターでは、シングルサインオン用に Kerberos 認証 を提供することができます。 オープンディレクトリのマスターでシングルサインオン用に Kerberos 認証を提供する場合は、DNS がネ ットワー ク上で 利用可 能になっ ていて、オ ープン ディレク トリの マスタ ーサーバ の完全 修飾 DNS 名を IP アドレスに解決するように正しく設定されている必要があります。また、 DNS は、IP アドレスをサーバの完全修飾 DNS 名に解決するように設定されている必要もあります。 重要:オープン ディレクトリの複製を オープンディレクトリ のマスターに変更して いる場合、従う 手順は、複製でマスターを置き換えるか、または複製を追加のマスターにするかによって異なります。 • 複製 を昇 格して 、機能し なく なった マス ターを 置き 換え るには、こ こに 示した 手順 では なく、 165 ページの「オープンディレクトリの複製を昇格する 」の手順に従ってください。 • 複製を追加のマスターに変更する場合は、166 ページの「オープンディレクトリの複製をデコミッ ションする」で説 明されているように、まず複製 をデコミッションします。次 に、このトピック の手順に従ってマスターにします。 参考:あるディレクトリシステムに接続されていた Mac OS X Server をオープンディレクトリのマ スターにする場合は、そのサーバはほかのディレクトリシステムに接続されたままになります。サー バは、ユーザレコードとその他の情報を、接続されたほかのディレクトリシステムで検索する前に、 共有 LDAP ディレクトリドメインで検索します。 オープンディレクトリのマスターになるようにサーバを設定するには: 1 「サーバ管理」 を開き、サーバに接続し 、 「コンピュータとサー ビス」リストで、このサ ーバのオー プンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、「一般」(一番上付近に あります)を クリックします。 3 「役割」オプションが「オープンディレクトリの複製」に設定されていて、新しくオープンディレク トリ のマスタ ーを作成 する場合 は、「役割」を「スタ ンドアロ ンサーバ」に 変更して「保 存」をク リックする必要があります。 オープンディ レクトリの複製をマス ターにする前にスタン ドアロンサーバに変更し ないと、新しい マスターは作成されず、複製をマスターに昇格する操作は終了します。詳しくは、165 ページの「オー プンディレクトリの複製を昇格する」を参照してください。 第5章 オープンディレクトリ・サービスを設定する 75 4 「役割」ポップアップメニューから「オープンディレクトリのマスター」を選び、必要な情報を入力 します。 「名前」、「ユーザ名」、「ユーザ ID」 、「パスワード」: LDAP ディレクトリの主要な管理者のための新 しいユーザ アカウントを作成する 必要があります。このア カウントは、サーバのロ ーカル・ディレ クトリドメイン内の管理者アカウントのコピーではありません。LDAP ディレクトリ管理者の名前と ユーザ ID は、ローカル・ディレクトリドメイン内のユーザアカウントの名前とユーザ ID と別にす る必要があります。 「Kerberos 領域」 : このフィールドは、大文字に変換されたサーバの DNS 名と同じものにあらかじ め設定されています。これは、Kerberos 保護領域の命名規則です。必要に応じて、別の名前を入力 できます。 「検索ベース」: このフィールドは、新しい LDAP ディレクトリの検索ベースのサフィックスにあら かじめ設定されています。検索ベースのサフィックスは、サーバの DNS 名のドメイン部分に由来し ます。別の検索ベースのサフィックスを入力することも、空欄にすることもできます。このフィール ドを空欄にすると、LDAP ディレクトリのデフォルトの検索ベースのサフィックスが使用されます。 5 「OK」をクリックし、「保存」をクリックします。 オープンディレクトリのマスターが正しく機能していることを確認するには、「概要」(「コンピュー タとサービス」リストでオープンディレクトリを選択した場合に、「サーバ管理」ウインドウの一番 下付近にあ ります)をクリックします。オ ープンディレクトリの 概要のパネルにリスト されている すべての項目の状況が「実行中」になっている必要があります。停止したままの Kerberos を実行し たい場合は、 169 ページの「Kerberos がオープンディレクト リのマスターまたは複 製で停止する」 を参照してください。 Mac OS X Server コ ンピュータをオープンディレクトリのマスターと して設定したら、そのバイン ド方式、セキュリティポリシー、パスワード方式、複製の頻度、および LDAP プロトコルの各オプ ションを変更できます。手順については、86 ページの「オープンディレクトリのマスターまたは複 製のオプションを設定する」を参照してください。 Mac OS X または Mac OS X Server を搭載したほかのコンピュータを、サーバの共有 LDAP ディレ クトリドメインにアクセスするように設定できます。手順については、117 ページの「 LDAP ディレ クトリにアクセスする」を参照してください。 ユーザにログイン方法を指示する Mac OS X コンピュータがディレクトリドメインに接続されていて、ユーザのリストを Mac OS X の ログインウ インドウに表示するよ うに設定されている 場合、そのリストには「その 他」が含まれて いる場合があります。ネットワークアカウントを使用してログインしたことのないユーザには、「そ の他」をクリッ クしてからアカウント名 とパスワードを入力す る必要があることを伝 える必要があ る場合があります。 ユーザは、ユー ザのリストをログインウ インドウに表示しない ように自分のコンピュ ータを設定で きます。ユーザがこの設定を変更するには、「システム環境設定」の「アカウント」パネルで「ログ インオプション」をクリックします。 76 第5章 オープンディレクトリ・サービスを設定する コンピュータ の環境設定を管理する ことで、コンピュータのロ グインウインドウでリ ストにネット ワークユー ザを表示したり、リストを まったく表示しないよ うにしたりできます。その コンピュー タを含むコンピュータ・リスト・アカウントのログイン環境設定を設定するには、「ワークグループ マネージャ」を使用します。特定のコンピュータ・リスト・アカウントに含まれていないコンピュー タを管理するには、「ゲストコンピュータ」アカウントのログイン環境設定を設定します。手順につ いては、ユーザ管理ガイドを参照してください。 オープンディレクトリの複製を設定する 「サーバ管理」を使って、Mac OS X Server をオープンディレクトリのマスターの複製として設定し て、マスターと 同じディレクトリ情報と 認証情報をほかのシス テムに提供できるよう にすることが できます。複製サーバは、マスターの LDAP ディレクトリドメインの読み出し専用コピーを管理し ま す。複製 サー バ は、オー プン デ ィレ クト リ・パ スワ ード・サ ー バお よび Kerberos KDC( Key Distribution Center)の読み出し/書き込みコピーも管理します。 オープンディレクトリの複製には、次のような利点があります: • 低速リンクに よって相互接続されて いるローカル・エリア・ネットワ ーク(LAN )の広域ネット ワーク(WAN)で、LAN 上の複製は、サーバとクライアントコンピュータにユーザアカウントお よびその他のディレクトリ情報への高速アクセスを提供します。 • 複製は冗長性を 提供します。オープンディレクト リのマスターに支障が生じ た場合、接続されて いるコ ンピュータは 近くの複製に 自動的に切 り替えます。この 自動フェイ ルオーバーの 動作は、 Mac OS X および Mac OS X Server のバージョン 10.3 ∼ 10.4 の機能です。 参考:ネットワークに Mac OS X Server バージョン 10.3 と 10.4 が混在している場合は、一方のバー ジョンをもう一方のバージョンのマスターの複製にすることはできません。バージョン 10.4 のオー プ ンデ ィレ クト リの マス ター は、Mac OS X Server バ ージ ョン 10.3 に複 製さ れま せん。ま た、 Mac OS X Server バージョン 10.3 のオープンディレクトリのマスターは、 Mac OS X Server バー ジョン 10.4 に複製されません。 重要:オープンディレクトリの複製を最初に設定するときは、すべてのディレクトリおよび認証デー タをオープン ディレクトリのマスタ ーから複製にコピーす る必要があります。ディレ クトリドメイ ンの大きさ によって、複製には数秒か ら数分かかることがあ ります。低速ネットワーク リンクを介 した複製に は、非常に時間がかかる ことがあります。複製中は、 マスターはディレクト リまたは認 証サービスを提供できません。マス ター LDAP ディレクトリ内 のユーザアカウントは、複製が完了 するまではロ グインやサービスの認 証には使用できません。デ ィレクトリサービスの 混乱を最小限 にするには、マスター LDAP ディレクトリが完全に取り込まれる前か、1 日のうちでディレクトリ サービスが 必要にならない時間に 複製を設定します。別の複 製がすでに設定されて いると、ディレ クトリサービスのクライアントが、利用できなくなっているマスターから分離されます。 重要:ほかのディレクトリシステムに接続された Mac OS X Server コンピュータをオープンディレ クトリの複製に変更する場合、サーバはほかのディレクトリシステムに接続されたままになります。 サーバは、ユー ザレコードとその他の 情報を、接続されたほかの ディレクトリシステム で検索する 前に、共有 LDAP ディレクトリドメインで検索します。 第5章 オープンディレクトリ・サービスを設定する 77 オープンディレクトリのマスターの複製を管理するようにサーバを設定するには: 1 マスター、予定されている複製、およびそれらの間のすべてのファイアウォールが、SSH 通信(ポー ト 22)を許可するように設定されていることを確認します。 Mac OS X Server の SSH を有効にするには、「サーバ管理」を使用します。「コンピュータとサービ ス」リストからサーバを選択し、「設定」を クリックし、 「一般」をクリックして、SSH のオプショ ンを選択します。SSH について詳しくは、「お使いになる前に」ガイドを参照してください。 Mac OS X Server のファイアウォールを介して SSH 通信を許可する手順については、ネットワーク サービス管理ガイドを参照してください。 2 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 3 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 4 「役割」ポップアップメニューから「オープンディレクトリの複製」を選び、必要な情報を入力します。 「オープンディレクトリのマスターの IP アドレス」 :新しいオープンディレクトリのマスターである サーバの IP アドレスを入力します。 「オープンディ レクトリのマスターの ルートパスワード」 :オー プンディレクトリのマス ターシステ ムのルートユーザ(ユーザ名が「System Administrator」)のパスワードを入力します。 「マスターにおけるドメイン管理者のユーザ名」 :LDAP ディレクトリドメインの管理者アカウントの 名前を入力します。 「マスターにお けるドメイン管理者の パスワード」 :入力した名 前の管理者アカウントの パスワード を入力します。 5 「OK」をクリックし、「保存」をクリックします。 6 複製とマスターの日付、時刻、および時間帯が正しいことを確認します。 複製とマスターは同じネットワーク・タイム・サービスを使用するため、時計は常に同期されます。 オープンデ ィレクトリの複製を設 定すると、ほかのコンピュ ータは、必要に応じて自動 的にそれに 接続します。Mac OS X または Mac OS X Server のバージョン 10.3 ∼ 10.4 を搭載するコンピュータ では、オープンディレクトリの複製のリストを管理します。これらのコンピュータのいずれかがディ レクトリおよ び認証サービス用のオ ープンディレクトリの マスターに接続できない 場合、そのコン ピュータは自動的に、マスターの一番近い複製に接続します。 Mac OS X コンピュータを、ディレクトリおよび認証サービス用のオープンディレクトリのマスター ではなく、オープンディレクトリの複製に接続するように設定できます。各 Mac OS X コンピュー タで、 「ディレクトリアクセス」を使って、複製の LDAP ディレクトリにアクセスするための LDAPv3 設定を作成できます。また、DHCP サービスから LDAP サーバのアドレスを取得する Mac OS X コ ンピュータに、複製の LDAP ディレクトリを提供するように DCHP サービスを設定することもでき ます。117 ページの「 LDAP ディレクトリにアクセスする」および 114 ページの「自動検索方式を定 義する」を参照してください。 78 第5章 オープンディレクトリ・サービスを設定する オープンデ ィレクトリのマスター は、複製を自動的に更新 します。マスターは、その複 製を指定し た間隔で更新するか、マスターディレクトリが変わったときは常に更新するように設定できます。手 順については、164 ページの「オープンディレクトリのマスターの複製をスケジュールする」を参照 してください。 オープンディレクトリのマスターの複数の複製を作成する 複数のサーバをオープンディレクトリのマスターの複製にするには、一度に 1 つずつ複製を作成し ます。2 つの複製を同時に作成しようとすると、1 つは成功しますが、もう 1 つは失敗します。その 後、2 つ目の複製を作成しようとすると、成功するはずです。 オープンディレクトリのフェイルオーバーを設定する オー プンディ レクト リのマ スターま たはそ の複製 のいずれ かが利 用できな くなる と、バージ ョン 10.3 ∼ 10.4 の Mac OS X または Mac OS X Server を搭載したクライアントコンピュータは、自動的 に利用可能な複製を探して接続します。 複製を使っ てディレクトリ情報を 読み出すことができる のは、クライアントのみで す。複製にある ディレクトリ情報は、「ワークグループマネージャ」などの管理ツールを使って変更することはでき ません。 パスワードタ イプがオープンディレ クトリであるユーザは、オ ープンディレクトリの 複製に接続さ れているコ ンピュータ上のパスワ ードを変更できます。複製 は、自動的にパスワードの 変更をマス ターと同期 させます。マスターがし ばらくの間利用できな い場合、複製は、マスターが 再度利用可 能になったときにパスワードの変更をマスターと同期させます。 オープンディ レクトリのマスターに 恒久的な障害が発生し、そ のマスターに現在のア ーカイブデー タがある場 合は、新しいマスターに データを復元すること ができます。または、複製を マスターに 昇格することもできます。手順については、168 ページの「オープンディレクトリのマスターを復元 する」および 165 ページの「 オープンディレクトリの複製を昇格する」を参照してください。 参考:障害が発生したオープンディレクトリのマスターまたは複製に Mac OS X または Mac OS X Server バージョン 10.2 以前を搭載したクライアントコンピュータがある場合、バージョン 10.2 の コンピュー タおよびサーバは、自動的 には別の複製にフェイ ルオーバーしません。複製 をマスター に昇格する ことで、障害が発生したマ スターを置き換える場 合は、この新しいマスター またはその 複製の 1 つに接続するようにバージョン 10.2 の各コンピュータおよびサーバを手動で再設定するこ とができます。これを行うには、バージョン 10.2 の各コンピュータまたはサーバで「ディレクトリ アクセス」を使 用して、コンピュータが新 しいマスターまたは利 用可能な複製にアクセ スする方法 を指定する LDAPv3 設定を作成します。手順については、117 ページの「LDAP ディレクトリにアク セスする」を参照してください。 第5章 オープンディレクトリ・サービスを設定する 79 ディレクトリシステムへの接続を設定する 「サーバ管理」を使って、Mac OS X Server がほかのサーバの共有ディレクトリドメインからユーザ レコードや その他のディレクトリ 情報を取得するように 設定できます。ほかのサー バも、そのディ レクトリ情報の認証を提 供します。Mac OS X Server は、それ自身のロ ーカル・ディレクトリドメ インからディレクトリ情報を取得し、そのローカルディレクトリ情報の認証を提供します。 重要:Mac OS X Server を、オープンディレクトリにするのではなく、ほか のディレクトリシステ ムに接続するように変更すると、その共有 LDAP ディレクトリドメインが使用できなくなり、次の ような状態になります: • 共有ディレクトリドメイン内のユーザレコードやその他の情報は、削除されます。 • ほかのサーバが マスター・ディレクトリドメイン に接続されていた場合は、使用 できなくなった ディレクトリド メイン内のユーザアカウントや その他の情報が利用できなく なったときに、その サービスが正常に動作しなくなることがあります。 • 使用できなくな ったディレクトリドメイン内に アカウントあるユーザは、オープ ンディレクトリ のマスター上の ファイルやフォルダ、およびマス ター・ディレクトリドメインに 接続されたその 他のサーバ上のファイルやフォルダに、アクセスできなくなることがあります。 既存のシステムからディレクトリサービスを取得するようにサーバを設定するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 3 4 「役割」ポップアップメニューから「ディレクトリシステムに接続」を選びます。 サーバがオ ープンディレクトリの マスターだった場合で、ユ ーザやサービスが、サーバ が管理して いる共有ディ レクトリドメインに保存 されたディレクトリデ ータにアクセスする必要 がないことが 確かな場合は、「保存」をクリックします。 5 「オープンディレクトリアクセス」ボタンをクリックして、1 つ以上のディレクトリシステムへのア クセスを設定します。 特定の種類のディ レクトリサービスへのアクセスの設 定手順については、第 7 章「ディレクトリア クセスを管理する」を参照してください。 参考:Mac OS X Server バージョン 10.4 以降を Mac OS X Server10.3 以前のディレクトリドメイン に接続する場合は、古いディレクトリドメインに定義されているユーザは NTLMv2 方法で認証でき ない こと を認識 してお いて くださ い。この方 法で は、Mac OS X Server バ ージ ョン 10.4 以 降の Windows サービスのために、一部の Windows ユーザを安全に認証する必要があります。Mac OS X Server バージョン 10.4 以降のオープンディレクトリ・パスワード・サーバは NTLMv2 による認証 をサポートしますが、Mac OS X Server バージョン 10.3 以前のパスワードサーバは NTLMv2 をサ ポートしません。 80 第5章 オープンディレクトリ・サービスを設定する 同様に、Mac OS X Server バージョン 10.4 以降を Mac OS X Server バージョン 10.2 以前のディレ クトリドメイ ンにアクセスするよう に設定する場合は、古いデ ィレクトリドメインに 定義されてい るユーザは MS-CHAPv2 方法で認証できません。この方法では、Mac OS X Server バージョン 10.4 以降の VPN サービスのために、ユー ザを安全に認証する必要があります。 Mac OS X Server バー ジョン 10.4 のオープンディレクトリは MS-CHAPv2 による認証をサポートしていますが、 Mac OS X Server バージョン 10.2 のパスワードサーバは MS-CHAPv2 をサポートしていません。 6 設定対象のサーバに、Kerberos 保護領域も管理するディレクトリシステムへのアクセス権がある場 合は、そのサーバをその Kerberos 保護領域に接続することができます。 Kerberos 保護領域に接続するには、Kerberos 管理者、またはその保護領域に接続する権限を委任さ れたユーザの名前とパスワードが必要です。手順については、 85 ページの「サーバを Kerberos 保 護領域に接続する」を参照してください。 シングルサインオン Kerberos 認証を設定する シングルサインオン Kerberos 認証を設定する手順は、以下の通りです: • DNS がネットワーク上で利用可能になっていて、オープンディレクトリのマスターサーバ(また はほかの Kerberos サーバ)の完全修飾 DNS 名を IP アドレスに解決するように正しく設定されて いる必要があります。また、DNS は、 IP アドレスをサーバの完全修飾 DNS 名に解決するように 設定されている必要もあります。 • 管理者は、Kerberos 保護領域を管理するようにディレクトリシステムを設定します。Kerberos 保 護領域を管理するように Mac OS X Server を設定する手順については、 「オープンディレクトリの Kerberos 保護領域を設定する」(次のセクション)を参照してください。 • オープンディレクトリのマスターの Kerberos 管理者は、サーバをオープンディレクトリのマス ターの Kerberos 保護領域に接続する権限を委任することができます。(管理者は、委任された権 限を必要としません。Kerberos 管理者は、任意のサーバを Kerberos 保護領域に接続する権限を 暗黙的に持っています。)83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権 限を委任する」を参照してください。 • Kerberos 管理者または権限を委任されたユーザは、 サーバを Kerberos 保護領域に接続します。 Kerberos 保護領域は、接続したサーバが提供するサービスのシングルサインオン Kerberos 認証 を提供します。85 ページの「 サーバを Kerberos 保護領域に接続する」を参照してください。 • Kerberos を使用するすべてのコンピュータに、正しい日付、時刻、および時間帯を設定する必要 があります。これ らのコンピュータはすべて、同 じネットワーク・タイム・サーバ を使用するよ うに設定する必要があります。Kerberos は、それを使用するすべてのコンピュータが同期されて いる時計に依存します。 Mac OS X Server の個々のサービスには、シングルサインオンまたは Kerberos 用の設定は必要あり ませ ん。オープ ンデ ィレク トリの マスタ ーまた は複製 か、また はそれ に接続 してい る Mac OS X Server バージョン 10.4 以降を搭載したすべてのサーバでシングルサインオン Kerberos 認証を使用 できるサービスは、以下の通りです: ログインウインドウ、メールサービス、AFP、FTP、SMB/CIFS (Active Directory の Kerberos 保護領域のメンバーとして)、VPN 、Apache Web サービス、および LDAPv3 ディレクトリサービス(オープンディレクトリのマスターまたは複製上)。 第5章 オープンディレクトリ・サービスを設定する 81 オープンディレクトリの Kerberos 保護領域を設定する オープンディ レクトリのマスターを 設定することによって、ネ ットワーク上でシング ルサインオン Kerberos 認証を提供で きます。オープンデ ィレクトリのマ スターは、Mac OS X Server のインス トー ル後の 初期設 定中に設 定でき ます。ただ し、別のオ ープン ディレ クトリの 役割を 持つよ うに Mac OS X Server を設定している場合は、「サーバ管理」を使用して、その役割をオープンディレク トリのマスターの役割に変更できます。手順については、 75 ページの「オープンディレクトリのマ スターを設定する」および 82 ページの「オープンディレクトリのマスターを設定した後で Kerberos を起動する」を参照してください。 オープンディレクトリのマスターであるサーバには、そのサーバ自身が提供するすべての Kerberos 対応サービス用のシングルサインオン Kerberos 認証をサポートするために、追加の設定は必要あり ません。このサーバは、ネットワーク上のほかのサーバの Kerberos 対応サービス用のシングルサイ ンオン Kerberos 認証もサポートできます。その他のサーバは、オープンディレクトリの Kerberos 保護領域に接続するように設定する必要があります。手順については、 83 ページの「オープンディ レクトリの Kerberos 保護領域に接続する権限を委任する」および 85 ページの「サーバを Kerberos 保護領域に接続する」を参照してください。 重要:オープンディレクトリのマスターで Kerberos とシングルサインオン認証を提供するためには、 DNS を正しく設定する必要があります。 • DNS サービスは、オープンディレクトリのマスター自体を含むすべてのサーバの完全修飾 DNS 名 とそれらの IP アドレスを解決し、対応するリバース lookup を提供するように設定する必要があ ります。DNS サービスの設定手順については、ネットワークサービス管理ガイドを参照してくだ さい。 • オープンディレ クトリのマスターサーバの「ネ ットワーク」環境設定は、サーバ の名前を解決す る DNS サーバを使用するように設定する必要があります。 (オープンディレクトリのマスターサー バで独自の DNS サービスを提供している場合は、その「ネットワーク」環境設定でマスターサー バ自体を DNS サーバとして使用するように設定する必要があります。) オープンディレクトリのマスターを設定した後で Kerberos を起動する オープンディレクトリのマスターを設定しても Kerberos が自動的に起動しない場合は、「サーバ管 理」を使用して手動で起動することができます。まず、 Kerberos が起動しない原因となった問題を 解決する必要があります。通常、問題は、DNS サービスが正しく設定されていないか、実行されて いないことです。 参考:Kerberos を手動で起動した後は、アカウ ントにオープンディレクトリの パスワードがあり、 そのアカウントが Kerberos の停止中にオープンディレクトリのマスターの LDAP ディレクトリで作 成されたユーザは、次回ログインするときにパスワードを再設定する必要がある場合があります。し たがって、ユーザアカウントが影響を受けるのは、Kerberos の停止中にオープンディレクトリのパ スワードの回復可能な認証方法がすべて無効になっていた場合だけです。 オープンディレクトリのマスターで Kerberos を手動で起動するには: 1 「サーバ管理」を 開き、オープンディレ クトリのマスターに 接続し、 「コンピュータ とサービス」リ ストで、マスターのオープンディレクトリを選択します。 82 第5章 オープンディレクトリ・サービスを設定する 2 「リフレッシュ」をクリックし(または、「表示」>「リフレッシュ」と選択し)、「概要」パネルに 報告されている Kerberos の状況をチェックします。 Kerberos が実行されている場合は、ほかにすることはありません。 3 「ネットワークユーティリティ」 (「 / アプリケーション / ユーティリティ /」にあります)を使用して、 オープンディレクトリのマスターの DNS 名から DNS lookup を、 IP アドレスからリバース lookup を実行します。 サーバの DNS 名または IP アドレスが正しく解決されない場合: • 「システ ム環境設 定」の「ネットワ ーク」パネル で、サーバの プライマ リ・ネットワー ク・イン ターフェイス(通常は内蔵 Ethernet)の TCP/IP 設定を調べます。リストされている 1 番目の DNS サーバがオープンディレクトリ・サーバの名前を解決する DNS サーバであることを確認します。 • DNS サービスの設定をチェックし、 DNS サービスが実行中であることを確認します。 4 「サーバ管理」で、マスターサーバのオープンディレクトリを選択し、「設定」をクリックして、「一 般」をクリックします。 5 「Kerberos 対応にする」をクリックして、求められた情報を入力します。 「管理者名」および「パスワード」: オープンディレクトリのマスターの LDAP ディレクトリの管理 者として認証を行う必要があります。 「保護領域名」: このフィールドは、大文字に変換されたサーバの DNS 名と同じものにあらかじめ 設定されています。これは、Kerberos 保護領域の命名規則です。必要に応じて、別の名前を入力で きます。 オープンディレクトリの Kerberos 保護領域に接続する権限を委任する 「サーバ管理」を使って、サーバをシングルサインオン Kerberos 認証用のオープンディレクトリの マスターサーバに接続する権限を委任できます。権限は、1 つ以上のユーザアカウントに委任できま す。権限を委任するユーザアカウントにはオープンディレクトリのパスワードタイプが必要であり、 そのユーザアカウントはオープンディレクトリのマスターサーバの LDAP ディレクトリ内に置かれ ている必要があります。権限を委任する、依存するサーバには、 Mac OS X Server バージョン 10.3 以降が必要です。 参考:Kerberos 権限を委任されたアカウントがオープンディレクトリのマスターサーバで削除され て再作成さ れる場合、新しいアカウン トには、依存するサーバを オープンディレクトリ のマスター の Kerberos 保護領域に接続する権限はありません。 Kerberos 管理者(つまり、オープンディレクトリの LDAP の管理者)は、依存するサーバをオープ ンディレクトリの Kerberos 保護領域に接続する権限を委任されている必要はありません。Kerberos 管理者は、任意のサーバを Kerberos 保護領域に接続する権限を暗黙的に持っています。 オープンディレクトリの Kerberos 保護領域に接続する権限を委任するには: 1 「ワークグループマネージャ」で、オープンディレクトリのマスターサーバの LDAP ディレクトリド メインでコン ピュータリストを作成 するか、このディレクトリ で既存のコンピュータ リストを選択 します。 第5章 オープンディレクトリ・サービスを設定する 83 • 「ワークグルー プマネージャ」で既存のコンピ ュータリストを選択するに は、「アカウント」をク リックする か、 「表示」>「アカウント」と選択し て、 「コンピュータ」ボタン(アカ ウントリス トの上にあります)をクリックし、使用するコンピュータリストを選択します。 • 依存するサーバを追加するコンピュータリストがまだ LDAP サーバにない場合は、作成することが できます。 「アカウント」をクリックしてから、「コンピュータ」ボタンをクリックします。 アカウントのリ ストの上にある小さい地球のア イコンをクリックし、ポップアッ プメニューを使 用して、オープンディレクトリのマスターの LDAP ディレクトリを開きます。 カギをクリックし、LDAP ディレクトリの管理者として認証します。 「リスト」(右側)をク リックして、 「新規コンピュ ータリスト」をクリック するか、 「サーバ」> 「新規コンピュータリスト」と選択します。 リスト名を入力します(たとえば、「Kerberized Servers 」)。 2 追加(+)ボタンをクリックして、依存するサーバのプライマリ Ethernet アドレスを「アドレス」 フィールドに、サーバの完全修飾 DNS 名を「名前」フィールドに入力します。 : 依存するサーバのプライマリ Ethernet ポートの Ethernet アドレスを入力します。プ • 「アドレス」 ライマリ Ethernet ポートは、依存するサーバの「ネットワーク」環境設定の「ネットワークの状 況」パネルにリストされる最初のポートです。このポートのアドレスは、 「ネットワーク」環境設 定の「Ethernet 」パネルに「Ethernet ID 」として表示されます。正しい Ethernet アドレスを入 力しないと、依存するサーバは、Kerberos 認証用のオープンディレクトリのマスターに接続でき ません。 : 依存するサーバのホスト名だけではなく、完全修飾 DNS 名を入力します。たとえば、そ • 「名前」 の名前を server2.example.com とすることはできますが、単に server2 とすることはできません。 この名前は、KDC で Kerberos プリンシパルを作成するために使用されます。この名前が正しく ないと、ユーザは Kerberos を使用して認証することはできません。 DNS システムには、依存するサーバの名前のエントリーと、依存するサーバの IP アドレスのリ バース lookup エントリーが必要です。 • 「この名前をコンピュータ名として使用」: Kerberos の動作には影響しません。 • 「コメント」: 省略可能で、情報提供のためにのみ使用されます。 3 「保存」をクリックし、コンピュータリストの変更を保存します。 4 「環境設定」をクリックし、コンピュータリストに、管理された環境設定がないことを確認します。 環境設定カテ ゴリの配列内にある項 目のアイコンの横に小 さい矢印がある場合、その 項目には管理 された環境設定があります。管理された環境設定を項目から取り除くには、項目をクリックし、「管 理」の横の「しない」を選択して、「今すぐ適用」をクリックします。項目に複数のパネルがある場 合は、各パネルで「管理」の横の「しない」を選択し、「今すぐ適用」をクリックします。 5 Kerberos 権限を 1 つ以上の新しいユーザアカウントに委任する場合は、ここで作成します。 • オープンディレクトリのマスターサーバの LDAP ディレクトリで作業していることを確認します。 必要に応じて、小さ い地球のアイコンをクリック し、ポップアップメニューを使 用してこのディ レクトリを開きます。次に、カギをクリックして、このディレクトリの管理者として認証します。 84 第5章 オープンディレクトリ・サービスを設定する • 「ユー ザ」ボタン(左側)を クリッ クし、「新規ユ ーザ」をク リック するか、「サー バ」>「新規 ユーザ」と選択します。 名前、ユーザ名、およびパスワードを入力します。 「アクセスアカウント」も「サーバを管理する」 も選択する必要はありません。ほかのパネルで設定を変更することもできますが、 「詳細」パネル で「ユーザ のパスワード のタイプ」設定を 変更しないで ください。Kerberos 権限を委任 された ユーザは、オープンディレクトリのパスワードを持つ必要があります。 6 「保存」をクリックし、新しいユーザアカウントを保存します。 7 「サーバ管理」を 開き、オープンディレク トリのマスターサー バに接続し、 「コンピュー タとサービ ス」リストで、このサーバのオープンディレクトリを選択します。 8 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、「一般」(一番上付近に あります)を クリックします。 9 「役割」が「オープンディレクトリのマスター」になっていることを確認してから、 「 Kerberos レコー ドを追加」をクリックし、必要な情報を入力します。 : オープンディレクトリのマスターサーバ上の LDAP ディレクトリ管理者の名前を入 • 「管理者名」 力します。 • 「管理者のパスワード」: 入力した管理者アカウントのパスワードを入力します。 : 手順 2 で依存するサーバをコンピュータリストに追加したときに入力し • 「設定レコードの名前」 たのと正確に同じ完全修飾 DNS 名を入力します。 • 「委任された管理者」: 指定したサーバに対する Kerberos 権限を委任する各ユーザアカウントの ユーザ名(ショー トネーム)またはロングネーム を入力します。将来このユーザ アカウントが削 除された場合に備えて、少なくとも 2 つの名前を入力することを考慮してください。 10 「保存」をクリックし、指定した通りに Kerberos 権限を委任します。 複数の依存するサーバに対する権限を委任する場合は、それぞれに対してこの手順を繰り返します。 サーバをオープンディレクトリの Kerberos保護領域に接続する手順については、 「サーバを Kerberos 保護領域に接続する」(次のセクション)を参照してください。 サーバを Kerberos 保護領域に接続する 「サーバ管理」を使用 すると、Kerberos 管理者、ま たは適切に権限を委任されたア カウントを持つ ユーザは、Mac OS X Server を Kerberos 保護領域に接続することができます。サーバが接続できる Kerberos 保護領域は 1 つだけです。オープンディレクトリの Kerberos 保護領域、Active Directory の Kerberos 保護領域、または MIT Kerberos に基づく既存の保護領域のいずれかです。 オープンディレクトリの Kerberos 保護領域に接続するには、 Kerberos 管理者アカウント、または Kerberos 権限を委任されたユーザアカウントが必要です。詳しくは、83 ページの「オープンディレ クトリの Kerberos 保護領域に接続する権限を委任する」を参照してください。 サーバを Kerberos 保護領域に接続するには: 1 Kerberos 保護領域に接続するサーバがKerberos サーバの共有ディレクトリドメインにアクセスする ように設定されていることを確認します。 第5章 オープンディレクトリ・サービスを設定する 85 確認するには、Kerberos 保護領域に接続するサーバで「ディレクトリアクセス」を開くか、別のコ ンピ ュータ で「ディ レクト リアク セス」を使 用し てサー バに接 続しま す。 「認証」を クリッ クし、 Kerberos サーバのディレクトリドメインがリストされていることを確認します。リストされていな い場合は、第 7 章「ディレクトリアクセス を管理する」で、ディレクトリへのアク セスを設定する 手順を参照してください。 2 「サーバ管理」を開き、Kerberos 保護領域に接続するサーバに接続し、 「コンピュータとサービス」リ ストで、このサーバのオープンディレクトリを選択します。 3 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 4 「役割」が「ディレクトリシステムに接続」になっていることを確認してから、 「Kerberos に接続」を クリックし、必要な情報を入力します。 • オープンディレクトリの Kerberos 保護領域または Active Directory の Kerberos 保護領域の場合 は、ポッ プア ップ メニュ ーか ら保 護領 域を選 択し、 Kerberos 管 理者、ま たはサ ーバ に対 する Kerberos 権限を委任されたユーザの名前とパスワードを入力します。 • MIT ベースの Kerberos 保護領域の場合は、Kerberos 管理者の名前とパスワード、Kerberos 保護領 域名、および Kerberos KDC サーバの DNS 名を入力します。 オープンディレクトリのマスターまたは複製のオプションを設定する オープンデ ィレクトリのマスター とその複製のバインド、セ キュリティ、およびパスワ ード方式を 設定することができます。オープンディレクトリのマスターや複製に、いくつかの LDAP オプショ ンを設定することもできます。手順については、以下を参照してください: • 「オープンディレクトリのマスターと複製のバインド方式を設定する」(次のセクション) • 87 ページの「オープンディレクトリのマスターと複製のセキュリティポリシーを設定する 」 • 99 ページの「グローバルパスワード方式を変更する」 • 88 ページの「LDAP データベースの場所を変更する」 • 88 ページの「LDAP サービスの検索結果を制限する」 • 89 ページの「 LDAP サービスの検索タイムアウトを変更する」 • 89 ページの「 LDAP サービスの SSL を設定する」 オープンディレクトリのマスターと複製のバインド方式を設定する 「サーバ管理」を使用すると、LDAP ディレクトリとそれにアクセスするコンピュータの間で、信頼 されたバイン ディングを許可したり要 求したりするようにオ ープンディレクトリのマ スターを設定 できます。オープンディレクトリのマスターの複製は、自動的にそのバインド方式を継承します。 信頼された LDAP バインディングは、相互に認証されます。コンピュータは、LDAP ディレクトリの 管理者の名前とパスワードを使用して識別情報を提示し、LDAP ディレクトリに対して認証を行いま す。LDAP ディレクトリは、信頼されたバインディングを設定するとき、ディレクトリ内に作成され ている認証済みのコンピュータレコードによって、自分の正統性を提示します。 86 第5章 オープンディレクトリ・サービスを設定する 信頼された LDAP バインディングと、 DHCP から提供される LDAP サーバ( DHCP Option 95 とも 呼ばれます)の両方を使用するようにクライアントを設定することはできません。信頼された LDAP バインディングは、本来静的バインディングですが、DHCP から提供される LDAP は動的バインディ ングです。詳しくは、118 ページの「DHCP によって提供される LDAP ディレクトリを有効にする/ 無効にする」を参照してください。 参考:信頼された LDAP バインディングをクライアントで使用するには、Mac OS X または Mac OS X Server のバージョン 10.4 以降が必要です。バージョン 10.3 以前を使用するクライアントでは、信 頼されたバインディングを設定できません。 オープンディレクトリのマスターと複製のバインド方式を設定するには: 1 「サーバ管理」を 開き、オープンディレク トリのマスターサー バに接続し、 「コンピュー タとサービ ス」リストで、このサーバを選択します。 2 「設定」(ウインドウの一番下付近にあります)をクリックし、「ポリシー」(一番上付近にあります) をクリックします。 3 「バインド」をクリックし、ディレクトリバインドの目的のオプションを設定します。 「ディレクトリバインドを有効にする」を選択します。 • 信頼されたバインディングを許可するには、 「ディレクトリへのバインドをクライアントに要求す • 信頼されたバインディングを要求するには、 る」も選択します。 4 「保存」をクリックします。 オープンディレクトリのマスターと複製のセキュリティポリシーを設定する 「サーバ管理」を使用すると、オープンディレクトリのマスターの LDAP ディレクトリへのアクセス に対して、セキュリティポリシーを設定することができます。 オープンディレクトリのマスターの複製は、自動的にそのセキュリティポリシーを継承します。 オープンディレクトリのマスターと複製のセキュリティポリシーを設定するには: 1 「サーバ管理」を 開き、オープンディレク トリのマスターサー バに接続し、 「コンピュー タとサービ ス」リストで、このサーバを選択します。 2 「設定」(ウインドウの一番下付近にあります)をクリックし、「ポリシー」(一番上付近にあります) をクリックします。 3 「バインド」をクリックし、目的のセキュリティオプションを設定します。 • 「クリア・テキスト・パスワードを使用不可にする 」では、暗号化されたパスワードを送信する認 証方法を使用し てパスワードを検証できない場 合、クライアントがパスワードを クリアテキスト で送信で きるかどうかを決 定します。詳しくは、 101 ページの「シャ ドウパスワードの ユーザの 認証方法を選択する」および 102 ページの「オープンディレクトリのパスワードの認証方法を選 択する」を参照してください。 • 「すべてのパケットをデジタル署名(Kerberos が必要)」では、LDAP サーバのディレクトリデー タが クライア ントコン ピュータ に転送 されてい る間にほ かのコ ンピュー タによっ て妨害さ れた り、変更されたりしないようにします。 第5章 オープンディレクトリ・サービスを設定する 87 • 「すべてのパケットを暗号化(SSL または Kerberos が必要)」では、ディレクトリデータをクライ アントコンピュータに送信する前に LDAP サーバが SSL または Kerberos を使用してディレクト リデータを暗号化します。 • 「Man-in-the-Middle 攻撃をブロック( Kerberos が必要)」では、LDAP サーバを装う不正なサー バから保護します。 「すべてのパケットをデジタル署名」オプションと共に使用することを推奨し ます。 4 「保存」をクリックします。 セキュリテ ィのオプションは、ここで の設定を受けて、オープン ディレクトリのマスタ ーまたは複 製のクライ アントごとに個別に設 定することもできます。こ こで選択したオプショ ンは、クライア ントで選択解 除することはできませ ん。クライアントでこれら のオプションを設定す る手順につい ては、128 ページの「LDAP 接続のセキュリティポリシーを変更する」を参照してください。 LDAP データベースの場所を変更する 「サーバ管理」を使ってオープンディレクトリのマスターや複製の、 LDAP ディレクトリドメイン内 のユーザレコードやその他の情報を保管するデータベースのディスクの場所を指定できます。LDAP データベー スは、通常は起動ボリュー ム上にありますが、別のロ ーカルボリューム上に 置くことも できます。 参考:セキュリティ上の目的のため、オープンディレクトリと Kerberos の認証情報を保管するデー タベースは、LDAP データベースの場所に関係なく、常に起動ボリューム上に置かれます。 共有 LDAP データベースの場所を変更するには: 1 「サーバ管理」を 開き、 「コンピュータと サービス」リストで、オープ ンディレクトリの マスターま たはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近に あります)をクリック し、「プロトコル」(一番上付 近にありま す)をクリックします。 3 「設定」ポップアップメニューから「 LDAP の設定」を選び、LDAP データベースを置く場所のフォル ダパスを指定します。 「データベース」フィ ールドにフォルダのパスを入力す るか、ブラウズボタン(... )をクリックして フォルダの場所を選択することができます。 4 「保存」をクリックします。 LDAP サービスの検索結果を制限する 「サーバ管理」を使って、サーバの共有 LDAP ディレクトリドメインによって返される検索結果を制 限することによって、 Mac OS X Server のある種のサービス拒否攻撃を 防ぐことができます。検索 結果の数を制限すると、悪意のあるユーザが複数の広範の LDAP 検索リクエストを送信してサーバ の動作を妨げることを防ぐことができます。 LDAP 検索結果の最大数を設定するには: 1 「サーバ管理」を 開き、 「コンピュータと サービス」リストで、オープ ンディレクトリの マスターま たはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。 88 第5章 オープンディレクトリ・サービスを設定する 2 「設定」(ウイン ドウの一番下付近に あります)をクリック し、 「プロトコル」(一番上付 近にありま す)をクリックします。 3 「設定」ポップアップメニューから「LDAP の設定」を選び、検索結果の最大数を入力します。 4 「保存」をクリックします。 LDAP サービスの検索タイムアウトを変更する 「サーバ管理」を使って、サーバがその共有 LDAP ディレクトリドメインの 1 回の検索にかける時間 を制限することによって、Mac OS X Server のある種のサービス拒否攻撃を防ぐことができます。検 索タイムアウトを設定すると、悪意のあるユーザが異常なほど複雑な LDAP 検索要求を送信してサー バの動作を妨げることを、防ぐことができます。 LDAP 検索のタイムアウト間隔を設定するには: 1 「サーバ管理」を 開き、 「コンピュータと サービス」リストで、オープ ンディレクトリの マスターま たはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近に あります)をクリック し、「プロトコル」(一番上付 近にありま す)をクリックします。 3 「設定」ポップアップメニューから「LDAP の設定」を選び、検索タイムアウトの間隔を指定します。 4 「保存」をクリックします。 LDAP サービスの SSL を設定する 「サーバ管理」を使用すると、SSL(Secure Sockets Layer)を有効にして、オープンディレクトリ・ サーバの LDAP ディレクトリドメインとそれにアクセスするコンピュータの間で暗号化通信を行う ことができます。SSL では、デジタル証明書を使用して、サーバ用の証明済みの識別情報を提供しま す。自己署名証 明書か、または認証局か ら取得した証明書を使 用することができま す。証明書の定 義、取得、サーバへ のインストールにつ いて詳しくは、メールサ ービス管理ガイドを参 照してくだ さい。 LDAP の SSL 通信はポート 636 を使用します。SSL が LDAP サービスで無効になっている場合、通 信はポート 389 でクリアテキストとして送信されます。 LDAP サービスに SSL 通信を設定するには: 1 「サーバ管理」を 開き、 「コンピュータと サービス」リストで、オープ ンディレクトリの マスターま たはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近に あります)をクリック し、「プロトコル」(一番上付 近にありま す)をクリックします。 3 「設定」ポップアップメニューから「LDAP の設定」を選び、「SSL (Secure Sockets Layer)を使用 する」を選択します。 4 「証明書」ポップアップメニューを使用して、LDAP サービスで使用する SSL 証明書を選択します。 メニューには、サーバにインストール済みのすべての SSL 証明書がリストされます。リストされて いない証明書を使用するには、ポップアップメニューから「カスタム設定」を選択します。 5 「保存」をクリックします。 第5章 オープンディレクトリ・サービスを設定する 89 ディレクトリドメインを Netinfo から LDAP に移行する 「サーバ管理」を使用すると、Mac OS X Server バージョン 10.4 以降へのアップグレードインストー ルを実行した後で、共有 NetInfo ディレクトリドメインを LDAP に移行することができます。ディ レクトリドメインを移行すると、クライアントコンピュータで引き続き NetInfo を使用してディレ クトリドメインにアクセスするか、LDAP を使用してディレクトリドメインにアクセスするようにク ライアントコンピュータを設定することができます。 Mac OS X バージョン 10.3 ∼ 10.4 または Mac OS X Server バージョン 10.3 ∼ 10.4 を搭載したクラ イアントコン ピュータは、LDAP を使用して移行されたデ ィレクトリドメインにアク セスするよう に、自動的に切 り替えることができ ます。移行プロセスで、ディ レクトリドメイン内の 自動切り替 え情報を保存できます。Mac OS X および Mac OS X Server のバージョン 10.3 ∼ 10.4 は、LDAP に 移行されたディレクトリドメインに NetInfo を使用してアクセスするとき、ディレクトリドメイン から自動切り替え情報を取り出して、それ以降は LDAP を使用してディレクトリドメインにアクセ スするように再設定します。詳しくは、 「ディレクトリアクセスを NetInfo から LDAP に切り替える」 (次のトピック)を参照してください。 ネ ット ワー ク上 のク ライ アン トコ ンピ ュー タが、 LDAP に移 行さ れた ディ レク トリ ドメ イン に NetInfo でアクセスする必要がない場合は、ボタンをクリックして、このドメインへの NetInfo アク セスを無効にすることができます。NetInfo が無効になった後、クライアントコンピュータは LDAP に自動的に切り替えることはできません。(ローカルの NetInfo ディレクトリドメインへのアクセス は影響を受けません。)詳しくは、92 ページの「LDAP に移行した後で NetInfo を無効にする」を参 照してください。 移行プロセスにより、すべての標準のレコードタイプとデータ・タイプが、NetInfo データベースか ら LDAP データベースに移動します。NetInfo ディレクトリドメインがカスタムのレコードタイプや データ・タイプを含むように変更されている場合、それらは LDAP データベースには移動しません。 「Authentication Manager」によって検証されるパスワードを除いて、ユーザ LDAP への移行では、 パスワード の検証方法は変更され ません。パスワードサーバ によって検証されたパ スワードは、引 き続き同じパスワードサーバによって検証されます。NetInfo ドメイン内の任意のユーザアカウント がパスワード検証に「Authentication Manager」を使用した場合、それらは移行プロセスによって オープンデ ィレクトリのパスワー ドタイプを持つよう に変換されます。もちろ ん、管理者は、移行 されたユーザアカウントがシングルサインオン Kerberos 認証を使用できるように、そのパスワード タイプをオープンディレクトリに変更することができます。 警告:間違って「NetInfo を無効にする」ボタンをクリックしないようにしてください。「NetInfo を無効にする」をクリックすると、すぐにディレクトリドメインへの NetInfo のアクセスが無効に なります。この変更は取り消しできません。NetInfo を無効にした後、ディレクトリドメインに接 続する必要があるすべてのコンピュータを、LDAP を使用して接続するように設定する必要があり ます。 90 第5章 オープンディレクトリ・サービスを設定する サーバの共有ディレクトリドメインを NetInfo から LDAP に移行するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでオープ ンディレクトリのマ スターサー バのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近に あります)をクリック し、 「プロトコル」(一番上付 近にありま す)をクリックします。 3 「設定」ポップアップメニューから「NetInfo の移行」を選びます。 4 「移行」をクリックし、移行オプションを設定します。 「管理者のユーザ名」:移行された LDAP ディレクトリにコピーする、サーバのローカル・ディレク トリドメインにある管理者アカウントのユーザ名(ショートネーム)。このアカウントが LDAP ディ レクトリドメインの管理者になります。 「管理者のパスワード」:入力したユーザ名の管理者アカウントのパスワード。 「Kerberos 保護領域名」 :規約では、 Kerberos 保護領域名はサーバの DNS 名と同じです。ただし、 すべて大文字です。たとえば、DNS 名が example.com であるサーバの Kerberos 保護領域名は、 EXAMPLE.COM です。 「検索ベース(オプション)」:移行された LDAP ディレクトリの検索ベースのサフィックス。通常、 検索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、DNS 名が server.example.com の 場合、検索ベースのサフィ ックスは「dc=example, dc=com 」とすること ができます。 「既存の NetInfo クライアントを LDAP に切り替える」 :Mac OS X または Mac OS X Server のバー ジョン 10.3 ∼ 10.4 を搭載したクライアントコンピュータを、NetInfo ではなく LDAP を使用して移 行されたディレクトリドメインにアクセスするように自動的に再設定されるようにします。 5 「OK」をクリックして、移行を開始します。 移行プロセスには時間がかかることがあります。 移行が終わったら、DHCP サービスを、自動検索方式を持つクライアントコンピュータに LDAP サー バのアドレ スを提供するように設 定できます。Mac OS X または Mac OS X Server のバ ージョン 10.2 ∼ 10.4 を搭載したコンピュータは、自動検索方式を持つことができます。これらのコンピュー タは、LDAP サーバへのアクセスを個別に設定する必要はありません。これらのコンピュータは、起 動時に、DHCP サービスから LDAP サーバのアドレスを取得しようとします。LDAP サーバのアドレ スを提供するように DHCP サービスを設定する手順については、ネットワークサービス管理ガイド を参照してください。 第5章 オープンディレクトリ・サービスを設定する 91 ディレクトリアクセスを NetInfo から LDAP に切り替える Mac OS X Server の共有ディレクトリドメインを NetInfo から LDAP に切り替えた後、クライアン トによっては自動的に LDAP に切り替わりますが、LDAP を使用するように設定して DHCP サービ スを再設定する必要があるクライアントもあります。 • NetInfo を使用して移行されたディレクトリドメインにアクセスしていた Mac OS X または Mac OS X Server のバージョン 10.3 ∼ 10.4 を搭載したコンピュータは、自動的に LDAP に切り 替えることができます。ディレクトリドメインを NetInfo から LDAP に移行するときに、自動切 り替えを有効にする必要があります。Mac OS X は、移行されたディレクトリドメインのサーバで NetInfo を無効にした後は、自動的に LDAP に切り替えることはできなくなります。 90 ページの 「ディレクトリドメインを Netinfo から LDAP に移行する」を参照してください。 • NetInfo ディレクトリドメインではなく、LDAP ディレクトリにアクセスするように、各コンピュー タを設定できます。詳しくは、第 7 章「ディレクトリアクセスを管理する 」を参照してください。 • 自動認証検索方式を持つコンピュータは、DHCP サービスからそのディレクトリサーバのアドレス を取得すること ができます。オープンディレクト リ・サーバにこのようなクライ アントがある場 合は、移行された LDAP ディレクトリのサーバのアドレスを提供するように、 DHCP サービスを 変更できます。 • ネット ワーク上 のクライ アントコ ンピュー タが、 LDAP に移行 されたデ ィレクト リドメイン に NetInfo でアクセスする必要がない場合は、「サーバ管理」 を使って NetInfo を無効にすることが できます。 「 LDAP に移行した後で NetInfo を無効にする」 (次のセクション)を参照してください。 LDAP に移行した後で NetInfo を無効にする ネ ット ワー ク上 のク ライ アン トコ ンピ ュー タが、 LDAP に移 行さ れた ディ レク トリ ドメ イン に NetInfo でアクセスする必要がない場合は、「サーバ管理」を使って、このドメインへの NetInfo ア クセスを無効にすることができます。(ローカルの NetInfo ディレクトリドメインへのアクセスは影 響を受けません。) 重要:NetInfo はあまり早い段階で無効にしないようにしてください。NetInfo を無効にした後、ディ レクトリドメインに接続する必要があるすべてのコンピュータを、LDAP を使用して接続するように 設定する必要があります。 1 LDAP に移行されたディレクトリドメインへの NetInfo のアクセスを無効にするには: サーバで NetInfo を無効にする前に、 DHCPが NetInfo バインディングにサーバのアドレスを提供して いないことを確認してください。 2 「サーバ管理」を 開き、「コンピュータとサ ービス」リストでオープ ンディレクトリのマ スターサー バのオープンディレクトリを選択します。 3 「設定」(ウイン ドウの一番下付近に あります)をクリック し、 「プロトコル」(一番上付 近にありま す)をクリックします。 4 「設定」ポップアップメニューから「NetInfo の移行」を選びます。 5 「NetInfo を無効にする」をクリックします。 「NetInfo を無効にする」をクリックすると、すぐにディレクトリドメインへの NetInfo のアクセス が無効になります。この変更は取り消しできません。 92 第5章 オープンディレクトリ・サービスを設定する 6 ユーザ認証を管理する 6 ユーザパスワードを再設定する方法、パスワードタイプを変更する方 法、パスワード方式を設定する方法、認証方法を選択する方法などに ついて説明します。 ディレクトリ ドメインに保管されて いるユーザ認証情報を 管理することができます。 作業の説明と 手順については、以下のセクションを参照してください: • • • • 93 ページの「パスワードを作成する 」 94 ページの「ユーザのパスワードを変更する」 95 ページの「複数ユーザのパスワードをリセットする」 96 ページの「ユーザのパスワードタイプを変更する」 これには、オープ ンディレクトリ、シャドウパス ワード、または暗号化パスワー ドへのパスワー ドタイプの変更と、シングルサインオン Kerberos の有効化があります。 • • • • • • • • • • 99 ページの「ユーザのシングルサインオン Kerberos 認証を有効にする」 99 ページの「グローバルパスワード方式を変更する」 100 ページの「個々のユーザ用のパスワード方式を設定する 」 101 ページの「シャドウパスワードのユーザの認証方法を選択する」 102 ページの「オープンディレクトリのパスワードの認証方法を選択する 」 103 ページの「オープンディレクトリ認証の管理者権限を割り当てる 」 104 ページの「主要な管理者のパスワードの同期を維持する 」 104 ページの「ユーザに LDAP バインド認証を有効にする」 105 ページの「書き出されたユーザまたは読み込まれたユーザのパスワードを設定する 」 105 ページの「 Mac OS X Server バージョン 10.1 以前からパスワードを移行する」 パスワードを作成する ユーザのアカ ウントと関連付けられ たパスワードは、ログイン またはその他のサービ スのために認 証するユーザが入力する必要があります。パスワードでは大文字と小文字が区別されます( SMB LAN Manager のパスワードを除きます)。入力時には画面には表示されません。 ユーザに対して選択するパ スワードタイプにかかわらず、Mac OS X Server ユーザのパスワードは 次の基準に準拠して設定してください: 93 • パスワードは、権限 がないユーザが簡単に推測で きないように、英数字と記号を 組み合わせて指 定します。パスワ ードは実在の言葉で構成しな いようにします。適切なパスワ ードには、数字と 記号(# や $ など)を含める場合があります。また、特定のフレーズのすべての単語の、最初の 文字で構成する場合もあります。大文字と小文字を両方とも使用するようにします。 • 空白文字と、Option キーを使った文字の組み合わせは使用しないでください。 • ユーザが使用す るコンピュータで入力できない 文字や、別のキーボードやプラッ トフォームで正 しく入力するた めに特殊なキーの組み合わせを 知っている必要があるような 文字は、使用しない でください。 • ネットワークプ ロトコルによっては、前のスペ ース、中間のスペース、または後 ろのスペースを 含むパスワードはサポートしていません。 • 長さ がゼロの パスワ ードは推 奨されて いませ ん。オープン ディレ クトリや いくつ かのシス テム (LDAP バインドなど)は、長さがゼロのパスワードはサポートしていません。 ユー ザがアク セスす るコン ピュータ やサー ビスと の互換性 を最大 にする ためには、パ スワー ドに ASCII 文字のみを使用してください。 ユーザのパスワードを変更する 「ワークグループマネージャ」を使用すると、読み出し/書き込みアクセス権を持つ別のディレクト リドメイン内 に定義されたユーザアカ ウントのパスワードを変更 できます。たとえば、LDAP マス ターの LDAP ディレクトリ内にあるユーザアカウントのパスワードを変更することができます。 重要:コンピュータの LDAP ディレクトリ接続を認証するために使用したユーザアカウントのパス ワードを変更 する場合は、影響を受けるコ ンピュータの LDAP 接続設定も同じよう に変更するか、 LDAP ディレクトリと LDAP ディレクトリへのすべての接続を、信頼されたバインディングを使用す るように設定します。手順については、136 ページの「LDAP 接続の認証に使用されるパスワードを 変更する」、86 ページの「オープンディレクトリのマスターと複製のバインド方式を設定する」、お よび 132 ページの「LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してくだ さい。 ユーザのパスワードを変更するには: 1 「ワークグループマネージャ」で、「アカウント」ボタンをクリックして、「ユーザ」ボタンをクリッ クします。 2 パスワードを 変更するユーザアカウ ントを含むディレクト リドメインを開き、ドメイ ンの管理者と して認証します。 ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、 ポップアップメニューから選びます。 ユーザのパス ワードタイプがオープ ンディレクトリの場合 は、パスワードタイプがオ ープンディレ クトリである管理者として認証する必要があります。 3 94 パスワードを変更する必要があるアカウントを選択します。 第6章 ユーザ認証を管理する 4 5 「基本」パネルでパスワードを入力し、「保存」をクリックします。 ユーザに、そのユーザがログインできる新しいパスワードを伝えます。 新しいパスワードを使って Mac OS X にログインした後、ユーザは、「システム環境設定」の「アカ ウント」をクリックすることによってパスワードを変更できます。 パスワードタ イプがオープンディレ クトリであるアカウン トのパスワードを変更し たときに、その アカウントがオープンディレクトリの複製やマスターの LDAP ディレクトリに置かれている場合、そ の変更は、最終的にはマスターとそのすべての複製と同期されます。Mac OS X Server は、マスター とその複製の間で、オープンディレクトリのパスワードに対する変更を自動的に同期させます。 複数ユーザのパスワードをリセットする 「ワークグループマネージャ」を使って、複数のユーザアカウントを同時に選択し、すべてのユーザ アカウントが同じパスワードタイプと同じ一時パスワードを持つように変更することができます。 複数のユーザアカウントのパスワードタイプとパスワードを変更するには: 1 「ワークグループマネージャ」で、「アカウント」ボタンをクリックして、「ユーザ」ボタンをクリッ クします。 2 リセットする パスワードタイプとパス ワードを持つユーザア カウントを含むディレク トリドメイン を開き、ドメインの管理者として認証します。 ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、 ポップアップメニューから選びます。 パス ワードタ イプを オープ ンディレ クトリ として 設定する 場合は、パ スワー ドタイプ がオー プン ディレクトリである管理者として認証する必要があります。 3 ユーザアカウントを、コマンドキーを押しながらクリックするか、 Shift キーを押しながらクリック して、パスワードタイプを変更する必要があるすべてのアカウントを選択します。 4 「基本」パネルでパスワードを入力し、 「詳細」パネルで「ユーザのパスワードのタイプ」を設定します。 5 「保存」をクリックします。 6 ユーザに、そのユーザがログインするための一時パスワードを伝えます。 一時パ スワード を使って ログイン した後、ユー ザは、 「システ ム環境設 定」の「アカウン ト」をク リックすることによってパスワードを変更できます。 パスワードタ イプがオープンディレ クトリであるアカウン トのパスワードを変更し たときに、その アカウントがオープンディレクトリの複製やマスターの LDAP ディレクトリに置かれている場合、そ の変更は、最終的にはマスターとそのすべての複製と同期されます。Mac OS X Server は、マスター とその複製の間で、オープンディレクトリのパスワードに対する変更を自動的に同期させます。 第6章 ユーザ認証を管理する 95 ユーザのパスワードタイプを変更する 「ワークグループマネージャ」の「詳細」パネルで、パスワードタイプを次のいずれかに設定できます: • オープンディレ クトリでは、ユーザのアカウント がオープンディレクトリのマス ターまたは複製 の LDAP ディレク トリにある場 合に複数の従 来の認証方 法が有効にな り、シングルサイ ンオン Kerberos 認証も有効になります。オープンディレクトリのパスワードは、オープンディレクトリ・ パスワード・サーバのデータベースと Kerberos KDC 内に、ディレクトリドメインとは別に保管 されます。96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してくだ さい。 • シャドウパスワ ードでは、ローカル・ディレクト リドメイン内のユーザアカウ ントに対して、複 数の従来の認証 方法が有効になります。シャドウ パスワードは、ルートユーザの みが読み出し可 能なファイル内に、ディレクトリドメインとは別に保管されます。98 ページの「パスワードのタ イプをシャドウパスワードに変更する」を参照してください。 • 暗号化パスワー ドでは、共有ディレクトリドメイ ン内のユーザアカウントに 対して、基本的な認 証を提供します。暗号化パスワードは、ディレクトリドメイン内のユーザ・アカウント・レコード に保管されます。暗号化パスワードは、Mac OS X バージョン 10.1 以前にログインする場合に必 要です。97 ページの「パスワードのタイプを暗号化パスワードに変更する」を参照してください。 パスワードタイプをオープンディレクトリに変更する 「ワークグループマネージャ」を使って、ユーザアカウントがディレクトリドメインとは別の所にあ る安全なデー タベースに保存されてい るオープンディレクト リのパスワードを持つよ うに指定でき ます。次のディ レクトリドメイン内の ユーザアカウントには、オ ープンディレクトリの パスワード を設定できます: • Mac OS X Server バージョン 10.3 ∼ 10.4 上の LDAP ディレクトリドメイン • Mac OS X Server バージョン 10.3 、または 10.3 からアップグレードされたサーバのローカル・ディ レクトリドメイン • パスワードサーバを使用するように設定された Mac OS X Server バージョン 10.2 上のディレクト リドメイン オープ ンディレクト リのパスワー ドタイプは、 Kerberos 認証を 使用するシン グルサインオ ンをサ ポートします。また、オープンディレクトリ・パスワード・サーバもサポートします。オープンディ レクトリ・パスワード・サーバは、APOP、CRAM-MD5、DHX、Digest-MD5、MS-CHAPv2、NTLMv2、 NTLM(Windows NT または SMB-NT とも呼ばれます)、LAN Manager(LM )、WebDAV-Digest な どの SASL(Simple Authentication and Security Layer )認証プロトコルを提供します。 参考:ユーザア カウントのパスワード タイプをオープンディ レクトリに設定するに は、そのユーザ アカウントを 含むディレクトリドメイ ン内のオープンディレ クトリ認証の管理者権限 を持つ必要が あります。つま り、パスワードタイプがオ ープンディレクトリで あるディレクトリドメ イン管理者 として認証する必要があります。詳しくは、103 ページの「オープンディレクトリ認証の管理者権限 を割り当てる」を参照してください。 ユーザアカウントがオープンディレクトリのパスワードを持つように指定するには: 1 ユーザのアカ ウントが、オープンディレ クトリ認証をサポート するディレクトリドメ イン内にある ことを確認します。 96 第6章 ユーザ認証を管理する オープンディ レクトリ認証をサポー トするディレクトリド メインは、このトピックの 前の方にリス トされています。 2 「ワーク グループマ ネージャ」で 、対象のアカ ウントが開 いていない 場合はその アカウントを 開き ます。 アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま す。ユーザのリ ストの上にある小さい 地球のアイコンをクリ ックし、ユーザのアカウン トが置かれ ているディレクトリドメインをポップアップメニューから選択して開きます。カギをクリックし、パ スワードタイ プがオープンディレク トリであるディレクト リドメイン管理者として 認証します。次 に、リスト内のユーザを選択します。 3 「詳細」をクリッ クし、 「ユーザのパスワ ードのタイプ」ポップア ップメニューから「オ ープンディ レクトリ」を選びます。 4 情報の入力を要求されたら、新しいパスワードを入力および確認入力します。 パスワードは 512 バイト以下にする必要があります(言語によっては、512 文字以下)。ただし、ネッ トワーク認証プロトコルは、NTLMv2 および NTLM の場合は 128 文字、LAN Manager の場合は 14 文字と いうように、別 の制限を 課す場合が あります。パス ワード選択 のガイド ラインにつ いては、 93 ページの「パスワードを作成する 」を参照してください。 5 「詳細」パネルで、「 オプション」をクリック してユーザのパスワ ード方式を設定し、オ プションの 指定が終わったら「OK」をクリックします。 指定日にアカウントを無効化するオプションを選択する場合は、日付を MM/DD/YYYY の形式(た とえば、02/22/2004)で入力します。 パスワード の再設定(変更)を必要とす るオプションを選択す る場合は、すべてのプロ トコルがパ スワードの変更をサポートしているわけではないことに注意してください。たとえば、IMAP メール サービスに認証するとき、ユーザはそのパスワードを変更できません。 パスワード ID は、パスワードがオープンディレクトリ・パスワード・サーバのデータベース内で作 成されるときに割り当てられる、一意な 128 ビットの数です。パスワード ID は問題が発生したとき にパスワードサーバのログに表示されるため、問題を解決する際に便利です。詳しくは、160 ページ の「オープ ンディレ クトリの 状況とロ グを表示す る」を参照し てくださ い。 「サーバ管 理」でこの オープンディレクトリのログを表示します。 6 「保存」をクリックします。 パスワードのタイプを暗号化パスワードに変更する 必要に応じて、「ワークグループマネージャ」を使って、ユーザアカウント内に暗号化パスワードが 保存されるように指定できます。ユーザアカウントは、LDAP ディレクトリドメインまたは従来の共 有 NetInfo ドメインに属することができます。 暗号化パスワ ードを要求するコンピ ュータで使用されない ユーザアカウントには、オ ープンディレ クトリのパ スワードまたはシャド ウパスワードが必要 です。暗号化パスワード は、Mac OS X バー ジョン 10.1 以前を搭載したクライアントコンピュータか、一部の UNIX を搭載したクライアントコ ンピュータにログインする場合にのみ要求されます。 第6章 ユーザ認証を管理する 97 暗号化パス ワードは、暗号化された 値、つまりハッシュとして、 ユーザアカウント内に 保存されま す。暗号化パスワードはディレクトリドメインから回復できるため、オフライン攻撃を受けやすく、 そのため、ほかのパスワードタイプよりも安全性が低くなります。 ユーザアカウントが暗号化パスワードを持つように指定するには: 1 「ワーク グループマ ネージャ」で 、対象のアカ ウントが開 いていない 場合はその アカウントを 開き ます。 アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま す。ユーザのリ ストの上にある小さい 地球のアイコンをクリ ックし、ユーザのアカウン トが置かれ ている ディレクト リドメイン をポップア ップメニュ ーから選択 して開きま す。カギをクリ ックし、 ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。 2 「詳細」をクリックし、「ユーザのパスワードのタイプ」ポップアップメニューから「暗号化パスワー ド」を選びます。 3 情報の入力を要求されたら、新しいパスワードを入力および確認入力します。 暗号化パスワードの長さは、最大で 8 バイト(8 文字の ASCII 文字)にすることができます。長いパ スワードを入力する場合は、最初の 8 バイトのみが使用されます。 4 「保存」をクリックします。 パスワードのタイプをシャドウパスワードに変更する 「ワーク グループマ ネージャ」を 使って、ユーザ がディレク トリドメイ ンとは別 の所にある 安全な ファイルに保存されているシャドウパスワードを持つように指定できます。アカウントがローカル・ ディレクトリドメインに置かれているユーザのみが、シャドウパスワードを持つことができます。 ユーザアカウントがシャドウパスワードを持つように指定するには: 1 「ワーク グループマ ネージャ」で 、対象のアカ ウントが開 いていない 場合はその アカウントを 開き ます。 アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま す。ユーザのリ ストの上にある小さい 地球のアイコンをクリ ックし、ユーザのアカウン トが置かれ ているロー カル・ディレクトリドメ インを、ポップアップメニ ューから選択して開 きます。カギを クリックし、ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。 2 「詳細」をクリッ クし、「ユーザのパスワ ードのタイプ」ポップア ップメニューから「シ ャドウパス ワード」を選びます。 3 情報の入力を要求されたら、新しいパスワードを入力および確認入力します。 長いパスワードは、一部の認証方法では切り詰められる場合があります。 NTLMv2 および NTLM で は最大 128 文字のパスワードが使用され、最初の 14 文字は LAN Manager 用に使用されます。パス ワード選択のガイドラインについては、93 ページの「パスワードを作成する」を参照してください。 4 「詳細」パネルで、「 オプション」をクリック してユーザのパスワ ード方式を設定し、オ プションの 指定が終わったら「OK」をクリックします。 指定日にアカウントを無効化するオプションを選択する場合は、日付を MM/DD/YYYY の形式(た とえば、02/22/2005)で入力します。 98 第6章 ユーザ認証を管理する ユーザパスワ ードの変更を必要とす る方式を使用する場合 は、すべてのプロトコルが パスワードの 変更をサポートしているわけではないことに注意してください。たとえば、IMAP メールサービスに 認証するとき、ユーザはそのパスワードを変更できません。 5 「詳細」パネルで、「 セキュリティ」をクリッ クしてユーザの認証 方法を有効または 無効にし、設定 が終わったら「OK」をクリックします。 詳しくは、100 ページの「 個々のユーザ用のパスワード方式を設定する」を参照してください。 6 「保存」をクリックします。 ユーザのシングルサインオン Kerberos 認証を有効にする 「ワークグループマネージャ」の「詳細」パネルでアカウントのパスワードタイプをオープンディレ クトリに設定することによって、シングルサインオン Kerberos 認証を Mac OS X Server の LDAP ディレクトリ内のユーザアカウントに対して有効にします。 すでにオープンディレクトリのパスワードタイプを持っている Mac OS X Server バージョン 10.2 の ユーザアカウントは、Kerberos およびシングルサインオン認証を有効にするように再設定する必要 があります。ま ずパスワードタイプを 暗号化パスワードに変 更してから、次にオープン ディレクト リに設定します。詳しい手順については、 97 ページの「パスワードのタイプを暗号化パスワードに 変更する」および 96 ページの「パスワードタイプをオープンディレクトリに変更する 」を参照して ください。 グローバルパスワード方式を変更する 「サーバ管理」を使って、Mac OS X Server ディレクトリドメイン内のユーザアカウントにグローバ ルパスワー ド方式を設定できます。 グローバルパスワード 方式は、サーバのローカ ル・ディレクト リドメイン内 のユーザアカウントに 影響します。サーバがオー プンディレクトリのマ スターまたは 複製である場合、グローバルパスワード方式は、サーバの LDAP ディレクトリドメインにオープン ディレクトリ のパスワードタイプを 持つユーザアカウント にも影響します。オープン ディレクトリ の複製のグ ローバルパスワード方 式を変更すると、方式の設 定は、最終的にはマスター とそのマス ターのその他の複製と同期されます。 管理者アカ ウントは、常にパスワー ド方式から免除されま す。各ユーザは、グローバル パスワード 方式 の設 定の いくつ かを 無効 にする、個 別の パス ワー ド方式 を持 つこ とがで きま す。詳し くは、 100 ページの「個々のユーザ用のパスワード方式を設定する 」を参照してください。 Kerberos とオープンディレクトリ・パスワ ード・サーバは、個別にパスワード方 式を保持します。 Mac OS X Server は、Kerberos のパスワード方式のルールと、オープンディレクトリ・パスワード・ サーバのパスワード方式のルールを同期します。 第6章 ユーザ認証を管理する 99 同じドメイン内のすべてのユーザアカウントのグローバルパスワード方式を変更するには: 1 「サーバ管理」を開き、オープンディレクトリのマスターまたは複製に接続し、 「コンピュータとサー ビス」リストで、このサーバのオープンディレクトリを選択します。 2 「設定」(ウインドウの一番下付近にあります)をクリックし、「ポリシー」(一番上付近にあります) をクリックします。 3 「パスワード」をクリックし、独自のパスワード方式を持たないユーザに適用するパスワード方式オ プションを設定します。 パスワードの 再設定を必要とするオ プションを選択する場 合は、一部のサービスプロ トコルでユー ザによるパ スワードの変更が許 可されていないこと に注意してください。た とえば、IMAP メール サービスに認証するとき、ユーザはそのパスワードを変更できません。 4 「保存」をクリックします。 オープンディレクトリのマスターの複製は、自動的にそのグローバルパスワード方式を継承します。 コマンドラインから パスワード方式は、「ターミナル」で pwpolicy コマンドを使用して設定することもできます。詳 しい情報については、コマンドライン管理ガイドのオープンディレクトリの章を参照してください。 個々のユーザ用のパスワード方式を設定する 「ワークグループマネージャ」を使って、パスワードタイプがオープンディレクトリかシャドウパス ワードである 個々のユーザアカウン トのパスワード方式を 設定できます。ユーザ用の パスワード方 式は、「サーバ管理」のオープンディレクトリ・サービスの「認証」設定パネルに定義されているグ ローバルパスワード方式を無効にします。 モバイル・ユー ザ・アカウントのパスワ ード方式は、モバイルコ ンピュータがネットワ ークから接 続解除され ている場合に、そのアカウ ントが使用されている ときに適用されます。対応 するネット ワーク・ユーザ・ア カウントのパスワー ド方式は、モバイルコン ピュータがネットワー クに接続さ れている場合に適用されます。管理者アカウントは、常にパスワード方式から免除されます。 オープンディ レクトリのパスワード を持つユーザアカウン トのパスワード方式を設 定するには、管 理者が、そのユ ーザアカウントを含む ディレクトリドメイン 内で、オープンディレクト リ認証の権 限を持って いる必要があります。つま り、パスワードタイプがオ ープンディレクトリで あるディレ クトリドメイン管理者として認証する必要があります。詳しくは、103 ページの「オープンディレク トリ認証の管理者権限を割り当てる」を参照してください。 Kerberos とオープンディレクトリ・パスワ ード・サーバは、個別にパスワード方 式を保持します。 Mac OS X Server は、 Kerberos のパスワード方式のルールとオープンディレクトリ・パスワード・ サーバのパスワード方式のルールを同期させます。 100 第6章 ユーザ認証を管理する ディレクト リドメイン管理者の パスワード方式を設 定するときは、 「詳細」パネル の「オプション」 パネルは使 用しないでください。パ スワード方式は、管理者ア カウントには適用さ れません。ディ レクトリドメ イン管理者が、個々のユー ザアカウントのパスワ ード方式を変更できる ようにする必 要があります。 ユーザアカウントのパスワード方式を変更するには: 1 「ワーク グループマ ネージャ」で 、対象のアカ ウントが開 いていない 場合はその アカウントを 開き ます。 アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま す。ユーザのリ ストの上にある小さい 地球のアイコンをクリ ックし、ユーザのアカウン トが置かれ ているディレクトリドメインをポップアップメニューから選択して開きます。カギをクリックし、パ スワードタイ プがオープンディレク トリであるディレクト リドメイン管理者として 認証します。次 に、リスト内のユーザを選択します。 2 「詳細」をクリックし、次に「オプション」をクリックします。 「オプシ ョン」をクリッ クできる のは、パスワー ドタイプが オープンデ ィレクト リかシャド ウパス ワードの場合だけです。 3 パスワード方式オプションを変更し、「OK」をクリックします。 パスワード の再設定(または変更)を必 要とするオプションを 選択する場合は、一部の サービスプ ロトコルでユーザによるパスワードの変更が許可されていないことに注意してください。たとえば、 IMAP メールサービスに認証するとき、ユーザはそのパスワードを変更できません。 4 「保存」をクリックします。 コマンドラインから パスワード方式は、「ターミナル」で pwpolicy コマンドを使用して設定することもできます。詳 しい情報については、コマンドライン管理ガイドのオープンディレクトリの章を参照してください。 シャドウパスワードのユーザの認証方法を選択する 「ワークグループマネージャ」を使って、パスワードタイプがシャドウパスワードであるユーザアカ ウントが利 用できる認証方法を選 択できます。シャドウパス ワードは、クライアントソ フトウェア との互換性を 持たせるために利用で きる認証方法をサポー トしています。特定の認証 方法を要求す るクライアン トソフトウェアをユー ザが使用しないことが 分かっている場合は、その 認証方法を無 効にする ことができます。詳し くは、52 ページの「シ ャドウパスワー ドの認証方法を無 効にする」 を参照してください。 第6章 ユーザ認証を管理する 101 重要:認証方法 を無効にすると、次回ユ ーザが認証を行うとき に、そのハッシュがユー ザのシャド ウパスワー ドのファイルから削除 されます。無効になってい た認証方法を有効にす ると、ログイン ウインドウや AFP などのクリアテキストのパスワードを使用できるサービスを利用するためにユー ザが 次回認証 を行う ときに、新 しく有 効にした 方法の ハッシュ がユー ザのシ ャドウパ スワー ドの ファイルに追加されます。または、ユーザのパスワードを再設定して、新しく有効にした方法のハッ シュを追加 することもできます。ユー ザはパスワードを再設 定でき、ディレクトリ管理 者がその再 設定を行うこともできます。 パスワードタ イプがオープンディレク トリのユーザアカウン トに対する認証を有効ま たは無効にす るには、次のトピックを参照してください。 シャドウパスワードのユーザの認証方法を有効または無効にするには: 1 「ワーク グループマ ネージャ」で 、対象のアカ ウントが開 いていない 場合はその アカウントを 開き ます。 アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま す。ユーザのリ ストの上にある小さい 地球のアイコンをクリ ックし、ユーザのアカウン トが置かれ ているロー カル・ディレクトリドメ インを、ポップアップメニ ューから選択して開 きます。カギを クリックし、ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。 2 「詳細」をクリックし、次に「セキュリティ」をクリックします。 「セキュリティ」をクリックできるのは、パスワードタイプがシャドウパスワードかオープンディレ クトリの場合だけです。 3 4 有効にする認証方法を選択し、無効にする認証方法を選択解除して、「 OK」をクリックします。 「保存」をクリックします。 コマンドラインから 「ターミナル」で pwpolicy コマンドを使用して、シャドウパスワードを持つユーザの認証方法を 有効または 無効にすることもでき ます。詳しい情報について は、コマンドライン管理ガ イドのオー プンディレクトリの章を参照してください。 オープンディレクトリのパスワードの認証方法を選択する 「サーバ管理」を使って、パスワードタイプがオープンディレクトリであるすべてのユーザアカウン トが利用で きる認証方法を選択 できます。オープンディ レクトリ・パスワード・サ ーバは、クライ アントソフト ウェアとの互換性を持 たせるために利用でき る認証方法をサポートし ています。特定 の認 証方法を 要求す るクライ アント ソフトウ ェアを ユーザが 使用し ないこと が分か っている 場合 は、その認証方法を無効にする ことができます。詳しくは、51 ページ の「オープンディレクトリの 認証方法を無効にする」を参照してください。 102 第6章 ユーザ認証を管理する 重要:認証方法 を無効にすると、次回ユ ーザが認証を行うとき に、そのハッシュがパス ワードデー タベースか ら削除されます。無効にさ れていた認証方法を有 効にする場合は、オープン ディレクト リのパスワー ドをすべて再設定して、新 しく有効にされた認証 方法のハッシュをパス ワードデータ ベースに追 加する必要があります。ユ ーザは自分のパスワー ドを再設定でき、ディレク トリ管理者 がその再設定を行うこともできます。 パスワードタ イプがシャドウパスワー ドのユーザアカウント に対する認証を有効また は無効にする には、前のトピックを参照してください。 オープンディレクトリのパスワードの認証方法を有効または無効にするには: 1 「サーバ管理」を 開き、オープンディレ クトリのマスターに 接続し、 「コンピュータ とサービス」リ ストで、このサーバのオープンディレクトリを選択します。 2 「設定」(ウインドウの一番下付近にあります)をクリックし、「ポリシー」(一番上付近にあります) をクリックします。 3 「セキュリティ」をクリックして、有効にする認証方法を選択し、無効にする認証方法を選択解除し ます。 4 「保存」をクリックします。 オープンディ レクトリのマスターの複製 は、LDAP ディレ クトリでのオープンディレ クトリのパス ワードの認証方法の設定を自動的に継承します。 コマンドラインから 「ターミナル」の NeST コマンドで -getprotocols 引数および -setprotocols 引数を使用し て、オープンデ ィレクトリのすべてのパ スワードに対するパス ワードサーバの認証方 法を有効また は無効にす ることもできます。詳しい 情報については、コマンド ライン管理ガイドのオ ープンディ レクトリの章を参照してください。 オープンディレクトリ認証の管理者権限を割り当てる 「ワークグループマネージャ」と、オープンディレクトリのパスワード設定を操作する権限を持つ管 理者アカウン トを使用すると、同じディ レクトリドメイン内の ほかのユーザアカウン トにこれらの 権限を割り 当てることができます。 これらの権限を割り当 てるには、ユーザアカウ ントに、オープ ンディレクトリのパスワードと、ユーザアカウントを管理する権限が必要です。この要件によって、 Kerberos KDC およびオープンディレクトリ・パスワード・サーバのデータベースに保存されるパス ワードのセキュリティが保護されます。 オープンディレクトリ認証の管理者権限をユーザアカウントに割り当てるには: 1 「ワークグル ープマネージャ」で、目的 のアカウントを開 き、 「詳細」をクリックして、 パスワード タイプがオープンディレクトリのパスワードに設定されていることを確認します。 詳しくは、96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。 第6章 ユーザ認証を管理する 103 2 「基本」パネルで、「このディレクトリのドメインを管理する」が選択されていることを確認します。 3 「アクセス権」をクリックし、 「 ユーザのアカウントを編集する」が選択されていることを確認します。 管理者権限の設定について詳しくは、ユーザ管理ガイドを参照してください。 主要な管理者のパスワードの同期を維持する 通常、Mac OS X Server バージョン 10.3 からアップグレードしたオープンディレクトリ・サーバで は、主要な管理者のアカウントは、サーバのローカルディレクトリとその LDAP ディレクトリの両 方に存在します。このアカウントは、オープンディレクトリのマスターが Mac OS X Server バージョ ン 10.3 で作成されたときに、ローカルディレクトリから LDAP ディレクトリにコピーされたもので す。最初は、このアカウントの両方のコピーに、ユーザ ID 501、同じ名前、および同じパスワード があります。各 アカウントはそれぞれ のディレクトリドメイ ンの管理者であり、両方と もサーバ管 理者です。アカ ウントの共通の名前 とパスワードを使用し て「ワークグループマネ ージャ」でサー バに接続すると、ローカル・ディレクトリドメインと LDAP ディレクトリドメインの両方に対して 自動的に認証されます。 どちらかのパ スワードを変更すると、両 方のディレクトリドメ インに対して自動的に 認証されなく なります。たとえば、「ワークグループマネージャ」でサーバに接続するときに、ローカルディレク トリの管理者 のパスワードを使用す る場合は、ローカルディレ クトリでのみ変更を行 うことができ ます。LDAP ディレクトリで変更を行うには、カギのアイコンをクリックして、LDAP 管理者のパス ワードを使用して認証する必要があります。 ローカルの主要な管理者のアカウントと LDAP 管理者のアカウント(ユーザ ID 501)で異なるパス ワードを使 用すると、混乱すること があります。そのため、これ らのパスワードは同じ にするよう にしてください。 参考:Mac OS X Server バージョン 10.4 で作成されたオープンディレクトリ・サーバの管理者アカ ウントは、ローカルディレクトリと LDAP ディレクトリで異なります。名前とユーザ ID が異なるた め、混乱することなく異なるパスワードを使用できます。 ユーザに LDAP バインド認証を有効にする LDAP ディレクトリドメインに保存されているユーザアカウントの LDAP バインド認証を有効にする ことができ ます。このパスワード検証 方法を使用するときは、ユ ーザのパスワードを認 証するユー ザアカウントを含む LDAP サーバに依存します。 1 LDAP バインドのユーザ認証を有効にするには: ユーザアカウントを認証する必要のある Mac OS X コンピュータに、そのユーザアカウントが存在す る LDAP ディレクトリへの接続があること、およびそのコンピュータの検索方式に LDAP ディレク トリ接続が含まれていることを確認します。 LDAP サーバ接続と検索方式の設定については、117 ページの「LDAP ディレクトリにアクセスする」 を参照してください。 104 第6章 ユーザ認証を管理する 2 パスワードおよび認証機関属性をマップしない LDAP 接続を設定する場合は、バインド認証は自動的 に行われます。 詳しくは、129 ページの「LDAP 検索とマッピングを設定する」を参照してください。 3 接続がクリア テキストのパスワード を許可するように設定 されている場合は、転送中 にクリアテキ ストのパスワードを保護するために、SSL を使用するようにその接続を設定する必要があります。 手順については、128 ページの「LDAP 接続のセキュリティポリシーを変更する」および 127 ページ の「LDAP ディレクトリの接続設定を変更する」を参照してください。 書き出されたユーザまたは読み込まれたユーザのパスワードを設定 する パスワードタ イプがオープンディレク トリまたはシャドウパ スワードのユーザアカウ ントを書き出 しても、パスワ ードは書き出され ません。これにより、オー プンディレクトリ・パス ワード・サー バのデータベ ースとシャドウパスワ ードのファイルのセキ ュリティが保護されます。 読み込むため には、スプレッ ドシートアプリケー ションを使って、書き出さ れたユーザのファイ ルを開き、その パスワード を事前に設定します。こ のパスワードは、次にログ インするときに変更 できます。ユー ザ管理ガイドには、書き出されたユーザのファイルを操作する手順が記載されています。 読み込んだ後は 、2 つのオ プションにより読み込まれた ユーザアカウントのパスワー ドを設定でき ます: • 読み込まれたすべてのユーザアカウントで、一時パスワードを使用するように設定します。各ユー ザは、次に ログイン するときに このパスワ ードを変 更できます。手 順につい ては、95 ペ ージの 「複数ユーザのパスワードをリセットする」を参照してください。 • 「ワークグループマネージャ」の「基本」パネルで、読み込まれた各ユーザアカウントのパスワー ドを個別に設定できます。手順については、96 ページの「ユーザのパスワードタイプを変更する」 を参照してください。 Mac OS X Server バージョン 10.1 以前からパスワードを移行する アカウントレコードを読み込むか、それが置かれているサーバをアップグレードすることによって、 ユーザアカウントを以前のバージョンの Mac OS X Server から移行することができます。Mac OS X Server バージョン 10.1 以前で作成されたユーザアカウントには認証機関属性はありませんが、暗号 化パスワードがあります。このようなユーザアカウントと互換性を持たせるため、Mac OS X Server では、認証機関属性を持たないユーザアカウントは暗号化パスワードを持つとみなされます。 第6章 ユーザ認証を管理する 105 ユーザアカウントを Mac OS X Server v 10.1 以前から読み込む場合、ユーザアカウントには認証機 関属性はあ りません。このため、これら のユーザアカウントは、 最初に暗号化パスワー ドを持つよ うに設定されます。サーバのローカル・ディレクトリドメイン( NetInfo ドメイン)にこれらのユー ザア カウント を読み 込む場 合に、回復 可能な認 証方法 を使用で きるサ ービス のユーザ 認証の パス ワードをユー ザまたは管理者が変更 すると、各ユーザアカウン トは暗号化パスワード からシャドウ パスワード へ自動的に変換されま す。ユーザアカウントの読 み込みについては、ユーザ 管理ガイド を参照してください。 同様に、Mac OS X Server v 10.1 以前からアップグレードする場合、アップグレード前に作成された ユーザアカ ウントには認証機関属 性がありません。これらの ユーザアカウントは、アッ プグレード 後は暗号化パスワードを持つとみなされます。 既存 のす べての 暗号 化パス ワード は読 み込み やア ップグ レー ドの後 も引き 続き 使用で きま すが、 オープンディ レクトリのパスワードま たはシャドウパスワー ドを持つようにユーザア カウントを変 更することもできます。「ワークグループマネージャ」を使えば、個々のユーザアカウントまたは複 数のユーザ アカウントを変更でき ます。ユーザアカウントの パスワードタイプを変 更すると、パス ワードがリセットされます。手順については、96 ページの「パスワードタイプをオープンディレク トリに変更する」および 98 ページの「パスワードのタイプをシャドウパスワードに変更する 」を参 照してください。 Mac OS X Server v 10.1 以前で作成されたユーザアカウントによっては、「 Authentication Manager」を使用できる場 合もあります。これは、 Windows ファイルサービ スのユーザと、Mac OS 8 コンピュータが AFP クライアントソフトウェアのバージョン 3.8.3 以降でアップグレードされ なかった Apple ファイルサービスのユーザを認証するための、従来の技術です。 「Authentication Manager 」のユーザの移行には、次のオプションがあります: • 最初に Mac OS X Server バージョン10.1 から10.2 にアップグレードし、次にバージョン 10.4 にアッ プグレードする場合、既存のユーザは引き続き同じパスワードを使用できます。 • アッ プグレー ドしたユ ーザアカ ウントの 一部ま たはすべ てを、オープ ンディレ クトリの パス ワードまたはシャドウ パスワードを持つように変更できます。これら のパスワードは、暗号化 パスワードより安全です。詳しくは、 「Authentication Manager のユーザを書き出す/読み込 む」(次のセクション)を参照してください。 • アップグレードされたサーバに共有 NetInfo ドメインがあり、そのドメインを LDAP ディレクト リに移行する場合、すべて のユーザアカウントは、オープンディレクト リのパスワードに自動 的に変換されます。詳しくは、90 ページの「ディレクトリドメインを Netinfo から LDAP に移 行する」を参照してください。 • ユーザまたは管理者が回 復可能な認証方法を使用できるサービスのパ スワードまたはユーザ認 証を変更すると、サーバ のローカル・ディレクトリドメイン( NetInfo ドメイン)の既存の各 ユーザアカウントは、暗号化パスワードからシャドウパスワードに自動的に変換されます。 • 「Authentication Manager 」を使用するユーザアカウントを LDAP ディレクトリに読み込む場合、 それらのユーザア カウントは読み込み時にオープ ンディレクトリのパスワードを 持つように変換 されます。 106 第6章 ユーザ認証を管理する Authentication Manager のユーザを書き出す/読み込む 「Authentication Manager 」が有効になっている NetInfo ドメインの暗号化パスワードを持つユー ザアカウントを書き出しても、パスワードは書き出されません。 Mac OS X Server バージョン 10.4 のディレクトリドメインに読み込んだ後は、2 つのオプションにより読み込まれたユーザアカウント のパスワードを設定できます: • 読み込まれたすべてのユーザアカウントで、一時パスワードを使用するように設定します。各ユー ザは、次に ログイン するときに このパスワ ードを変 更できます。手 順につい ては、95 ペ ージの 「複数ユーザのパスワードをリセットする」を参照してください。 • 「ワークグループマネージャ」の「基本」パネルで、読み込まれた各ユーザアカウントのパスワー ドを個別に設定できます。手順については、96 ページの「ユーザのパスワードタイプを変更する」 を参照してください。 「Authentication Manager 」は、Windows ファイルサービスのユーザと、Mac OS 8 コンピュータ が AFP クライアントソフトウェアのバージョン 3.8.3 以降でアップグレードされなかった Apple ファ イル サー ビス のユ ーザ のパ スワ ードを 安全 に検 証す るた めの 従来の 技術 です。「 Authentication Manager」は、Mac OS X Server バージョン 10.0 ∼ 10.2 の NetInfo ドメインで作成されたユーザ アカウントでのみ機能します。 「Authentication Manager」が NetInfo ドメインに対して有効になっ ていた必要があります。詳しくは、54 ページの「 Authentication Manager」を参照してください。 第6章 ユーザ認証を管理する 107 7 ディレクトリアクセスを管理する 7 「ディレクトリアクセス」を使って、Mac OS X を搭載したコンピュー タまたは Mac OS X Server を搭載したサーバのディレクトリサービス へのアクセス方法とネットワークサービスの検出方法を設定し管理 できます。 設定および管理作業の説明と手順については、以下のセクションを参照してください: • 「リモートサーバ上のディレクトリアクセスを設定する」(次のセクション) • 110 ページの「サービスへのアクセスを設定する」 • 114 ページの「検索方式を設定する」 • 117 ページの「LDAP ディレクトリにアクセスする」 • 139 ページの「Active Directory ドメインにアクセスする」 • 151 ページの「NIS ドメインにアクセスする」 • 151 ページの「BSD 設定ファイルを使用する 」 • 153 ページの「レガシー NetInfo ドメインにアクセスする」 リモートサーバ上のディレクトリアクセスを設定する コ ンピ ュー タ上 の「デ ィレ クト リア ク セス」ア プリ ケー シ ョン を使 って、リ モ ート サー バ上 の Mac OS X Server の ディレクトリサービスへのアクセス方法とネットワ ークサービスの検出方法を 設定し管理できます。 リモートサーバのディレクトリアクセスを設定するには: 1 コンピュータの「ディレクトリアクセス」で、「サーバ」メニューの「接続」を選びます。 2 設定するサーバの接続情報と認証情報を入力し、「接続」をクリックします。 「アドレス」: 設定するサーバの DNS 名または IP アドレスを入力します。 「ユーザ名」: サーバの管理者のユーザ名を入力します。 「パスワード」: 入力したユーザ名のパスワードを入力します。 3 「サービス」、「認証」、および「コンタクト」タブをクリックし、必要に応じて設定を変更します。 以上のステップで加えたすべての変更が、接続先のリモートサーバに反映されます。 109 4 リモートサ ーバの設定が完了 したら、コンピュータで 「サーバ」メニューの「接続の 解除」を選択 します。 サービスへのアクセスを設定する 「ディレクトリアクセス」は、Mac OS X がアクセスできるさまざまな種類のサービスのリストを示 します。このリ ストには、ディレクトリド メインに保存されてい るユーザ情報などの管 理データへ のアクセス権を Mac OS X に与える、ディレクトリサービスが含まれます。また、このリストには Mac OS X がネットワーク上で検出できるネットワークサービスの種類も含まれます。 各種サービスへのアクセスはユーザが有効または無効にできます。「ディレクトリアクセス」のある 種類のサービスを無効にすると、Mac OS X は、無効の種類のサービスにはアクセスできなくなりま す。ただし、「ディレクトリアクセス」で 1 種類のサービスを無効にしても、その種類のサービスを 使用したり提供したりするための Mac OS X の機能には影響しません。たとえば、SMB/CIFS を無効 にした場合、Mac OS X ではファイルサービスを検出するときに SMB/CIFS は使用されなくなります が、「システム環境設定」の「共有」パネルで「Windows 共有」を開始したり、「smb://」形式のア ドレスが分かれば Windows ファイルサーバに接続したりできます。 作業の説明と手順については、以下のセクションを参照してください: • • • • • • • • • 110 ページの「Active Directory サービスを有効にする/無効にする」 111 ページの「AppleTalk サービス検出を有効にする/無効にする 」 111 ページの「BSD フラットファイルと NIS ディレクトリサービスを有効にする/無効にする」 111 ページの「LDAP ディレクトリサービスを有効にする/無効にする」 112 ページの「 NetInfo ディレクトリサービスを有効にする/無効にする」 112 ページの「 Bonjour サービスの検出を有効にする」 112 ページの「 SLP サービス検出を有効にする/無効にする」 113 ページの「 SMB/CIFS サービスの検出を有効にする/無効にする」 113 ページの「 SMB/CIFS サービスの検出を設定する」 Active Directory サービスを有効にする/無効にする 「ディレクトリアクセス」を使用して、Windows サーバが提供する Active Directory サービスの使 用を有効または無効にできます。Active Directory は、Windows 2000 サーバと 2003 サーバのディ レクトリサービスです。 Active Directory サービスを無効にする場合、いずれかの Active Directory ドメインがカスタム検 索方式に含まれているときは、「ディレクトリアクセス」の「認証」または「コンタクト」パネルの リストにそれらが赤色で表示されます。 Active Directory へのアクセスを有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「Active Directory」の横にあるチェックボックスをクリックし、「適用」をクリックします。 設定手順については、 139 ページの「 Active Directory ドメインにアクセスする」を参照してください。 110 第7章 ディレクトリアクセスを管理する AppleTalk サービス検出を有効にする/無効にする 「ディレクトリアクセス」を使って、AppleTalk ネットワークサービスの検出を有効または無効にす ることができます。AppleTalk は、ネットワークのファイルサービスやプリントサービスに従来から 使用されている Mac OS のプロトコルです。AppleTalk をファイルの共有に使用しているコンピュー タや、ファイルサービスに使用しているサーバもあります。また、共有プリンタでも AppleTalk が 使われている場合があります。 AppleTalk サービス検出を有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「AppleTalk 」チェックボックスをクリックし、「適用」をクリックします。 AppleTalk は設定が不要です。 BSD フラットファイルと NIS ディレクトリサービスを有効にする/無効にする 「ディレクトリアクセス」を使って、BSD 設定ファイルを有効または無効にしたり、NIS (Network Information Service) ディレクトリサービスにアクセスすることができます。BSD 設定ファイルは、 もともと UNIX コンピュータで管理データにアクセスする方法で、組織によってはまだこの方法を使 用しています。NIS を使用してディレクトリサービスを提供している UNIX サーバもあります。 BSD および NIS ディレクトリサービスを無効にする場合、いずれかの BSD または NIS ドメインがカ スタム検索 方式に含まれてい るときは、 「ディレクト リアクセス」の「認証」または「コ ンタクト」 パネルのリストにそれらが赤色で表示されます。 BSD フラットファイルおよび NIS ディレクトリサービスを有効または無効にするには: 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「BSD フラットファイルおよび NIS」の横のチェックボックスをクリックし、 「適用」をクリックします。 設定手順については、151 ページの「NIS ドメインにアクセスする」および 151 ページの「BSD 設定 ファイルを使用する」を参照してください。 LDAP ディレクトリサービスを有効にする/無効にする 「ディレクトリアクセス」を使って、LDAP(Light Directory Access Protocol)バージョン 2 および 3 を使用するディレクトリサービスへのア クセスを有効または無効にできます。「LDAPv3」という 「ディレクトリアクセス」プラグインは、1 つで LDAP のバージョン 2 と 3 の両方へのアクセスを提 供しています。 Mac OS X Server が提供するディレクトリサービスでは、ほかの多くのサーバと同様に LDAPv3 が 使用されます。LDAPv3 は、オープン規格の 1 つで、 Macintosh、UNIX、および Windows システ ムが混在するネットワークでよく使われます。旧バージョンの LDAPv2 を使用してディレクトリサー ビスを提供するサーバもあります。 第7章 ディレクトリアクセスを管理する 111 LDAP ディレクトリサービスを無効にする場合、いずれかの LDAP ディレクトリがカスタム検索方式 に含まれているときは、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのリスト にそれらが赤色で表示されます。 LDAP ディレクトリサービスを有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「LDAPv3 」チェックボックスをクリックし、「適用」をクリックします。 設定手順については、117 ページの「LDAP ディレクトリにアクセスする」を参照してください。 NetInfo ディレクトリサービスを有効にする/無効にする 「ディレクトリアクセス」を使って、共有 NetInfo ディレクトリドメインへのアクセスを有効または 無効にできます。NetInfo はレガシー・ディレクトリ・サービスであり、現在でも Mac OS X Server を含むすべ ての Mac OS X コンピュー タのローカル・ディレクト リドメイン用に使わ れています。 NetInfo は、Mac OS X Server v 10.2 以前の共有ディレクトリドメイン用にも使用できます。 「ディレクトリアクセス」で NetInfo を無効にしても、コンピュータのローカル NetInfo ドメインへ のアクセスは無効にはなりません。共有 NetInfo ドメインへのアクセスのみ無効にできます。 NetInfo ディレクトリサービスを無効にしたときに、共有 NetInfo ディレクトリドメインがカスタム 検索方式の一部である場合、それらは「ディレクトリアクセス」の「認証」または「コンタクト」パ ネルに赤色でリストされます。 NetInfo ディレクトリサービスを有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「NetInfo」チェックボックスをクリックし、「適用」をクリックします。 設定手順については、153 ページの「レガシーNetInfo ドメインにアクセスする」を参照してください。 Bonjour サービスの検出を有効にする Bonjour サー ビスの検出は、常 に有効になっ ています。ネット ワークサービ スを検出する ために、 Bonjour の使用を無効にすることはできません。 SLP サービス検出を有効にする/無効にする 「ディレクトリ アクセス」を使って、ネット ワーク上でサービスを認 識させるために SLP (Service Location Protocol)を使用するサービスの検出を、有効または無効にできます。SLP は、IP(Internet Protocol )ネットワークでファイルサービスやプリントサービスの検出に使用されるオープンスタン ダードです。 SLP サービス検出を有効または無効にするには: 1 112 「ディレクトリアクセス」で、「サービス」タブをクリックします。 第7章 ディレクトリアクセスを管理する 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「SLP 」チェックボックスをクリックし、「適用」をクリックします。 SLP を設定する必要はありません。 SMB/CIFS サービスの検出を有効にする/無効にする 「デ ィ レク ト リ ア クセ ス」を 使 っ て、SMB/CIFS(Server Message Block/Common Internet File System)を使用してネットワーク 上の場所を知らせるサービスの検出を有効または無効にすること ができます。SMB/CIFS は Microsoft Windows がファイルサービスやプリントサービスに使用する プロトコルです。 SMB/CIFS サービス検出を有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「SMB 」チェックボックスをクリックし、「適用」をクリックします。 設定手順については、 「SMB/CIFSサービスの検出を設定する ( 」次のセクション)を参照してください。 SMB/CIFS サービスの検出を設定する Mac OS X で SMB/CIFS (Server Message Block)プロトコルを使ってネットワーク上の Windows ファイ ルサーバを 検出する 方法を設定 することが できます。 「ディ レクトリ アクセス」アプ リケー ションを使用して以下を指定できます: • コンピュータが属している Windows ワークグループ • ネットワーク上の WINS( Windows Internet Naming Service)サーバ Windows SMB/CIFS ファイルサーバの検出を設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 サービスのリストで「SMB」を選び、「設定」をクリックします。 「ワークグループ」 フィールドにワークグループ名を入力するか、ドロップダウンリストから選びます。 ドロップダウンリストには、ネットワーク上のその他のコンピュータが属している Windows ワーク グループの名前が含まれます。 5 ネットワークに NetBIOS 名前解決を提供しているWINS サーバのDNS名か IP アドレスを入力し、 「OK」 をクリックします。 WINS サーバは、 Windows コンピュータ名をルーターや複数のサブネットのあるネットワーク上の IP アドレスに変換します。 ネットワークに WINS サーバがない場合は、「 WINS サーバ」フィールドを空白にしておきます。 第7章 ディレクトリアクセスを管理する 113 検索方式を設定する 「ディレクトリアクセス」では、認証の検索方式と、コンタクト情報の検索方式を定義します。 :Mac OS X は、認証検索方式を使って、ディレクトリドメインからユーザ認証情報やその • 「認証」 他の管理データを検索して取得します。 • 「コンタクト」:Mac OS X は、コンタクト検索方式を使って、ディレクトリドメインから名前、ア ドレス、その他のコンタクト情報を検索して取得します。Mac OS X の「アドレスブック」はこの コンタクト情報 を使用しますが、その他のアプリ ケーションも同様にこれを使う ように設計でき ます。 各検索方式は、ディレクトリノードとも呼ばれるディレクトリドメインのリストで構成されます。リ ストに含まれるディレクトリドメインの順序によって、検索方式が決まります。Mac OS X はリスト されている ディレクトリドメイン を、リストの先頭から始 めて、必要な情報が見つ かるまで、また は情報が見つからずにリストの末尾に達するまで、順番に検索します。 認証とコンタクトの各検索方式は、「自動」、「ローカルディレクトリ」、「カスタムパス」のいずれか に設定することができます。 • 「自動」はロ ーカル・ディ レクトリド メインで開 始します。また、コ ンピュー タのバイン ド先の DHCP および NetInfo ドメインが自動的に提供する LDAP ディレクトリを含めることができます。 自動検索方式は Mac OS X v 10.2 以降のデフォルトの設定であり、モバイルコンピュータに最大 の柔軟性を提供します。 • 「ローカルディレクトリ」には、ローカル・ディレクトリドメインのみが含まれます。 • 「カスタムパス」はローカル・ディレクトリドメインで開始します。また、 LDAP ディレクトリ、 Active Directory ドメイン、NetInfo ドメイン、BSD 設定ファイル、および NIS ドメインのうち の選択したものが含まれます。 作業の説明と手順については、以下のセクションを参照してください: • 「自動検索方式を定義する」(次のセクション) • 115 ページの「カスタム検索方式を定義する 」 • 116 ページの「ローカルディレクトリ検索方式を定義する」 • 117 ページの「検索方式の変更が有効になるまでの時間」 自動検索方式を定義する 「ディレクトリアクセス」を使って、Mac OS X コンピュータの認証およびコンタクト検索方式が自 動的に定義 されるように設定でき ます。自動的に定義され た検索方式には、ローカ ル・ディレクト リドメインが含まれます。また、コンピュータのバインド先の DHCP サービスおよび共有 NetInfo ドメインで指定された LDAP ディレクトリサーバを含めることもできます。自動検索方式は、認証 検索方式とコンタクト検索方式の両方のデフォルト設定です。 参考:Mac OS X の「 Mail」や「アドレスブック」といったいくつかのアプリケーションは、オープ ンディレクトリを使わなくても、LDAP ディレクトリに直接アクセスできます。これらのアプリケー ションの 1 つで LDAP ディレクトリに直接アクセスするように設定するには、アプリケーションを 開き、適切な環境設定を行います。 114 第7章 ディレクトリアクセスを管理する 重要:自動の認証検索方式を使用し、DHCP から提供される LDAP サーバまたは DHCP から提供さ れる NetInfo ドメインを使用するように Mac OS X を設定すると、悪意のあるユーザにコンピュー タの制御を奪 われる危険性が増しま す。コンピュータがワイヤ レスネットワークに接 続するように 設定されている場合、この危険性はさらに高くなります。詳しくは、117 ページの「コンピュータを 不当な DHCP サーバから保護する」を参照してください。 検索方式を自動的に定義するには: 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。 • 「認証」は、認証およびその他の管理データに使用する検索方式を示します。 • 「コンタクト」は、「アド レスブック」などのアプリケー ションのコンタクト情報に 使用する検索 方式を示します。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 「検索」ポップアップメニューから「自動」を選び、「適用」をクリックします。 4 「システム環境設定」で、コンピュータの「ネットワーク」環境設定が、DHCP または IP アドレスを 手入力した DHCP を使うように設定されていることを確認します。 5 自動検索方式に LDAP サーバを含めるには、 「ディレクトリアクセス」で DHCP から提供される LDAP ディレクトリの使用が有効になっていて、DHCP サービスが LDAP サーバのアドレスを指定するよ うに設定されていることを確認します。 手順については、118 ページの「DHCP によって提供される LDAP ディレクトリを有効にする/無効 にする」を参照してください。 Mac OS X Server の DHCP サービスを設定する手順については、ネットワークサービス管理ガイド を参照してください。 6 自動検索方式に共有 NetInfo ドメインを含めるには、コンピュータが NetInfo ドメインにバインドす るよう設定されていることを確認します。 手順については、154 ページの「 NetInfo バインディングを設定する 」を参照してください。 カスタム検索方式を定義する 「ディレクトリアクセス」を使って、Mac OS X コンピュータの認証およびコンタクト検索方式がディ レクトリドメ インのカスタムリスト を使うように設定でき ます。カスタムリストはコ ンピュータの ローカル・ディレクトリドメインで開始します。また、オープンディレクトリとその他の LDAP ディ レクトリドメイン、Active Directory ドメイン、共有 NetInfo ドメイン、BSD 設定ファイル、およ び NIS ドメインを含めることもできます。 コンピ ュータのカ スタム検索方 式に指定さ れているデ ィレクトリ ドメインを使 用できない 場合は、 コンピュータが起動したときに遅延が発生します。 検索方式にディレクトリドメインのカスタムリストを指定するには: 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。 「認証」は、認証およびその他の管理データに使用する検索方式を示します。 第7章 ディレクトリアクセスを管理する 115 「コンタクト」は、「ア ドレスブック」などのア プリケーションのコ ンタクト情報に使用 する検索方 式を示します。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 「検索」ポップアップメニューから「カスタムパス」を選びます。 必要に応じてディレクトリドメインを追加します。 「追加」をクリックして 1 つまたは複数のディレクトリを選択し、再び「追加」をクリックしてディ レクトリドメインを追加します。 5 必要に応じて リスト表示されたディ レクトリドメインの順 序を変更し、さらに検索方 式に含めたく ないディレクトリドメインを削除します。 ディレクトリドメインを移動するには、リスト内でドメインを上または下にドラッグします。 リスト内のディレクトリドメインを削除するには、ドメインを選択して、「取り除く」をクリックし ます。 6 「適用」をクリックします。 使用可能なデ ィレクトリにリストさ れていないディレクト リを追加したい場合は、コ ンピュータが ディレクト リにアクセスするよう 設定されていることを 確認します。手順について は、以下を参照 してください: • • • • • 117 ページの「LDAP ディレクトリにアクセスする」 139 ページの「Active Directory ドメインにアクセスする」 151 ページの「NIS ドメインにアクセスする」 151 ページの「BSD 設定ファイルを使用する 」 153 ページの「レガシー NetInfo ドメインにアクセスする」 ローカルディレクトリ検索方式を定義する 「ディレクト リアクセス」を使って、 Mac OS X コンピュータの認 証およびコンタクト 検索方式を、 コンピュータ のディレクトリドメイ ンのみを使うように設 定できます。ローカルディ レクトリしか 使用しない検 索方式では、認証情報やそ の他の管理データへの コンピュータによるア クセスが制限 されます。コン ピュータの認証検索方式 をローカルディレクト リのみを使用するよう に制限した場 合、ログインできるのはローカルアカウントを持つユーザのみです。 検索方式でローカル・ディレクトリドメインのみを使用するには: 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。 • 「認証」は、認証およびその他の管理データに使用する検索方式を示します。 • 「コンタクト」は、「アド レスブック」などのアプリケー ションのコンタクト情報に 使用する検索 方式を示します。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 116 「検索」ポップアップメニューから「ローカルディレクトリ」を選択し、「適用」をクリックします。 第7章 ディレクトリアクセスを管理する 検索方式の変更が有効になるまでの時間 ディレクトリアクセスの「認証」パネルまたは「コンタクト」パネルで検索方式を変更した場合、変 更が有効になるまでに 10 ∼ 15 秒かかります。その検索方式で、あるアカウントを使用してディレ クトリドメインからログインしようとしても、変更が有効になるまではログインできません。 コンピュータを不当な DHCP サーバから保護する アップルでは、セキュリティが重要な問題である環境では、自動認証検索方式を DHCP から提供さ れる LDAP サーバや DHCP から提供される NetInfo ドメインと併用しないことをお勧めしています。 ネットワークにアクセスできる悪意のあるハッカーは、偽の DHCP サーバと偽の LDAP ディレクト リまたは NetInfo ドメインを使用して、お使いのコンピュータをルートユーザとして制御できます。 まず、ハッカーの偽の DHCP サーバはローカルネットワークの一部、つまり「サブネット」である 必要があります。このため、コンピュータがローカルネットワーク上の唯一のコンピュータであり、 Mac OS X Server または NAT ルーターの NAT サービスを利用してインターネットアクセスを使用す る場合は、この 種のセキュリティ侵 害は不可能です。ただし、ハ ッカーは有線ローカル ネットワー クより簡単にワイヤレス・ローカル・ネットワークに接続できるため、ワイヤレス・ローカル・ネッ トワークではセキュリティ上の危険が大きくなります。 DHCP から提供される LDAP ディレクトリの使用を無効にし、NetInfo のブロードキャストと DHCP バインディングを無効にして(または NetInfo 全体を無効にして)、偽の DHCP サーバからの悪意の ある攻撃からお使いの Mac を保護することができます。手順については、 118 ページの「 DHCP に よって提供される LDAP ディレクトリを有効にする/無効にする」および 154 ページの「NetInfo バ インディングを設定する」を参照してください。 コンピュータがネットワークに接続されているときに、LDAP または NetInfo サーバに接続している モバイルコンピュータがあり、コンピュータの検索方式を(「ディレクトリアクセス」の「認証」パ ネルで)自動か らカスタムに変更する 場合、コンピュータがネッ トワークに接続されて いないとき は起動が遅 くなります。このような遅 延は、コンピュータがコン ピュータのカスタム検 索方式にリ ストされてい る特定のディレクトリ ドメインに接続できな い場合に発生します。スリ ープ状態のと きにネットワ ークから切断されたコ ンピュータのスリープ を解除するときは、著しい 遅延はありま せん。 LDAP ディレクトリにアクセスする Mac OS X Server を搭載したサーバまたは Mac OS X を搭載したコンピュータを、Mac OS X Server のオープンディレクトリのマスターの LDAP ディレクトリなどの特定の LDAP ディレクトリにアク セスするように設定できます。作業の説明と手順については、以下のセクションを参照してください: • • • • • • • 118 ページの「Mail やアドレスブックで LDAP ディレクトリにアクセスする 」 118 ページの「DHCP によって提供される LDAP ディレクトリを有効にする/無効にする」 119 ページの「LDAP サーバの設定を表示する/隠す」 120 ページの「LDAP ディレクトリへのアクセスを設定する」 122 ページの「LDAP ディレクトリへのアクセスを手動で設定する」 124 ページの「LDAP ディレクトリにアクセスするための設定を変更する」 125 ページの「LDAP ディレクトリにアクセスするための設定を複製する」 第7章 ディレクトリアクセスを管理する 117 • • • • • • • • • • • • • • • • • • 126 ページの「LDAP ディレクトリにアクセスするための設定を削除する」 127 ページの「LDAP ディレクトリの接続設定を変更する」 128 ページの「LDAP 接続のセキュリティポリシーを変更する」 129 ページの「LDAP 検索とマッピングを設定する」 132 ページの「LDAP ディレクトリへの信頼されたバインディングを設定する」 133 ページの「LDAP ディレクトリとの信頼されたバインディングを終了する 」 133 ページの「LDAP 接続の開く/閉じるのタイムアウトを変更する 」 134 ページの「LDAP 接続のクエリーのタイムアウトを変更する」 134 ページの「LDAP 接続の再バインド試行の待ち時間を変更する」 134 ページの「LDAP 接続が無操作状態のときに接続を解除するまでの時間を変更する」 135 ページの「読み出し専用の LDAPv2 アクセスを強制する」 135 ページの「LDAP サーバの紹介を無視する」 135 ページの「LDAP 接続を認証する」 136 ページの「LDAP 接続の認証に使用されるパスワードを変更する」 137 ページの「LDAP ディレクトリの設定レコード属性をマッピングする 」 137 ページの「RFC 2307 マッピングを編集してユーザを作成できるようにする」 138 ページの「Mac OS X の読み出し専用 LDAP ディレクトリを準備する」 138 ページの「Mac OS X のデータを含む LDAP ディレクトリを格納する」 Mail やアドレスブックで LDAP ディレクトリにアクセスする Mac OS X の「Mail 」、「アドレスブック」、およびいくつかの同様のアプリケーションは、オープン ディレクトリ を使わなくても、LDAP ディレクトリに直 接アクセスできます。これら のアプリケー ションは、特定の LDAP ディレクトリを検索するよう設定できます。手順については、 「 Mail」を開 いて「ヘルプ」>「Mail ヘルプ」と選択するか、または「アドレスブック」を開いて「ヘルプ」> 「アドレスブックヘルプ」と選択して、LDAP に関するヘルプ情報を検索します。 DHCP によって提供される LDAP ディレクトリを有効にする/無効にする 「ディレクトリアクセス」を使って、Mac OS X コンピュータの起動時に、自動的に LDAP ディレク トリサーバのアドレスを取得する よう設定できます。Mac OS X は、DHCP サービスからの LDAP ディレクトリサーバのアドレスを要求します。DHCP サービスは、コンピュータの IP アドレス、ルー ターアドレス、および DNS サーバアドレスも提供します。Mac OS X は、DHCP によって提供され た LDAP サーバのアドレスをコンピュータの自動検索方式に追加します。DHCP から割り当てられ た LDAP サーバも、LDAP 設定のリストに淡色表示されます。詳しくは、114 ページの「自動検索方 式を定義する」および 124 ページの「 LDAP ディレクトリにアクセスするための設定を変更する」を 参照してください。 DHCP が提供する LDAP ディレクトリと信頼された LDAP バインディングの両方を使用するように、 コンピュータを設定することはできません。信頼された LDAP バインディングは、本来静的バイン ディングですが、DHCP から提供される LDAP は動的バインディングです。詳しくは、132 ページの 「LDAP ディレクトリへの信頼されたバインディングを設定する」および 86 ページの「オープンディ レクトリのマスターと複製のバインド方式を設定する」を参照してください。 118 第7章 ディレクトリアクセスを管理する 重要:自動の認証検索方式を使用し、DHCP から提供される LDAP サーバまたは DHCP から提供さ れる NetInfo ドメインを使用するように Mac OS X を設定すると、悪意のあるユーザにコンピュー タの制御を奪 われる危険性が増しま す。コンピュータがワイヤ レスネットワークに接 続するように 設定されている場合、この危険性はさらに高くなります。詳しくは、117 ページの「コンピュータを 不当な DHCP サーバから保護する」を参照してください。 LDAP サーバへの自動アクセスを有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 「場所」ポップアップメニューからネットワークの場所を選びます。 DHCP から提供される LDAP のオプションは、「システム環境設定」の「ネットワーク」パネルで定 義されたネットワーク設定のそれぞれに対して、個別に有効または無効にすることができます。 5 「DHCP から割り当てられた LDAP サーバを自動検索ポリシーに追加する」をクリックします。 この設定を無効にした場合、コンピュータは DHCP によって提供される LDAP ディレクトリサーバ を使用しません。ただし、コンピュータは自動的に共有 NetInfo ドメインにアクセスできます。詳 しくは、153 ページの「レガシー NetInfo ドメインにアクセスする」を参照してください。 この設定を有効にする場合は、このコンピュータに DHCP サービスを提供するサーバが、LDAP ディ レクト リサーバの アドレスを 割り当てる ように設定 されている 必要があり ます。手順につ いては、 ネットワークサービス管理ガイドの DHCP の章を参照してください。 LDAP サーバの設定を表示する/隠す LDAP ディレクトリにアク セスするために使用できる 設定のリストを、表示したり隠 したりできま す。各設定では、オープンディレクトリが特定の LDAP ディレクトリにアクセスする方法が指定さ れます。リストを表示すると、リストで淡色表示されていない各 LDAP 設定の一部の設定が表示さ れ、変更することができます。淡色表示された LDAP 設定は、118 ページの「DHCP によって提供さ れる LDAP ディレクトリを有効にする/無効にする」で説明されているように、DHCP によって割 り当てられます。 使用可能な LDAP ディレクトリ設定を表示または隠すには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 「オプションを表示」または「オプションを隠す」のどちらか表示されているコントロールをクリッ クします。 第7章 ディレクトリアクセスを管理する 119 LDAP ディレクトリへのアクセスを設定する 「ディレクトリアクセス」は、Mac OS X で LDAPv3 ディレクトリにアクセスする方法を指定する設 定を作成する際に役立ちます。LDAP ディレクトリサーバの DNS 名と IP アドレスが分かっている必 要があります。また、ディレクトリが Mac OS X Server のような独自のマッピングを提供するサー バによって運用されていない場合、Mac OS X データをディレクトリのデータにマップするための検 索ベ ースとテ ンプレ ートが 分かって いる必 要があ ります。サポ ートさ れてい るマッピ ングテ ンプ レートは、次の通りです: • オープンディレクトリ・サーバ — Mac OS X Server スキーマを使用するディレクトリ用 • Active Directory — Windows 2000 または 2003 サーバが運用するディレクトリ用 • RFC 2307 — UNIX サーバが運用する大半のディレクトリ用 LDAPv3 プラグインは、オープンディレク トリの複製とフェイルオーバーを完 全にサポートしてい ます。オープン ディレクトリのマスタ ーが使用できなくなっ た場合、プラグインによっ てすぐ近く にある複製に自動的に切り替えられます。 ディレクトリデータのカスタムマッピングを指定する必要がある場合は、ここで示す手順ではなく、 「LDAP ディレクトリへのアクセスを手動で設定する」(次のセクション)の手順に従ってください。 「ディレクトリアクセス」を利用して LDAP ディレクトリへのアクセスを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 LDAPv3 に対して「使用可能」チェックボックスを選択しなくても、サービスのリストで「 LDAPv3」 を選択できます。 4 5 「新規」をクリックし、LDAP サーバの DNS 名または IP アドレスを入力します。 ディレクトリへのアクセスのためのオプションを選択してから、「続ける」をクリックして「ディレ クトリアクセス」で LDAP サーバから情報を取得します。 • オープンディレクトリで LDAP ディレクトリとの接続に SSL(Secure Sockets Layer)を使うよう にするには、「SSL を使って暗号化」を選択します。 • ユーザがログイン やサービスの認証に使用するユ ーザアカウントがこのディレク トリに含まれて いる場合は、「認証に使用」を選択します。 • 「アドレスブック」で使用するメールアドレスなどの情報がこのディレクトリに含まれている場合 は、「アドレスデータに使用」を選択します。 「ディレクトリアクセス」が LDAP サーバに接続できない場合は、メッセージが表示され、手動でア クセスを設定するか、設定プロセスをキャンセルする必要があります。手動の設定手順については、 「LDAP ディレクトリへのアクセスを手動で設定する」(次のセクション)を参照してください。 120 第7章 ディレクトリアクセスを管理する 6 ダイアログが展開されてマッピングのオプションが表示されたら、ポップアップメニューからマッピ ングテンプレートを選び、検索ベースのサフィックスを入力してから、 「続ける」をクリックします。 通常、検索ベースのサフィック スはサーバの DNS 名に由来します。た とえば、ods.example.com という DNS 名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」に することができます。 使用可能なマッピングテンプレートのうち、設定している接続に適用されるものがない場合は、「手 動」をクリックし、追加の手順について「LDAP ディレクトリへのアクセスを手動で設定する」(次 のセクション)を確認してください。 7 ダ イア ログ が展 開さ れて 信頼 され たバ イン ディ ング に対 する オプ ショ ンが 表示 され たら、コ ン ピュータの名 前とディレクトリ管理 者の名前およびパスワ ードを入力します(バイン ディングはオ プションの場合もあります)。 • LDAP ディレクトリが信頼されたバインディングを必要とするかオプションにするかは、ダイアロ グに表示されます。信頼されたバインディングは相互に行われます。コンピュータが LDAP ディ レクトリに接続するたびに、それらは互いに認証を行います。 • 信頼されたバ インディングがすでに設 定されているか、LDAP ディレクトリが信頼さ れたバイン ディングをサポートしていない場合、「バインド」ボタンは表示されません。 • コンピュータレコードが存在するという警告が表示された場合は、「上書き」をクリックして、既 存のコンピュータレコードを置き換えます。 既存のコンピュータのレコードを置き換える前に、正しいコンピュータ名が入力されていることを 確認してください。前に戻ってコンピュータ名を変更するには、 「キャンセル」をクリックします。 既存のコンピュ ータのレコードは、放棄されてい ることもあれば、別のコンピュ ータに属してい ることもありま す。既存のコンピュータのレコー ドを置き換えると決定した 場合は、レコードを 置き換えることで別 のコンピュータが使用不可になる場 合に備えて、LDAP ディレクトリ管理者 に通知する必要が あります。このような場合、LDAP ディレクトリ管理者 は、使用不可になった コンピュータの 別の名前を使用し、そのコンピュ ータが属していたコンピュータ リストに追加し て戻す必要があ ります。コンピュータリストにコ ンピュータを追加する手順 については、ユーザ 管理ガイドのコンピュータリストの章を参照してください。 8 ダイアログが展開されて接続オプションが表示されたら、「選択時に認証を使用」を選択し、ディレ クトリ内のユーザアカウントの識別名とパスワードを入力します。 LDAP サーバが認証済み接続をサポートしていても、信頼されたバインディングをサポートしていな い場合 は、認証済み接 続のため のオプショ ンが表示さ れます。認証接 続は相互 には行われ ません。 LDAP サーバはクライアントを認証しますが、クライアントはサーバを認証しません。 LDAP サーバが認証済み接続用のユーザアカウントの識別名とパスワードの入力を必要とする場合、 「選択時に認証を使用」はあらかじめ選択されていますが、淡色で表示されます。 識別名には、デ ィレクトリ内のデータを 参照するアクセス権を 持つ任意のユーザアカ ウントを指定 できます。たとえば、アドレスが ods.example.com の LDAP サーバにある、ユーザ名が「dirauth」 のユーザアカウントは、uid=dirauth,cn=users,dc=ods,dc=example,dc=com という識別名を持つ ことになります。 第7章 ディレクトリアクセスを管理する 121 重要:識別名またはパスワードが間違っていると、すべてのユーザが LDAP ディレクトリ内のユー ザアカウントを使用してコンピュータにログインすることができなくなります。 9 「OK」をクリックして新しい LDAP 接続の作成を完了してから、 「OK」をクリックして LDAPv3 オプ ションの設定を完了します。 手順 5 で「認証に使用」オプションまたは「アドレスデータに使用」オプションを選択した場合は、 作成した LDAP ディレクトリ設定が、「ディレクトリアクセス」の「認証」または「コンタクト」パ ネルのカスタム検索方式に自動的に追加されます。 作成した LDAP 設定がコンピュータで使用されるように、「サービス」パネルで LDAPv3 が有効に なっていることを確認する必要があります。手順については、111 ページの「 LDAP ディレクトリサー ビスを有効にする/無効にする」を参照してください。 LDAP ディレクトリへのアクセスを手動で設定する Mac OS X で特定の LDAPv3 または LDAPv2 ディレクトリにアクセス方法を指定する設定は、手動 で作成することができます。LDAP ディレクトリサーバの DNS 名と IP アドレスが分かっている必要 があります。また、ディレクトリが Mac OS X Server によって運用されていない場合は、検索ベー スと、Mac OS X データをディレクトリのデータにマップするためのテンプレートが分かっている必 要があります。サポートされているマッピングテンプレートは、次の通りです: • サーバから — Mac OS X Server な どの、独自のマッピング と検索ベースを提供する ディレクト リ用 • • • • オープンディレクトリ・サーバ — Mac OS X Server スキーマを使用するディレクトリ用 Active Directory — Windows 2000 または 2003 サーバが運用するディレクトリ用 RFC 2307 — UNIX サーバが運用する大半のディレクトリ用 カスタム — 上記のどのマッピングも使用しないディレクトリ用 LDAPv3 プラグインは、オープンディレク トリの複製とフェイルオーバーを完 全にサポートしてい ます。オープン ディレクトリのマスタ ーが使用できなくなっ た場合、プラグインによっ てすぐ近く にある複製に自動的に切り替えられます。 LDAP ディレクトリへのアクセスを手動で設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 LDAPv3 に対して「使用可能」チェックボックスを選択しなくても、サービスのリストで「 LDAPv3」 を選択できます。 4 5 「新規」をクリックしてから、「手動」をクリックします。 設定の名前を入力します。 6 Tab キーを押し、アクセスしたい LDAP ディレクトリをホストするサーバの DNS 名または IP アドレス を入力します。 122 第7章 ディレクトリアクセスを管理する 7 DNS 名またはIP アドレスの横にあるポップアップメニューをクリックし、マッピングテンプレートま たは方法を選びます: • 「サーバ」を選ぶ場合は、検索ベースのサフィックスを入力する必要はありません。この場合、オー プンディレクトリに よって、LDAP ディ レクトリの最初のレベルが検索ベー スのサフィックスで あると見なされます。 • テンプレートを選ぶ場合は、LDAP ディレクトリ用の検索ベースのサフィックスを入力し、「OK」 をクリックしま す。検索ベースのサフィックス は入力する必要があります。そ うしないと、コン ピュータが LDAP ディレクトリ内の情報を見つけることができなくなります。通常、検索ベース のサフィックスはサーバの DNS 名に由来します。たとえば、ods.example.com という DNS 名を 持つサー バの検索ベー スのサフィッ クスは、 「dc=ods, dc=example, dc=com」にする ことがで きます。 • 「カスタム」を選ぶ場合は 、この時点で、Mac OS X レコードタイプおよび属性と、接続中の LDAP ディレクトリの クラスおよび属性との間のマッ ピングを設定する必要があり ます。手順について は、129 ページの「LDAP 検索とマッピングを設定する」を参照してください。 8 オープンディレクトリが LDAP ディレクトリに接続するときに SSL( Secure Sockets Layer )を使用 するようにしたい場合は、「SSL」チェックボックスにチェックマークを付けます。 9 この LDAP 設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーの設定 を変更する場合は、「編集」をクリックして選択した LDAP 設定のオプションを表示し、LDAP 設定 オプションの編集が終わったら「OK」をクリックします。 • 「バインド」をクリックして、信頼されたバインディングを設定します(LDAP ディレクトリが信 頼されたバインディングをサポートしている場合)。詳細な手順については、132 ページの「 LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してください。 • 「接続」をクリック して、タイムアウトオプション を設定するか、カスタムポート を指定するか、 サーバの紹介を無視するか、また は強制的に LDAPv2(読み出し 専用)プロトコルを使用するよ うにします。詳細な手順については、127 ページの「LDAP ディレクトリの接続設定を変更する」 を参照してください。 • 「セキュリティ」をクリックして認証済み接続(信頼されたバインディングではなく)とその他の セキュリティポリシーのオプションを設定します。詳細な手順については、128 ページの「 LDAP 接続のセキュリティポリシーを変更する」を参照してください。 10 「OK」をクリックして、LDAP ディレクトリにアクセスするための設定の手動作成を終了します。 11 コンピュータで今設定を作成した LDAP ディレクトリにアクセスする場合は、 「ディレクトリアクセ ス」の「認証」または「コ ンタクト」パネルのカ スタム検索方式にデ ィレクトリを追加 する必要が あります。また、 「サービス」パネルで LDAPv3 が有効になっていることも確認する必要があります。 手順に ついては、111 ページ の「LDAP ディレクトリ サービスを 有効にする /無効にす る」および 115 ページの「カスタム検索方式を定義する 」を参照してください。 参考:「ワークグループマネージャ」を使って RFC 2307(UNIX)マッピングを使用するアップル以 外の LDAP サーバにユーザを作成するには、 「ユーザ」レコードタイプのマッピングを編集する必要 があります。手順については、137 ページの「RFC 2307 マッピングを編集してユーザを作成できる ようにする」を参照してください。 第7章 ディレクトリアクセスを管理する 123 LDAP ディレクトリにアクセスするための設定を変更する 「ディレクトリアクセス」を使用して、LDAP ディレクトリの設定を変更できます。設定は、オープ ンディレクトリが特定の LDAPv3 または LDAPv2 ディレクトリにアクセスする方法を指定します。 DHCP から提供された LDAP 設定を変更することはできません。この種の設定は LDAP 設定リスト では淡色で表示されます。 LDAP ディレクトリにアクセスするための設定を編集するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 サーバ設定のリストに表示されている設定を変更します。 • 「使用可能」: チェックボックスをクリックして、LDAP ディレクトリサーバへのアクセスを有効 または無効にします。 • 「設定名」: 設定名をダブルクリックして編集します。 • 「サーバ名または IP アドレス」: サーバ名または IP アドレスをダブルクリックして変更します。 • 「LDAP マッピング」: ポップアップメニューからテンプレートを選び、LDAP ディレクトリの検 索ベースのサフィックスを入力して、「OK」をクリックします。 テンプレートを 選んだ場合は、検索ベースのサフ ィックスを入力する必要が あります。そうしな いと、コンピュータが LDAP ディレクトリの情報を見つけることができなくなります。通常、検 索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、ods.example.com という DNS 名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」にする ことができます。 テンプレートの 代わりに「サーバから」を選択し た場合は、検索ベースのサフィ ックスを入力す る必要はありませ ん。この場合、オープンディレクトリによ って、LDAP ディ レクトリの最初の レベルが検索ベースのサフィックスであると見なされます。 「カスタム」を選ぶ場合は、この時点で、Mac OS X レコードタイプおよび属性と、接続中の LDAP ディレクトリの クラスおよび属性との間のマッ ピングを設定する必要があり ます。手順について は、129 ページの「LDAP 検索とマッピングを設定する」を参照してください。 • 「SSL」: このチェックボックスをクリックして、 SSL( Secure Sockets Layer)プロトコルを使 用する暗号化された通信を有効または無効にします。 6 この LDAP 設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーのデ フォルトの設定を変更する場合は、「編集」をクリックして選択した LDAP 設定のオプションを表示 し、LDAP 設定オプションの編集が終わったら「OK」をクリックします。 • 「バインド」ボタン をクリックして信頼された バインディングを設定する か、「バインド解除」ボ タンをクリックして信頼されたバインディングを停止します。(LDAP ディレクトリが信頼された バインディングを許可していない場合、これらのボタンは表示されないことがあります。)詳細な 手順については、132 ページの「LDAP ディレクトリへの信頼されたバインディングを設定する」 を参照してください。 124 第7章 ディレクトリアクセスを管理する • 「接続」をクリック して、タイムアウトオプション を設定するか、カスタムポート を指定するか、 サーバの紹介を無視するか、また は強制的に LDAPv2(読み出し 専用)プロトコルを使用するよ うにします。詳細な手順については、127 ページの「LDAP ディレクトリの接続設定を変更する」 を参照してください。 • 「セキュリティ」をクリックして認証済み接続(信頼されたバインディングではなく)とその他の セキュリティポリシーのオプションを設定します。詳細な手順については、128 ページの「 LDAP 接続のセキュリティポリシーを変更する」を参照してください。 7 「OK」をクリックして、LDAP ディレクトリにアクセスするための設定の変更を終了します。 LDAP ディレクトリにアクセスするための設定を複製する 「ディレクトリアクセス」を使って、Mac OS X が特定の LDAPv3 または LDAPv2 ディレクトリにア クセスする方法を指定する設定を複製できます。LDAP ディレクトリ設定を複製したら、その設定を 変更して元の設定とは異なるものにすることができます。 LDAP ディレクトリにアクセスするための設定を複製するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「複製」をクリックします。 6 必要に応じて複製の設定を変更します。 • 「使用可能」: チェックボックスをクリックして、LDAP ディレクトリサーバへのアクセスを有効 または無効にします。 • 「設定名」: 設定名をダブルクリックして編集します。 • 「サーバ名または IP アドレス」: サーバ名または IP アドレスをダブルクリックして変更します。 • 「LDAP マッピング」: ポップアップメニューからテンプレートを選び、LDAP ディレクトリの検 索ベースのサフィックスを入力して、「OK」をクリックします。 テンプレートを 選んだ場合は、検索ベースのサフ ィックスを入力する必要が あります。そうしな いと、コンピュータが LDAP ディレクトリの情報を見つけることができなくなります。通常、検 索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、ods.example.com という DNS 名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」にする ことができます。 テンプレートの 代わりに「サーバから」を選択し た場合は、検索ベースのサフィ ックスを入力す る必要はありませ ん。この場合、オープンディレクトリによ って、LDAP ディ レクトリの最初の レベルが検索ベースのサフィックスであると見なされます。 「カスタム」を選ぶ場合は、この時点で、Mac OS X レコードタイプおよび属性と、接続中の LDAP ディレクトリの クラスおよび属性との間のマッ ピングを設定する必要があり ます。手順について は、129 ページの「LDAP 検索とマッピングを設定する」を参照してください。 • 「SSL」: チェックボックスをクリックして、 SSL( Secure Sockets Layer)接続を有効または無 効にします。 第7章 ディレクトリアクセスを管理する 125 7 複製の LDAP 設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーのデ フォルトの設定を変更する場合は、「編集」をクリックしてオプションを表示し、それらの編集が終 わったら「OK」をクリックします。 • 「バインド」ボタン をクリックして信頼された バインディングを設定する か、「バインド解除」ボ タンをクリックして信頼されたバインディングを停止します。(LDAP ディレクトリが信頼された バインディングを許可していない場合、これらのボタンは表示されないことがあります。)詳細な 手順については、132 ページの「LDAP ディレクトリへの信頼されたバインディングを設定する」 を参照してください。 • 「接続」をクリックして、信頼されたバインディングを設定するか(LDAP ディレクトリが信頼さ れたバインディングをサポートしている場合)、タイムアウトオプションを設定するか、カスタム ポートを指定するか、サーバの 紹介を無視するか、または強制的に LDAPv2(読み出し専用)プ ロトコルを使用するようにします。詳細な手順については、127 ページの「 LDAP ディレクトリの 接続設定を変更する」を参照してください。 • 「セキュリティ」をクリックして認証済み接続(信頼されたバインディングではなく)とその他の セキュリティポリシーのオプションを設定します。詳細な手順については、128 ページの「 LDAP 接続のセキュリティポリシーを変更する」を参照してください。 8 「OK」をクリックして、複製の設定の変更を終了します。 9 コンピュータで今作成した複製の設定で指定している LDAP ディレクトリにアクセスする場合は、 「ディレクトリアクセス」の「認証」または「コンタクト」パネルのカスタム検索方式にディレクト リを追加する必要があります。また、 「サービス」パネルで LDAPv3 が有効になっていることも確認 する必要があります。 手順に ついては、111 ページ の「LDAP ディレクトリ サービスを 有効にする /無効にす る」および 115 ページの「カスタム検索方式を定義する 」を参照してください。 LDAP ディレクトリにアクセスするための設定を削除する 「ディレクトリアクセス」を使用すると、コンピュータで特定の LDAPv3 または LDAPv2 ディレクト リにアクセスする方法を指定する設定を削除できます。 DHCP から提供された LDAP 設定を削除す ることはできません。この種の設定は、LDAP 設定リストでは淡色で表示されます。 LDAP ディレクトリにアクセスするための設定を削除するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「削除」をクリックします。 6 コンピュータが LDAP ディレクトリにバインドされているという警告が表示され、信頼されたバイン ディングを終了する場合は、「OK」をクリックして、求められた資格情報を入力します。 • LDAP ディレクトリ管理者(ローカルのコンピュータ管理者ではない)の名前とパスワードを入力 します。 126 第7章 ディレクトリアクセスを管理する 「 OK 」をクリッ • コンピュータが LDAP サーバにアクセスできないという警告が表示された場合は、 クして、信頼されたバインディングを強制的に終了します。 強制的に信頼されたバインディングを終了しても、このコンピュータの LDAP ディレクトリ内に はコンピュータの レコードが依然として残ります。このた め、LDAP ディレク トリ管理者に連絡 し、コンピュータの リストからこのコンピュータ を削除してもらう必要があ ります。コンピュー タリストからコ ンピュータを削除する手順につ いては、ユーザ管理ガイドのコン ピュータリスト の章を参照してください。 削除された設定は、認証とコンタクトのためのカスタム検索方式から自動的に削除されます。 LDAP ディレクトリの接続設定を変更する 「ディレクトリアクセス」を使って、コンピュータが特定の LDAPv3 または LDAPv2 ディレクトリに アクセスする方法を指定する設定の接続設定を変更できます。 LDAP ディレクトリにアクセスするための接続設定を変更するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして任意の設定を変更します。 ( LDAP ディレ • 「設定名」には、LDAP ディレクトリ設定のリストに表示される名前を指定します。 クトリ設定のリストで名前を直接変更することもできます。) • 「サーバ名または IP アドレス」には、サーバの DNS 名を指定するか、サーバの IP アドレスを指定し ます。(LDAP ディレクトリ設定のリストで直接変更することもできます。) • 「開く/閉じる操作のタイムアウトまでの秒数」では、LDAP サーバへの接続の試みをキャンセル するまでに待つ秒数を指定します。 • 「クエリー・タイム・アウトまでの秒数」では、LDAP ディレクトリへ送信されたクエリーをキャ ンセルするまでに待つ秒数を指定します。 • 「再バインドを試行するまでの時間」では、LDAP サーバが応答しない場合、再接続を試みるまで に待つ秒数を指定します。この値を大きくすると、再接続を連続して試みないようにできます。 • 「接続が切断されるまでのアイドル時間」では、アイドル状態または応答のない状態で接続が開い たままになっていることを許可する秒数を指定します。 • 「SSL を使って暗号化」では、SSL( Secure Sockets Layer )接続を使用して、LDAP ディレクトリ との通信を暗号化するかどうかを決定します。(LDAP ディレクトリ設定のリストでこの設定を直 接変更することもできます。) • 「カスタムポートを使用する」には、LDAP 接続の標準ポート以外のポート番号(SSL を使用しない 場合は 389、SSL を使用する場合は 636)を指定します。 第7章 ディレクトリアクセスを管理する 127 • 「サーバの紹介を無視する」では、ほかの LDAP サーバまたは情報の複製を参照するため LDAP サー バの紹介を無視 するか従うかどうかを決定しま す。サーバの紹介はコンピュータ が情報を見つけ るのに役立ちますが、コンピュータが多くの LDAP サーバの紹介を追跡すると、ログインが遅く なったり、ほかの処理が遅くなったりする可能性があります。 • 「LDAPv2 を使用する(読み出し専用)」では、LDAP ディレクトリへの読み出し専用のアクセスに 古い LDAPv2 プロトコルを使用するかどうかを決定します。 LDAP 接続のセキュリティポリシーを変更する 「ディレクトリアクセス」を使用すると、LDAP ディレクトリのセキュリティポリシーよりも厳しい セキュリティポリシーを、LDAPv3 接続に設定することができます。たとえば、LDAP ディレクトリ のセキュリテ ィポリシーでクリアテ キストのパスワードを 許可している場合でも、ク リアテキスト のパスワードを許可しないように LDAPv3 接続を設定できます。 より厳しいセキュリティポリシーを設定すると、不正な LDAP サーバを使用してユーザのコンピュー タを制御しようとする悪意あるハッカーからコンピュータを保護できます。 コンピュータは、LDAP サーバと通信して、セキュリティオプションの状態を正確に示す必要があり ます。このため、 LDAPv3 接続のセキュリ ティオプションを変更する場合は、コ ンピュータの認証 検索方式に LDAPv3 接続が含まれている必要があります。 LDAPv3 接続のセキュリティオプションの許可される設定は、LDAP サーバのセキュリティ機能と要 件に依存します。たとえば、LDAP サーバが Kerberos 認証をサポートしていない場合、 LDAPv3 接 続のいくつかのセキュリティオプションは無効になります。 LDAPv3 接続のセキュリティオプションを変更するには: 1 「ディレクトリアクセス」で、 「認証」をクリックして、目的の LDAPv3 ディレクトリが検索方式に表 示されることを確認します。 LDAPv3 ディレクトリを認証検索方式に追加する手順については、115 ページの「カスタム検索方式 を定義する」を参照してください。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 128 「サービス」をクリックして、サービスのリストで「LDAPv3」を選択し、 「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 目的のディレクトリの設定を選択して、「編集」をクリックします。 第7章 ディレクトリアクセスを管理する 6 「セキュリティ」をクリックして、任意の設定を変更します。 最後の 4 つのオプションのいずれかを選択しているが無効になっている場合、LDAP ディレクトリは それを必要とします。これらのオプションのいずれかを選択せず無効にすると、LDAP サーバはそれ をサポートしません。Mac OS X Server LDAP ディレクトリのこれらのオプションを設定する手順に ついては、87 ペ ージの「オープンディレクトリのマスターと複製のセキュリティポリシーを設定す る」を参照してください。 • 「接続時に認証を使用する」では、指定された「識別名」と「パスワード」を提供することにより、 LDAPv3 接続が自身を LDAP ディレクト リで認証するかどうか を決定します。LDAPv3 接続が LDAP ディレクトリとの信頼された バインディングを使用する場合、このオ プションは表示され ません。 • 「次のようにディレクトリとバインドされています」では、LDAPv3 接続が LDAP ディレクトリとの 信頼されたバイ ンディングに使用する資格情 報を指定します。このオプショ ンと資格情報は、こ こでは変更でき ません。代わりに、バインドを解 除し、異なる資格情報を使用し て再度バインド することができます。手順については、133 ページの「LDAP ディレクトリとの信頼されたバイン ディングを終了する」および 132 ページの「 LDAP ディレクトリへの信頼されたバインディング を設定する」を参照してください。 LDAPv3 接続で信頼されたバ インディングが使用されていな い場合、このオプションは表示されません。 • 「クリア・テキスト・パスワードを使用不可にする」では、暗号化されたパスワードを送信する認 証方法を使用し てパスワードを検証できない場 合、パスワードをクリアテキスト で送信するかど うかを決 定します。詳しくは、 101 ページの「シャ ドウパスワードの ユーザの認証方法 を選択す る」および 102 ページの「オープンディレクトリのパスワードの認証方法を選択する」を参照し てください。 • 「すべてのパケットをデジタル署名(Kerberos が必要)」では、LDAP サーバのディレクトリデー タが自分のコン ピュータに転送されている間に ほかのコンピュータによって 妨害されたり、変更 されたりしないようにします。 • 「すべてのパケットを暗号化(SSL または Kerberos が必要)」では、ディレクトリデータをコン ピュータに送信する前に LDAP サーバが SSL または Kerberos を使用してディレクトリデータを 暗号化します。 • 「Man-in-the-Middle 攻撃をブロック( Kerberos が必要)」では、LDAP サーバを装う不正なサー バから保護します。 「すべてのパケットをデジタル署名」オプションと共に使用することを推奨し ます。 LDAP 検索とマッピングを設定する 「ディレクトリアクセス」を使って、Mac OS X で LDAP ディレクトリの特定のデータ項目を検索す る方法 を特定す る、マッピン グ、検索ベー ス、および検索 範囲を編 集できま す。これらの 設定は、 「ディレクトリアクセス」にリストされた各 LDAP ディレクトリ設定ごとに編集できます。各 LDAP ディレクトリ設定は、Mac OS X が LDAPv3 または LDAPv2 ディレクトリ内のデータにアクセスす る方法を指定します。 • 各Mac OS X のレコードタイプのマッピングを編集して、1 つ以上のLDAP オブジェクトクラスにす ることができます。 • また、レコードタイプごとに、Mac OS X のデータ・タイプまたは属性のマッピングを編集して、 LDAP 属性にすることもできます。 第7章 ディレクトリアクセスを管理する 129 • Mac OS X が LDAP ディレクトリ内の Mac OS X の特定のレコードタイプを検索する場所を決定す る、LDAP 検索ベースおよび検索範囲を編集できます。 重要:Mac OS X ユーザ属性を読み出し/書き込み LDAP ディレクトリドメイン(読み出し専用では ない LDAP ドメイン)にマップするとき、RealName にマップされた LDAP 属性は、RecordName にマップされた LDAP 属性のリストの最初の属性とは別のものにする必要があります。たとえば、cn 属性が RealName にもマップされている場合は、この属性が RecordName にマップされる最初の属 性であってはなりません。RealName にマップされた LDAP 属性が RecordName にマップされた最 初の属性と同じものの場合、「ワークグループマネージャ」でフルネーム(ロングネーム)や最初の ショートネームを編集しようとすると問題が発生します。 Mac OS X レコードタイプおよび属性について詳しくは、付録の「Mac OS X のディレクトリデータ」 を参照してください。 LDAP サーバの検索ベースとマッピングを編集するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 7 「検索とマッピング」をクリックします。 特定のマッピングを基にして編集する場合は、マッピングを選びます。 「この LDAPv3 サーバにアクセスするときに使用」ポップアップメニューをクリックし、開始点とし て使うマッピングテンプレートを選びそのマッピングを使うか、「カスタム」を選び事前に定義され たマッピングなしで作業を開始します。 8 レコードタイプを追加し、必要に応じて検索ベースを変更します。 • レコードタイプを追加するには、「レコードのタイプと属性」リストの下にある「追加」ボタンを クリックします。表 示されるパネルで、 「レコードのタイ プ」を選び、リストから 1 つ以上のレ コードタイプを選んで、「OK」をクリックします。 • レコードタイプの検索ベースと検索範囲を変更するには、「レコードのタイプと属性」リストで検 索ベースを選 びます。次に、 「検索ベース」フィー ルドを編集します。 「すべて のサブツリー」を 選択し、検索ベースの下位の LDAP ディレクトリ階層全体を含めるように検索範囲を設定します。 「先頭レベルのみ」を選択し、LDAP ディレクトリの階層で検索ベースとその 1 レベル下のみ含め るように検索範囲を設定します。 「レコードのタイプと属性」リストでレコードタイプを選び、 「削 • レコードタイプを削除するには、 除」をクリックします。 130 第7章 ディレクトリアクセスを管理する 「レコードのタイプと属性」リストでレコードタイ • レコードタイプのマッピングを追加するには、 プを選びます。次に、「マップ 先 __ リスト内の項目」の下にある「追 加」ボタンをクリックし、 LDAP ドメインのオブジェクトクラスの名前を入力します。別の LDAP オブジェクトクラスを追 加するには、Return キーを押してそのオブジェクトクラスの名前を入力します。リストの上にあ るポップアップメニューを使用して、リスト内のすべての LDAP オブジェクトクラスを使用する か、任意のオブジェクトクラスを使用するかを指定します。 「レコードのタイプと属性」リストでレコードタイ • レコードタイプのマッピングを変更するには、 プを選びます。次に、「マップ先 __ リスト内の項目」で変更する LDAP オブジェクトクラスをダ ブルクリックし、そのオブジェクトクラスを編集します。リストの上にあるポップアップメニュー を使用して、リスト内のすべての LDAP オブジェクトクラスを使用するか、任意のオブジェクト クラスを使用するかを指定します。 「レコードのタイプと属性」リストでレコードタイ • レコードタイプのマッピングを削除するには、 プを選びます。次に、「マップ先 __ リスト内の項目」で削除する LDAP オブジェクトクラスをク リックし、「マップ先 __ リスト内の項目」 の下にある「削除」ボタンをクリックします。 9 属性を追加し、必要に応じてそのマッピングを変更します。 「レコードのタイプと属性」リストでレコードタイプを選 • レコードタイプに属性を追加するには、 びます。「レコードのタイプと属性」リストの下にある「追加」ボタンをクリックします。表示さ れるパネルで、 「属性のタイプ」を選び、1 つ以上の属性タイプを選んで、 「OK」をクリックします。 • 属性のマッピン グを追加するには、「レコード のタイプと属性」リストで属性 を選びます。次に、 「マップ先 __ リスト内の項目」の下にある「追加」ボタンをクリックし、 LDAP ディレクトリの 属性の名前を入力します。別の LDAP 属性を追加するには、Return キーを押して、属性の名前を 入力します。 • 属性のマッピン グを変更するには、「レコード のタイプと属性」リストで属性 を選びます。次に、 「マップ先 __ リスト内の項目」で変更する項目をダブルクリックし、 項目名を編集します。 • 属性のマッピン グを削除するには、「レコード のタイプと属性」リストで属性 を選びます。次に、 「マップ先 __ リスト内の項目」で削除する項目をクリックし、「マップ先 __ リスト内の項目」の 下にある「削除」ボタンをクリックします。 • 右側のリストに 表示される属性の順序を変更す るには、属性をリスト内で上また は下にドラッグ します。 10 マッピングをテンプレートとして保存する場合は、「ひな形を保存」をクリックします。 デフォルト の場所に保存されたテ ンプレートは、現在のユ ーザが次に「ディレクト リアクセス」を 開くと LDAP マッピングテンプレートのポップアップメニューに表示されます。保存されたテンプ レートのデフォルトの場所は、現在のユーザのホームフォルダの次のパスにあります: ~/ ライブラリ /Application Support/Directory Access/LDAPv3/Templates 11 LDAP ディレクトリがクライアントに自動的にマッピングを提供できるように、マッピングを LDAP ディレクトリに保存するには「サーバへ書き込み」をクリックします。 マッピングを 保存する検索ベース、管理 者または検索ベースの 書き込み権を持つその 他のユーザの 識別名(たとえば、uid=diradmin、cn=users、dc=ods、dc=example 、dc=com など)、およびパ スワードを入力する必要があります。オープンディレクトリ LDAP サーバにマッピングを書き込む 場合、正しい検索ベースは「cn=config, suffix」です(この場合、suffix は「dc=ods , dc=example,dc=com」のように、サーバの検索ベースのサフィックスです)。 第7章 ディレクトリアクセスを管理する 131 LDAP ディレクトリは、カスタム検索方式に LDAP サーバからマッピングを取得するように設定され ている接続が含まれる Mac OS X クライアントに対してマッピングを提供します。また、LDAP ディ レクトリは、自動検索方式を使用するように設定されたすべての Mac OS X クライアントへのマッ ピングをサポートしています。手順については、120 ページの「LDAP ディレクトリへのアクセスを 設定する」および 114 ページの「検索方式を設定する」を参照してください。 LDAP ディレクトリへの信頼されたバインディングを設定する 「ディレクトリアクセス」を使用すると、信頼されたバインディングをサポートするコンピュータと LDAP ディレクトリの間で信頼されたバインディングを設定できます。バインディングは、信頼され たバ インディ ングを 設定す るとき、デ ィレクト リ内に 作成され ている 認証済 みのコン ピュー タレ コードにより相互に認証されます。 信頼された LDAP バインディングと DHCP が提供する LDAP ディレクトリの両方を使用するように、 コンピュータを設定することはできません。信頼された LDAP バインディングは、本来静的バイン ディングですが、DHCP から提供される LDAP は動的バインディングです。詳しくは、118 ページの 「DHCP によって提供され る LDAP ディレクト リを有効にする/無効にする」および 86 ページの 「オープンディレクトリのマスターと複製のバインド方式を設定する」を参照してください。 LDAP ディレクトリへの信頼されたバインディングを設定するには: 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。 2 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 目的のサーバ設定を選択して、「編集」をクリックします。 6 「バインド」をクリックして、求められた資格情報を入力し、「 OK」をクリックします。 コンピュータの名前および LDAP ディレクトリドメイン管理者の名前とパスワードを入力します。別 のコンピュー タで信頼されたバインデ ィングやほかのネット ワークサービスにすでに 使用されてい るコンピュータ名を入力することはできません。 「バインド」ボタンが表示されない場合、LDAP ディレクトリは信頼されたバインディングをサポー トしていません。 7 コンピュータレコードが存在するという警告が表示された場合は、「上書き」をクリックして、既存 のコンピュータレコードを置き換えます。 既存のコンピ ュータレコードを置き 換える前に、前の手順で正 しいコンピュータ名を 指定している こと確認します。前に戻ってコンピュータ名を変更するには、「キャンセル」をクリックします。 既存のコン ピュータのレコードは、放 棄されていることもあ れば、別のコンピュータに 属している こともあり ます。既存のコンピュータ のレコードを置き換え ると決定した場合は、レコ ードを置き 換えることで別のコンピュータが使用不可になる場合に備えて、LDAP ディレクトリ管理者に通知す る必要があります。このような場合、LDAP ディレクトリ管理者は、使用不可になったコンピュータ の別の名前を 使用し、そのコンピュータ が属していたコンピュ ータリストに追加して 戻す必要があ ります。コンピ ュータリストにコンピ ュータを追加する手順 については、ユーザ管理ガ イドのコン ピュータリストの章を参照してください。 132 第7章 ディレクトリアクセスを管理する 8 「OK」をクリックして、信頼されたバインディングの設定を終了します。 LDAP ディレクトリとの信頼されたバインディングを終了する 「ディレクトリアクセス」を使用すると、許可されているが信頼されたバインディングを必要としな い、コンピュータと LDAP ディレクトリ間の信頼されたバインディングを終了することができます。 LDAP ディレクトリへの信頼されたバインディングを終了するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 目的のサーバ設定を選択して、「編集」をクリックします。 6 「バインド解除」をクリックし、求められた資格情報を入力して、「 OK」をクリックします。 LDAP ディレクトリ管理者(ローカルのコンピュータ管理者ではない)の名前とパスワードを入力し ます。 • このコンピュータに信頼されたバインディングが設定されていない場合、「バインド解除」ボタン は表示されません。 「 OK 」をクリッ • コンピュータが LDAP サーバにアクセスできないという警告が表示された場合は、 クして、信頼されたバインディングを強制的に終了します。 強制的に信頼されたバインディングを終了しても、このコンピュータの LDAP ディレクトリ内に はコンピュータの レコードが依然として残ります。このた め、LDAP ディレク トリ管理者に連絡 し、コンピュータの リストからこのコンピュータ を削除してもらう必要があ ります。コンピュー タリストからコ ンピュータを削除する手順につ いては、ユーザ管理ガイドのコン ピュータリスト の章を参照してください。 7 「OK」をクリックして、信頼されたバインディングを終了します。 LDAP 接続の開く/閉じるのタイムアウトを変更する 「ディレクトリアクセス」を使用して、LDAP サービスへの接続の試みをキャンセルするまでにオー プンディレクトリで待つ時間を指定することができます。 LDAP 接続の開く/閉じるのタイムアウトを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして、「開く/閉じる操作のタイムアウトまでの秒数」に値を入力します。 デフォルトの値は、15 秒です。 第7章 ディレクトリアクセスを管理する 133 LDAP 接続のクエリーのタイムアウトを変更する 「ディレクトリアクセス」を使用して、LDAP ディレクトリに送信したクエリーをオープンディレク トリでキャンセルするまでの待ち時間を指定できます。 LDAP 接続のクエリータイムアウトを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして、「クエリー・タイム・アウトまでの秒数」に値を入力します。 デフォルトの値は、120 秒です。 LDAP 接続の再バインド試行の待ち時間を変更する 「ディレクトリアクセス」を使用して、LDAP サービスが応答しない場合に再接続を試みるまでの待 ち時間を指定できます。この値を大きくすると、再接続を連続して試みないようにできます。 アイドル状態の LDAP クライアントの再バインドの待ち時間を設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして、「再バインドを試行するまでの時間」に値を入力します。 デフォルトの値は、120 秒です。 LDAP 接続が無操作状態のときに接続を解除するまでの時間を変更する 「ディレクトリアクセス」を使用して、LDAP 接続を使用していないときにオープンディレクトリで 接続を終了するまでの時間を指定できます。この設定を調整して、LDAP サーバで開いている接続の 数を減らすことができます。 アイドル状態の LDAP 接続のタイムアウト間隔を設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 134 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 第7章 ディレクトリアクセスを管理する 6 「接続」をクリックして、「接続が切断されるまでのアイドル時間」に値を入力します。 デフォルトの値は、120 秒です。 読み出し専用の LDAPv2 アクセスを強制する 「ディレクトリアクセス」を使用して、従来の LDAPv2 プロトコルによる LDAP サーバへの接続を強 制できます。この強制された LDAPv2 接続は、読み出し専用であり(読み出し/書き込みではあり ません)、SSL を使用しません。 LDAP サーバへの読み出し専用の LDAPv2 アクセスを強制するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして、「LDAPv2 を使用する(読み出し専用)」を選択します。 LDAP サーバの紹介を無視する 「ディレクトリアクセス」を使用して、ほかの LDAP サーバまたは複製で情報を検索するための LDAP サーバの紹介 をコンピュータで無視 するか従うかを指定で きます。サーバの紹介はコ ンピュータが 情報を見つけるのに役立ちますが、コンピュータが多くの LDAP サーバの紹介を追跡すると、ログ インが遅くなったり、ほかの処理が遅くなったりする可能性があります。 LDAP サーバの紹介を無視するかどうかを指定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「接続」をクリックして、「サーバの紹介を無視する」を選択します。 LDAP 接続を認証する 「ディレクトリアクセス」を使用して、LDAP ディレクトリへの認証された接続を設定できます。こ の認証は一方向です。コンピュータは LDAP ディレクトリに対して識別情報を提示しますが、LDAP ディレク トリはコンピュ ータに対して正 統性を提示しませ ん。相互認証につい ては、132 ページの 「LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してください。 参考:コンピュータと LDAP ディレクトリの間に信頼されたバインディングがすでに設定されてい る場合、認証された接続は冗長になるため設定できません。 第7章 ディレクトリアクセスを管理する 135 認証された LDAPv3 接続を設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「セキュリティ」をクリックし、 「接続時に認証を使用する」を選択して、ユーザの識別名とパスワー ドを入力します。 識別名には、デ ィレクトリ内のデータを 参照するアクセス権を 持つ任意のユーザアカ ウントを指定 できます。たとえば、アドレスが ods.example.com である LDAP サーバ上の「authenticator」と いうユーザ名のユーザアカウントの場合、識別名は uid=authenticator,cn=users,dc=ods,dc=example,dc=com となります。 重要:識別名またはパスワードが間違っていると、すべてのユーザが LDAP ディレクトリ内のユー ザアカウントを使用してコンピュータにログインすることができなくなります。 LDAP 接続の認証に使用されるパスワードを変更する 「ディレクトリアクセス」を使用して、LDAP サーバ上で変更された新しいパスワードを使用するよ うに、認証された LDAP 接続をアップデートできます。(LDAP 接続の認証に使用しているパスワー ドが LDAP サーバ 上で変更さ れた場合、その サーバに対 して認証さ れた接続を 行うすべて のコン ピュータをアップデートする必要があります。) LDAP 接続のパスワードを変更するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 リストでサーバ設定を選び、「編集」をクリックします。 6 「セキュリティ」をクリックして、「パスワード」設定を変更します。 • 「接続時に認証を使用する」が選択されていないために「パスワード」設定が淡色表示になってい る場合は、135 ページの「LDAP 接続を認証する」を参照してください。 • 「次のようにディレクトリとバインドされています」が(淡色表示であっても)選択されているた めに「パスワード」設 定が淡色表示になっている 場合は、接続はユーザのパスワ ードでは認証さ れません。代わり に、接続では、信頼されたバインデ ィング用の認証済みのコン ピュータレコー ドを使用します。 136 第7章 ディレクトリアクセスを管理する LDAP ディレクトリの設定レコード属性をマッピングする アップル以外の LDAP ディレクトリ内の管理された Mac OS X ユーザの情報を保存する場合は、必 ず設定レコードタイプの属性である RealName および DataStamp をマップしてください。これら の属性をマップしないと、「ワークグループマネージャ」を使って LDAP ディレクトリ内のユーザレ コードを変更するときに、次のエラーメッセージが表示されます: “dsRecTypeStandard:Config”という名前の属性はマップされていません。 Mac OS X クライアント管理を使用していない場合、このメッセージは無視できます。これは、キャッ シュ用の設定レコードタイプの RealName および DataStamp 属性に依存します。 RFC 2307 マッピングを編集してユーザを作成できるようにする 「ワーク グループマ ネージャ」を使っ て RFC 2307 (UNIX)マッピ ングを使用す るアップル 以外の LDAP ディレクトリサーバにユーザを作成するには、「ユーザ」レコードタイプのマッピングを編集 する必要があります。これは「ディレクトリアクセス」アプリケーションを使って行います。 RFC 2307 マッピングを使って LDAP ディレクトリにユーザレコードを作成できるようにするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。 5 RFC 2307 マッピングを含んだディレクトリ設定を選択してから「編集」をクリックします。 6 7 「検索とマッピング」をクリックします。 左側のリストで「ユーザ」を選択します。 デフォルトでは、「マップ先 __ リスト内の項目」は「任意の」に設定されており、右側のリストに は「posixAccount 」、「inetOrgPerson」、および「shadowAccount」が表示されます。 8 「マップ先 __ リスト内の項目」を「すべて」に変更し、右側のリストを、 「ユーザ」レコードタイプ のマップ先の LDAP オブジェクトクラスと完全に一致するセットに変更します。 たとえば、ユーザが posixAccount と inetOrgPerson にのみマップされるよう、リストから shadowAccount を削除できます。または、ユーザを posixAccount と shadowAccount のアカウ ントにマップすることができます。 • • • • リスト内の項目を変更するには、変更する項目をダブルクリックします。 リストに項目を追加するには、「追加」をクリックします。 選択項目をリストから削除するには、「削除」をクリックします。 リスト内の項目の順序を変更するには、項目をリスト内で上または下にドラッグします。 ターミナルウインドウで UNIX ツール「ldapsearch」を使って、LDAP ディレクトリ内の既存のユー ザレコードの オブジェクトクラスを見つ けることができます。以下の例 は、cn 属性が「Leonardo da Vinci」であるユーザレコードのオブジェクトクラスを表示します: ldapsearch -x -h ldapserver.example.com -b "dc=example, dc=com" 'cn=Leonardo da Vinci' objectClass 第7章 ディレクトリアクセスを管理する 137 このコマンド例で表示される内容は、以下に似たものとなります: # Leonardo da Vinci, example.com dn: cn=Leonardo da Vinci, dc=example, dc=com objectClass: inetOrgPerson objectClass: posixAccount Mac OS X の読み出し専用 LDAP ディレクトリを準備する Mac OS X コンピュータで読み出し専用 LDAP ディレクトリから管理データを取得する場合、その データは、読み出し専用 LDAP ディレクトリ内に Mac OS X に必須のフォーマットで存在する必要 があります。読み出し専用 LDAP ディレクトリのデータの追加、変更、または再編成が必要な場合 があります。Mac OS X は、読み出し専用 LDAP ディレクトリにデータを書き込むことができないた め、読み出し専用 LDAP ディレクトリを管理するサーバのツールを使用して、必要な変更を加える 必要があります。 1 Mac OS X の読み出し専用 LDAP ディレクトリを準備するには: 読み出し専用 LDAP ディレクトリを管理するサーバに移動し、そのサーバが LDAP ベースの認証およ びパスワードチェックをサポートするように設定します。 2 Mac OS X が必要とするデータを提供するように、必要に応じて LDAP ディレクトリのオブジェクト クラスと属性を変更します。 Mac OS X のディレクトリサービスに必要なデータについて詳しくは、付録の「Mac OS X のディレ クトリデータ」を参照してください。 Mac OS X のデータを含む LDAP ディレクトリを格納する LDAP ディレクトリドメインへのアクセスを設定し、そのデータのマッピングを設定すると、 Mac OS X のレ コードとデータを格納で きます。LDAP ディレ クトリをリモートから管 理(読み出 し/書き込みアクセス)できる場合は、次のようにして Mac OS X Server に組み込まれている「ワー クグループマネージャ」アプリケーションを使用できます: • ユーザのネットワークブラウザ(Finder ウインドウのサイドバーで「ネットワーク」をクリック すると表示され ます)で自動的にマウントする必 要がある共有ポイントと共有ド メインを識別し ます。 「ワークグループマネージャ」の「共有」および「ネットワーク」モジュールを使用します。 手順については、ファイルサービス管理ガイドを参照してください。 • ユーザレコードとグループレコードを定義して設定します。「ワークグループマネージャ」の「ア カウント」モジュールを使用します。手順については、ユーザ管理ガイドを参照してください。 • 同じ環境設定が 割り当てられ、同じユーザおよび グループが利用できるコンピュ ータのリストを 定義します。「ワークグループマネージャ」の「コンピュータ」モジュールを使用します。手順に ついては、ユーザ管理ガイドを参照してください。 すべてのケースで、ユーザのリストの上にある小さい地球のアイコンをクリックし、「ワークグルー プマネージャ」のポップアップメニューから選んで LDAP ディレクトリドメインを開きます。LDAP がポップアップメニューにリストされていない場合は、このメニューから「その他」を選んで LDAP ディレクトリを選択します。 参考:読み出し専用の LDAP ディレクトリにレコードとデータを追加するには、管理するサーバの ツールを使用する必要があります。 138 第7章 ディレクトリアクセスを管理する Active Directory ドメインにアクセスする Mac OS X Server を搭載したサーバまたは Mac OS X を搭載したコンピュータを、Windows 2000 または Windows 2003 サーバ上の Active Directory ドメインにアクセスするように設定できます。 作業の説明と手順については、以下のセクションを参照してください: • 「Active Directory プラグインについて」(次のセクション) • 141 ページの「Active Directory ドメインへのアクセスを設定する 」 • 143 ページの「 Active Directory のモバイル・ユーザ・アカウントを設定する」 • 143 ページの「 Active Directory ユーザアカウントのホームフォルダを設定する」 • 145 ページの「 Active Directory ユーザアカウントの UNIX シェルを設定する」 • 145 ページの「 UID を Active Directory 属性にマップする」 • 146 ページの「プライマリグループ ID を Active Directory 属性にマップする」 • 146 ページの「グループアカウントのグループ ID を Active Directory 属性にマップする」 • 147 ページの「優先する Active Directory サーバを指定する」 • 147 ページの「コンピュータを管理できる Active Directory のグループを変更する」 • 148 ページの「 Active Directory フォレスト内のすべてのドメインからの認証を制御する 」 • 149 ページの「 Active Directory サーバからバインドを解除する」 • 149 ページの「 Active Directory 内のユーザアカウントとその他のレコードを編集する 」 ネット ワークによ っては、Active Directory ドメ インにア クセスする ための別の 方法があ ります。 149 ページの「Active Directory のドメインに 対する LDAP アクセスを設定 する」を参照してくだ さい。 Active Directory プラグインについて Mac OS X を、 Windows 2000 または Windows 2003 サーバの Active Directory ドメインの基本 ユーザアカ ウント情報にアクセス するように設定でき ます。これは「ディレクトリ アクセス」用の Active Directory プラグインによって可能になります。この Active Directory プラグインは、「ディ レクトリアクセス」の「サービス」パネルにリストされています。 基本ユーザアカウント情報を取得するために、Active Directory ドメインにスキーマの変更を加える 必要はあり ません。ただし、コンピュー タアカウントでユーザ プロパティを読み込 めるように、特 定の属性のデフォルトのアクセス制御リスト (ACL)を 変更することが必要となる場合があります。 Active Directory プラグインは、Active Directory ユーザアカウントの標準属性から、Mac OS X の 認証に必要 なすべての属性を生 成します。プラグインは、パ スワード変更、失効、およ び強制変更 など、Active Directory 認証方式もサポートしています。 Active Directory プラグインは、Active Directory ドメイン内のユーザアカウントの GUID(Globally Unique ID)に基づいて、一意のユーザ ID とプライマリグループ ID を動的に生成します。生成され たユーザ ID とプライマリグループ ID は、ユーザアカウントを別の Mac OS X コンピュータへのロ グインに使用 する場合でも、ユーザアカウ ントごとに常に同じもの です。もう 1 つ の方法として、 Active Directory プラグインで強制的に、指定した Active Directory 属性にユーザ ID をマッピング することもできます。 第7章 ディレクトリアクセスを管理する 139 同様に、Active Directory プラグインにより、Active Directory グループアカウントの GUID に基づ いてグループ ID が生成されます。また、プラグインで強制的に、指定した Active Directory 属性に グループアカウントのグループ ID をマッピングすることもできます。 ユーザが Active Directory ユーザアカウントを使用して Mac OS X にログインしたときに、 Active Directory プラグインによって、Active Directory ユーザアカウントで指定されている Windows ネッ トワーク・ホーム・ディレクトリをそのユーザの Mac OS X ホームフォルダとして自動的にマウン トできます。Active Directory スキーマが Mac OS X の HomeDirectory 属性を含むように拡張され ている場合は、Active Directory の標準の homeDirectory 属性または Mac OS X の homeDirectory 属性のどちらで指定されているネットワークホームを使用するかを指定できます。 または、Mac OS X クライアントコンピュータの起動ボリュームにローカル・ホーム・フォルダを作 成するようにプラグインを設定することもできます。この場合、Active Directory ユーザアカウント で指定されているユーザの Windows ネットワーク・ホーム・ディレクトリが、共有ポイントのよう に、ネットワークボリュームとしてマウントさ れます。 「Finder 」を使用すれば、Windows ホーム ディレクトリのネットワークボリュームとローカルの Mac OS X ホームフォルダとの間でファイル をコピーできます。 Active Directory プラグインによって、ユーザのモバイルアカウントを作成することもできます。モ バイルアカウントでは、Mac OS X クライアントコンピュータ上にユーザの Active Directory 認証の 資格情報が キャッシュされます。キャ ッシュされた資格情報 により、クライアントコン ピュータが Active Directory サーバと接続していないときでも、ユーザは Active Directory の名前とパスワー ドを使用してログインできます。モバイルアカウントでは、Mac OS X クライアントコンピュータの 起動ボリューム上にローカル・ホーム・フォルダが保持されます。 (また、ユーザは、ユーザの Active Directory アカウントで指定されているネットワーク・ホーム・フォルダも保持します。) Active Directory スキーマが Mac OS X のレコードタイプ(オブジェクトクラス)と属性を組み込む ように拡張されていない場合、Active Directory プラグインは自動的にそれらを検出してアクセスし ます。たとえば、Active Directory スキーマは、 Windows 管理ツールを使って、 Mac OS X で管理 され たク ライア ント 属性 を組み 込む ように 変更 するこ とも できま す。この スキ ーマ変 更に より、 Active Directory プラグインで、Mac OS X Server の「ワークグループマネージャ」アプリケーショ ンで行われ る管理クライアントの 設定をサポートできる ようになります。Mac OS X ク ライアント は、ディレクトリに追加された属性への完全な読み出しアクセス権を持っているものと見なします。 したがって、これらの追加された属性をコンピュータリストで読み込めるように、属性の ACL を変 更することが必要となる場合があります。 Active Directory プラグインにより、Active Directory フォレストにあるすべてのドメインが自動的 に検出されます。プラグインは、フォレスト内の任意のドメインのユーザが Mac OS X コンピュー タで認証で きるように設定できま す。また、クライアントで特定 のドメインのみが認証 されるよう に、複数ドメインの認証を無効にすることもできます。 Active Directory プラグインは、Active Directory の複製とフェイルオーバーを完全にサポートして います。複数の ドメインコントロー ラが検出され、最も近いも のが決定されます。ドメ インコント ローラが使用 できなくなった場合、プラ グインによって近くに ある別のドメインコン トローラに自 動的に切り替えられます。 140 第7章 ディレクトリアクセスを管理する Active Directory プラグインでは LDAP を使って Active Directory ユーザアカウントにアクセスし、 Kerberos を使って認証します。Active Directory プラグインは、ディレクトリや認証サービスの取 得に Microsoft 所有の ADSI(Active Directory Services Interface )を使用しません。 Active Directory ドメインへのアクセスを設定する 「ディレクトリアクセス」にリストされている Active Directory プラグインを使えば、 Mac OS X で Windows サーバ上の Active Directory ドメインにある基本ユーザアカウント情報にアクセスするよ う設定できます。Active Directory プラグインは、Mac OS X の認証に必要なすべての属性を生成し ます。Active Directory のスキーマを変更する必要はありません。さらに、Mac OS X クライアント 管 理に 必 要な 属性 な どの 標 準の Mac OS X の レコ ー ドタ イプ と 属性 を 組み 込 むよ うに Active Directory のスキーマが拡張されている場合、Active Directory プラグインがそれらを検出してアク セスします。 警告:Active Directory プラグインの詳細オプションを使用すると、Active Directory スキーマに 追加された適切な属性に、Mac OS X の一意なユーザ ID (UID )、プライマリグループ ID(GID)、 およびグループ GID 属性をマッピングできます。後でこれらのマッピングオプションの設定を変 更すると、ユーザが以前作成したファイルにアクセスできなくなることがあります。 Active Directory ドメインへのアクセスを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 設定しているコンピュータをバインドする Active Directory ドメインの DNS 名を入力します。 入力する DNS 名は、Active Directory ドメインの管理者に問い合わせることができます。 5 必要に応じて、「コンピュータ ID」を編集します。 「コンピュータ ID」は、Active Directory ドメイン内でコンピュータの識別に使用される名前であり、 コンピュータの名前に初期設定されます。Active Directory ドメイン内のコンピュータの命名方法が 組織内で定 められている場合は、それ に合わせて名前を変更 する必要があります。入力 する名前が 分からない場合は、Active Directory ドメインの管理者に問い合わせてください。 6 必要に応じて詳細オプションを設定します。 詳細オプシ ョンが非表示になっ ている場合は、 「詳細オプ ションを表示」をクリッ クし、 「ユーザ環 境」、「マッピング」、および「管理」パネルでオプションを設定します。詳細オプションの設定は、 後で変更す ることもできます。詳細オ プションの設定方法に ついて詳しくは、以下を参 照してくだ さい: • 143 ページの「 Active Directory のモバイル・ユーザ・アカウントを設定する」 • 143 ページの「 Active Directory ユーザアカウントのホームフォルダを設定する」 • 145 ページの「 Active Directory ユーザアカウントの UNIX シェルを設定する」 第7章 ディレクトリアクセスを管理する 141 • • • • • • 145 ページの「 UID を Active Directory 属性にマップする」 146 ページの「プライマリグループ ID を Active Directory 属性にマップする」 146 ページの「グループアカウントのグループ ID を Active Directory 属性にマップする」 147 ページの「優先する Active Directory サーバを指定する」 147 ページの「コンピュータを管理できる Active Directory のグループを変更する」 148 ページの「 Active Directory フォレスト内のすべてのドメインからの認証を制御する 」 7 「バインド」をクリックし、コンピュータを Active Directory ドメインにバインドする権限を持つユー ザとして認証します。Active Directory を追加する検索方式を選択し、「OK」をクリックします。 • 「名前とパスワード」: Active Directory のユーザアカウントの名前とパスワードを入力すること によって認証できる ようにしたり、Active Directory のドメイン管理者が名前 とパスワードを入 力するようにすることができます。 • 「コンピュータ OU」: 設定するコンピュータの OU(組織単位)を入力します。 • 「認証に使用」: Active Directory をコンピュータの認証検索方式に自動的に追加するかどうかを 指定します。 • 「アドレスデータに使用」: Active Directory をコンピュータのコンタクト検索方式に自動的に追 加するかどうかを指定します。 「OK」をクリックすると、設定しているコンピュータと Active Directory サーバ間に信頼されたバ インディング が設定されます。認証時に 選択したオプションに 従ってコンピュータの 検索方式が設 定され、「ディレクトリアクセス」の「サービス」パネルで Active Directory が有効になります。 Active Directory の詳細オプションのデフォルト設定では、「認証に使用」オプションを選択した場 合はコンピュータの認証検索方式に、「アドレスデータに使用」オプションを選択した場合はコンタ クト情報検索方式に、Active Directory フォレストが追加されます。ただし、「バインド」をクリッ クする前に、「管理」詳細オプションパネルで「フォレスト内の任意のドメインから認証する」オプ ションの選択を解除した場合は、フォレストではなく、最も近くにある Active Directory ドメイン が追加されます。後で、Active Directory フォレストまたは個別のドメインを追加または削除するこ とによって、検索方式を変更できます。詳しくは、115 ページの「カスタム検索方式を定義する」を 参照してください。 8 Active Directory ドメインにアクセスするようにサーバを設定している場合は、そのサーバを Active Directory の Kerberos 保護領域に接続することもできます。 サーバ、ま たはサー バに接続 できる管 理用コンピ ュータで、 「サ ーバ管理」を 開き、そのサ ーバの オー プン ディ レク トリ を選 択し ます。「設 定」をク リッ クし てか ら、「一般」 をク リック しま す。 「Kerberos に接続」をクリックし、ポップアップメニューから Active Directory の Kerberos 保護領 域を選択し、このサーバのローカル管理者の資格情報を入力します。詳細な手順については、85 ペー ジの「サーバを Kerberos 保護領域に接続する」を参照してください。 142 第7章 ディレクトリアクセスを管理する Active Directory のモバイル・ユーザ・アカウントを設定する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、モバイル Active Directory ユーザアカウントの使用を開始または停止できます。コンピュータ が Active Directory サ ーバに 接続さ れてい ない ときで も、モバイ ルアカ ウント を持 つユー ザは、 Active Directory の資格情報を使用してログインできます。コンピュータが Active Directory ドメ インに接続されているときに、Active Directory プラグインによって、ユーザのログイン時にユーザ のモ バイル アカウ ントの 資格情 報が キャッ シュさ れます。こ の資格 情報の キャッ シュは、 Active Directory スキーマの変更を必要としません。Active Directory のスキーマが Mac OS X の管理され たクライアント属性を組み込むように拡張されている場合は、Active Directory プラグインのモバイ ルアカウント設定ではなく、そのモバイルアカウント設定が使用されます。 モバイルアカウントを自動的に作成するか、Active Directory ユーザにモバイルアカウント作成の確 認を求めるかできます。 Active Directory ドメインからのモバイルアカウントを有効または無効にするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが隠されている場合は、「詳細オプションを表示」をクリックします。 5 「ユーザ環境」をクリックしてから、「ログイン時にモバイルアカウントを作成する」をクリックし、 必要に応じて「モバイルアカウントを作成する前に確認を要求する」をクリックします。 • 両方のオプショ ンを選択した場合は、各ユーザが ログイン時にモバイルアカウン トを作成するか どうかを決定します。ユーザが Active Directory ユーザアカウントを使用して Mac OS X にログ インすると、モバイ ルアカウントを今すぐ作成す るかネットワークユーザとして ログインするか を選択するダイアログが表示されます。 • 1 つ目のオプションを選択し、2 つ目のオプションを選択しない場合は、ユーザのログイン時にモ バイルアカウントが自動的に作成されます。 • 1 つ目のオプションを選択しない場合、2 つ目のオプションは無効になります。 6 「OK」をクリックします。 Active Directory ユーザアカウントのホームフォルダを設定する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、Active Directory ユーザアカウント用のネットワーク・ホーム・フォルダまたはローカル・ホー ム・フォルダの使用を開始または停止できます。ネットワーク・ホーム・フォルダを使用する場合、 ユーザのログイン時に、ユーザの Windows ネットワーク・ホーム・ディレクトリが Mac OS X ホー ムフォルダとしてマウントされます。Active Directory スキーマが Mac OS X の HomeDirectory 属 性を 含む ように 拡張さ れて いる場 合は、ネ ットワ ーク・ホ ーム・フォ ルダ の場所 として、 Active Directory の標準の homeDirectory 属性または Mac OS X の homeDirectory 属性のどちらの指定 に従うかを選択します。 第7章 ディレクトリアクセスを管理する 143 ローカル・ホーム・フォルダを使用する場合、ログインする各 Active Directory ユーザは、Mac OS X の起動ディ スク上にホームフォ ルダを持ちます。また、ユー ザのネットワーク・ホ ーム・フォルダ が、共有ポイントのように、ネットワークボリュームとしてマウントされます。ユーザは、このネッ トワークボリュームとローカル・ホーム・フォルダ間でファイルをコピーできます。 Active Directory ユーザアカウントのホームフォルダを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「ユーザ環境」をクリックします。 6 Active Directory ユーザアカウントでコンピュータの「/ ユーザ」フォルダ内にローカル・ホーム・ フォルダが保持されるようにする場合は、「ローカル・ホーム・ディレクトリを起動ディスクに設定 する」をクリックします。 「ログイン時にモバイルアカウントを作成する」が選択されている場合、このオプションは使用でき ません。 7 ホームフォルダの場所として Active Directory の標準属性を使用するには、 「 Active Directory からの UNC パスを使用してネットワークホームを設定する」を選択して、ホームフォルダへのアクセスに 使用するプロトコルを選択します。 • Windows の標準プロトコルである SMB/CIFS を使用する場合は、「SMB:」を選択します。 • Macintosh の標準プロトコルである AFP を使用する場合は、「 AFP:」を選択します。 8 ホームフォルダの場所として Mac OS X の属性を使用するには、 「Active Directoryからの UNC パスを 使用してネットワークホームを設定する」の選択を解除します。 Mac OS X の属性を使用するには、Active Directory のスキーマを拡張してそれを含める必要があり ます。 9 「OK」をクリックします。 Active Directory ドメインのユーザアカウントの名前を変更すると、次回このユーザアカウントを使 用して Mac OS X コンピュータにログインするときに、サーバでそのユーザアカウントの新しいホー ム・ディレクトリ・フォルダ(およびサブフォルダ)が作成されます。 ユーザは、「Finder」で、古いホームディレクトリに移動してその内容を確認できます。 新しいホー ム・ディレクトリ・フォルダ が作成されないように するには、ユーザが次回 ログインす る前に、古いフォルダの名前を変更します。 144 第7章 ディレクトリアクセスを管理する Active Directory ユーザアカウントの UNIX シェルを設定する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、Active Directory アカウントを持つユーザが「ターミナル」アプリケーションを使って Mac OS X を対 話操作す る際に デフォ ルトで使 用する コマン ドライン シェル を設定 できます。デ フォル トの シェルは、SSH(Secure Shell)や Telnet 経由のリモート対話操作にも使用されます。各ユーザは、 「ターミナル」の環境設定を変更することでデフォルトのシェルを変更できます。 Active Directory ユーザアカウントの UNIX シェルを設定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選び、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「ユーザ環境」をクリックし、デフォルトのユーザシェルのパスを入力します。 6 「OK」をクリックします。 UID を Active Directory 属性にマップする 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、Mac OS X の一意なユーザ ID( UID )属性にマップする Active Directory 属性を指定できます。 通常は、Active Directory のスキーマを拡張して、UID へのマッピングに適した属性を含める必要が あります。 • Active Directory 管理者が Microsoft 社の「Services for UNIX」をインストールして Active Directory スキーマを拡張する場合は、UID を msSFU-30-Uid-Number 属性にマップできます。 • Active Directory 管理者が Active Directory スキーマを手動で拡張して RFC 2307 属性を含める場 合は、UID を uidNumber にマップできます。 • Active Directory管理者がActive Directoryスキーマを手動で拡張して Mac OS X のUniqueID属性 を含める場合は、UID をこの属性にマップできます。 UID マ ッピ ン グ が 無効 に な っ てい る 場 合 は、Active Directory プ ラ グ イン が 自 動 的に Active Directory の標準 GUID 属性に基づいて UID を生成します。 警告:UID のマッピングを後で変更すると、ユーザが以前に作成したファイルにアクセスできなく なることもあります。 UID を拡張された Active Directory のスキーマの属性にマップするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「マッピング」をクリックしてから、 「UID を次の属性にマップ」を選択し、UID にマップする Active Directory 属性の名前を入力します。 第7章 ディレクトリアクセスを管理する 145 プライマリグループ ID を Active Directory 属性にマップする 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、ユーザアカウントの Mac OS X プライマリグループ ID(GID)属性にマップする Active Directory 属性を指定できます。 通常は、Active Directory のスキーマを拡張して、プライマリ GID へのマッピングに適した属性を 含める必要があります。 • Active Directory 管理者が Microsoft 社の「Services for UNIX」をインストールして Active Directory スキーマを拡張する場合は、プライマリ GID を msSFU-30-Gid-Number 属性にマップ できます。 • Active Directory 管理者が Active Directory スキーマを手動で拡張して RFC 2307 属性を含める場 合は、プライマリ GID を gidNumber にマップできます。 • Active Directory 管理者が Active Directory スキーマを手動で拡張して Mac OS X の PrimaryGroupID 属性を含める場合は、プライマリ GID をこの属性にマップできます。 プライマリ GID のマッピングが無効になっている場合は、 Active Directory の標準の GUID 属性に 基づいてプライマリ GID が自動的に生成されます。 警告:プライマリ GID のマッピングを後で変更すると、ユーザが以前に作成したファイルにアク セスできなくなることもあります。 プライマリ GID を拡張された Active Directory のスキーマの属性にマップするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「マッピング」をクリックしてから、 「ユーザ GID を次の属性にマップ」を選択し、ユーザアカウント のプライマリグループ ID にマップする Active Directory 属性の名前を入力します。 グループアカウントのグループ ID を Active Directory 属性にマップする 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、グループアカウントの Mac OS X グループ ID(GID)属性にマップする Active Directory 属性 を指定できます。 通常は、Active Directory のスキーマを拡張して、グループ GID へのマッピングに適した属性を含 める必要があります。 • Active Directory 管理者が Microsoft 社の「Services for UNIX」をインストールして Active Directory スキーマを拡張する場合は、グループ GID を msSFU-30-Gid-Number 属性にマップで きます。 • Active Directory 管理者が Active Directory スキーマを手動で拡張して RFC 2307 属性を含める場 合は、グループ GID を gidNumber にマップできます。 146 第7章 ディレクトリアクセスを管理する • Active Directory管理者が Active Directoryスキーマを手動で拡張して Mac OS XのgidNumber属 性を含める場合は、グループ GID をこの属性にマップできます。 グループ GID のマッピングが無効になっている場合は、 Active Directory の標準の GUID 属性に基 づいてグループ GID が自動的に生成されます。 警告:グループ GID のマッピングを後で変更すると、ユーザが以前に作成したファイルにアクセ スできなくなることもあります。 グループ GID を拡張された Active Directory のスキーマの属性にマップするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「マッピング」をクリックしてから、 「グループ GID を次の属性にマップ」を選択し、グループアカウ ントのグループ ID にマップする Active Directory 属性の名前を入力します。 優先する Active Directory サーバを指定する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、コンピュータがデフォルトでアクセスする Active Directory ドメインのサーバの DNS 名を指定 できます。今後、こ のサーバが使用不可 になった場合は、フォレ スト内の近くの別のサ ーバが自動 的に 使用 され ます。こ のオ プシ ョン を選 択し なか った 場合 は、フォ レス ト内 の最も 近い Active Directory が自動的に指定されます。 Active Directory プラグインにアクセスさせたいサーバを指定するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 「管理」をクリックしてから、「このドメインサーバを優先」を選択し、 Active Directory サーバの DNS 名を入力します。 コンピュータを管理できる Active Directory のグループを変更する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、所属メンバーにコンピュータの管理者権限を与える Active Directory グループアカウントを指 定できます。これらの Active Directory グループアカウントのメンバーであるユーザは、設定して いる Mac OS X コンピュータにソフトウェアをインストールするなどの管理タスクを実行できます。 第7章 ディレクトリアクセスを管理する 147 メンバーが管理者権限を持つ Active Directory グループアカウントを追加または削除するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが隠されている場合は、「詳細オプションを表示」をクリックします。 5 「管理」をクリッ クし、 「管理を許可する ユーザ」を選択してから、メ ンバーに管理者権 限を与える Active Directory グループアカウントのリストを変更します。 • 追加ボタン(+)をクリックしてグループを追加し、Active Directory ドメイン名、バックスラッ シ ュ、お よび グ ル ー プ アカ ウ ン ト 名を 入 力 し ます(例: ADS\Domain Admins,IL2\Domain Admins)。 • グループを取り除くときは、リストでグループを選択し、取り除くボタン(−)をクリックします。 Active Directory フォレスト内のすべてのドメインからの認証を制御する 「ディレクトリアクセス」の Active Directory プラグインを使用するように設定されたコンピュータ で、Active Directory フォレスト内のすべてのドメインのユーザが認証できるようにするか、または 認証を個々のドメインのユーザに制限することができます。 ユーザがフォレスト内のすべてのドメインから認証できるようにするかどうかを制御するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。 5 6 「管理」をクリックして、「フォレスト内の任意のドメインから認証する」をクリックします。 このオプションの設定を変更した後、「認証」パネルや「コンタクト」パネルで、その変更に合わせ て Active Directory フォレストまたは選択したドメインを含めるようにカスタム検索方式を変更す る必要があります。 カスタム検索方式を変更する手順については、115 ページの「カスタム検索方式を定義する 」を参照 してください。 • 「フォレスト内の任意のドメインから認証する」を選択すると、コンピュータの認証およびコンタ クト情報のカスタム検索方式に Active Directory フォレストを追加できます。カスタム検索方式 に追加する際、使用可能なディレクトリドメインのリストに、フォレストが「/Active Directory/ All Domains」として表示されます (これはデフォルトの設定です)。 • 「フォレスト内の任意のドメインから認証する」の選択を解除すると、コンピュータの認証および コンタクト情報のカスタム検索方式に Active Directory ドメインを個別に追加できます。カスタ ム検索方式に追加する際、使用可能なディレクトリドメインのリストに、各 Active Directory ド メインが個別に表示されます。 148 第7章 ディレクトリアクセスを管理する Active Directory サーバからバインドを解除する コンピュータが「ディレクトリアクセス」の Active Directory プラグインを使用して Active Directory サーバにバイ ンドしている場合、Active Directory サーバか らコンピュータをバイン ド解除できま す。コンピュー タがサーバに接続でき ない状態にある場合や、コ ンピュータのレコード がサーバか らすでに取り除かれている場合は、バインドを強制的に解除できます。 Active Directory サーバからコンピュータをバインド解除するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 サービスのリストで「Active Directory」を選択し、「設定」をクリックします。 「バインド解除」をクリックし、Active Directory ドメインへの接続を終了する権限があるユーザと して認証して、「OK」をクリックします。 資格情報が受け付けられなかったかコンピュータが Active Directory に接続できないことを示す警 告が表示された場合は、 「バインドを強制的に解除」をクリックして、接続を強制的に解除できます。 バインドを強 制的に解除しても、Active Directory にはこの コンピュータのレコード が保持されま す。コンピュータのレコードを取り除く必要があることを Active Directory 管理者に通知してくだ さい。 5 「サービス」パネルで、Active Directory の「使用可能」設定の選択を解除して、 「適用」をクリック します。 Active Directory 内のユーザアカウントとその他のレコードを編集する 「ワークグループマネージャ」を使って、Active Directory のドメイン内のユーザアカウント、グルー プアカ ウント、コン ピュータリ スト、および その他のレ コードを 変更するこ とができ ます。また、 「ワークグループマネージャ」を使って Active Directory のドメイン内のレコードを削除することも できます。Active Directory のスキーマが標準の Mac OS X のレコードタイプ(オブジェクトクラ ス)と属 性を含む ように拡 張されて いる場合、「ワ ークグ ループマ ネージャ」を 使用して、 Active Directory のドメインでコンピュータリストを作成および編集することができます。ユーザアカウン ト、グループア カウント、およびコンピ ュータリストを操作す る手順については、ユー ザ管理ガイ ドを参照してください。 Active Directory の ドメ イン のユー ザア カウ ント または グル ープ アカ ウント を作 成す ると きは、 Windows サーバ管理用コンピュータで Microsoft Active Directory 管理ツールを使用します。 Active Directory のドメインに対する LDAP アクセスを設定する 「ディレクトリアクセス」を使って、LDAPv3 設定を Windows サーバ上の Active Directory のドメ インにアクセスするように設定できます。LDAPv3 設定により、Active Directory のオブジェクトク ラス、検索ベース、および属性への Mac OS X のレコードタイプと属性のマッピングを、完全に制 御できます。UID(一意のユーザ ID)などのいくつかの重要な Mac OS X のレコードタイプと属性 のマッピングには、拡張された Active Directory のスキーマが必要になります。 第7章 ディレクトリアクセスを管理する 149 「ディレクトリアクセス」にリスト表示される Active Directory プラグインの LDAPv3 の設定には、 多くの機能が含まれていません。たとえば、一意のユーザ ID やプライマリグループ ID の動的生成、 ローカル Mac OS X ホームディ レクトリの作成、 Windows ホームディ レクトリの自動 マウント、 キャッシュされた認証資格情報を含むモバイル・ユーザ・アカウント、Active Directory フォレスト の全ドメインの検出、Active Directory の複製やフェイルオーバーのサポートなどです。詳しくは、 139 ページの「Active Directory プラグインについて」を参照してください。 Active Directory サーバの設定を作成するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 4 5 サービスのリストで「LDAPv3」を選び、「設定」をクリックします。 「新規」をクリックして、Active Directory サーバの DNS 名または IP アドレスを入力します。 ディレクトリにアクセスするためのオプションを選択してから、 「続ける」をクリックすると、Active Directory サーバから情報が取得されます。 • オープンディレクトリで Active Directory サーバとの接続に SSL(Secure Sockets Layer)を使用 する場合は、「SSL を使って暗号化」を選択します。 • ユーザがログイン やサービスの認証に使用するユ ーザアカウントがこのディレク トリに含まれて いる場合は、「認証に使用」を選択します。 • 「アドレスブック」で使用するメールアドレスなどの情報がこのディレクトリに含まれている場合 は、「アドレスデータに使用」を選択します。 「ディレクトリアクセス」が Active Directory サーバに接続できない場合は、メッセージが表示され ます。この場合、ア クセスを手動で設定 するか、設定処理をキ ャンセルする必要が あります。手動 の設定手順については、122 ページの「LDAP ディレクトリへのアクセスを手動で設定する 」を参照 してください。 6 ダイアログが展開されてマッピングオプションが表示されたら、ポップアップメニューから「 Active Directory」を選択し、検索ベースを入力して、「続ける」をクリックします。 LDAPv3 設定用の Active Directory のマッピングテンプレートは、 いくつかの Mac OS X のレコー ドタイプと属性を、標準の Active Directory スキーマの一部ではないオブジェクトクラスと属性に マップします。テンプレートで定義されているマッピングを変更したり、Active Directory のスキー マを拡張することもで きます。 (または、LDAPv3 で はなく Active Directory プラグインを介して Active Directory ドメインにアクセスできる場合もあります。詳しくは、「Active Directory ドメイ ンへのアクセスを設定する」を参照してください。 7 ダイアログが展開されて接続オプションが表示されたら、Active Directory ユーザアカウントの識別 名とパスワードを入力します。 8 「OK」をクリックして新しい LDAP 接続の作成を完了してから、「OK」をクリックして LDAPv3 オプ ションの設定を完了します。 手順 5 で「認証に使用」オプションまたは「アドレスデータに使用」オプションを選択した場合は、 「ディ レク トリ アク セス」の「認証」ま たは「コ ンタ クト」パ ネルの カス タム 検索 方式に Active Directory ドメインへの LDAPv3 接続が自動的に追加されます。 150 第7章 ディレクトリアクセスを管理する 今設定した接続がコンピュータで使用されるように、 「サービス」パネルで LDAPv3 が有効になって いることを確認する必要があります。手順については、 111 ページの「LDAP ディレクトリサービス を有効にする/無効にする」を参照してください。 NIS ドメインにアクセスする 「ディレクトリアクセス」を使って、Mac OS X で NIS ドメインにアクセスする方法を指定する設定 を作成することができます。 NIS ドメインにアクセスするための設定を作成するには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 サービスのリストで「BSD フラットファイルおよび NIS」を選び、「設定」をクリックします。 4 NIS ドメイン名を入力します。 5 オプションで、NIS ドメインが常駐するサーバ( 複数可)の DNS 名または IP アドレスを入力します。 セキュリティ のために必要な場合や、サ ーバが設定するコンピ ュータと同じサブネッ ト上にない場 合は、NIS サーバのホスト名または IP アドレスを組み込みます。 サーバを指定しないと、NIS は、ブロードキャストプロトコルを使ってサブネット上の NIS サーバを 検出します。 6 「NIS ドメインを認証に使用」を選択して、「OK」をクリックします。 コンピュータの認証検索方式に、NIS ドメインが「/BSD/domain」として追加されます。 「 domain」 は、手順 4 で入力した名前です。 BSD 設定ファイルを使用する 歴史的に UNIX コンピュータは、管理データを「 /etc/master.passwd」、「/etc/group」、および 「/etc/hosts」などの設定ファイルに保管していました。 Mac OS X は、 BSD バージョンの UNIX を 基にしていますが、通常は、ディレクトリシステムから管理データを取得します。 Mac OS X v 10.2 以降( Mac OS X Server v 10.2 以降を含む)では、オープンディレクトリは BSD 設定ファイルから管理データを取得できます。この機能を使用すると、すでに BSD 設定ファイルを 持っている組織が、Mac OS X コンピュータ上の既存のファイルを使用できます。BSD 設定ファイル は単独で使用することも、ほかのディレクトリドメインと併用することもできます。 BSD 設定ファイルを使用するには: 1 BSD 設定ファイルに、Mac OS X ディレクトリサービスに必要なデータが含まれていることを確認し ます。 詳しくは、152 ページの「BSD 設定ファイル内のデータを設定する」を参照してください。 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 第7章 ディレクトリアクセスを管理する 151 3 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 4 5 サービスのリストで「BSD フラットファイルおよび NIS」を選び、「設定」をクリックします。 「BSD ローカルファイル( /etc)を認証に使用」を選択して、「 OK 」をクリックします。 コンピュータの認証検索方式に、BSD 設定ファイルのドメインが「/BSD/local」として追加されます。 Mac OS X Server は、 BSD 設定ファイルの固定セットをサポートしています。使用する設定ファイ ルを指定したり、その内容を Mac OS X のレコードタイプと属性にマップすることはできません。 BSD 設定ファイル内のデータを設定する Mac OS X コンピュータが BSD 設定ファイルから管理データを取得するようにする場合は、管理デー タが Mac OS X に必要なフォーマットで設定ファイルに存在している必要があります。また、設定 ファイル内 のデータの追加、変更、再編 成が必要な場合があ ります。 「ワークグループ マネージャ」 は BSD 設定ファイルのデータを変更することができないため、テキストエディタまたはほかのツー ルを使用して、必要な変更を加える必要があります。 BSD 設定ファイル /etc/master.passwd 含まれる情報 ユーザ名、パスワード、ID 、プライマリグループ ID など /etc/group グループ名、ID 、およびメンバー /etc/fstab NFS マウント /etc/hosts コンピュータ名およびアドレス /etc/networks ネットワーク名およびアドレス /etc/services サービス名、ポート、およびプロトコル /etc/protocols IP プロトコル名および番号 /etc/rpcs オープン・ネットワーク・コンピューティング RPC サーバ /etc/printcap プリンタ名および機能 /etc/bootparams Bootparam 設定 /etc/bootp Bootp 設定 /etc/aliases メールエイリアスおよび配信リスト /etc/netgroup ネットワーク全体のグループ名およびメンバー Mac OS X のディレクトリサービスに必要なデータについて詳しくは、付録の「Mac OS X のディレ クトリデータ」を参照してください。 152 第7章 ディレクトリアクセスを管理する レガシー NetInfo ドメインにアクセスする Mac OS X Server バージョン 10.3 より前のバージョンを使って作成された共有ディレクトリドメイ ンは、NetInfo プロトコル(および任意で LDAPv3 プロトコル)を使用しました。NetInfo は、引き 続きこれらのレガシー NetInfo ドメインへのアクセスに使用できま す。これは、次のことを意味し ます: • Mac OS Xバージョン 10.4 およびMac OS X Server バージョン10.4は、既存の共有 NetInfo ドメイン にアクセスできます。 • すべての Mac OS X Server またはその他の Mac OS X コンピュータは、Mac OS X Server バージョ ン 10.4 にアップグレード済みのサーバが管理する共有 NetInfo ドメインにアクセスできます。た だし、アップグレード済みのサーバの共有 NetInfo ドメインは、LDAP に変換できます。この場 合、ほかのコンピュータおよびサーバは、そのサーバの共有ディレクトリにアクセスするときに、 NetInfo ではなく LDAP を使用する必要があります。 参考:コマンドラインユーティリティを使用しない限り、 Mac OS X Server バージョン 10.4 で新し い共有 NetInfo ドメインを作成することはできません。 「サーバアシスタント」または「サーバ管理」 を使って Mac OS X Server バージョン 10.4 をオープンディレクトリのマスターにする(つまり、共 有 LDAP ディレクトリを管理する)ように設定した場合、ほかのコンピュータは、LDAP を使用する 場合のみこの新しい共有ディレクトリにアクセスできます。 共有 NetInfo ドメインへのアクセスを設定する手順については、このトピックの次の「NetInfo バイ ンディングについて」および「NetInfo バインディングを設定する」を参照してください。 経験豊富なシステム管理者は、次のように NetInfo ドメインを管理できます: • 既存の共有 NetInfo ドメインへのブロードキャストバインディング用のマシンレコードを作成し ます。手順については、155 ページの「NetInfo 上位ドメインにマシンレコードを追加する 」を参 照してください。 • 動的に割り当てられるポート番号ではなく特定のポート番号を使用するように共有 NetInfo ドメ インを設定します。手順については、156 ページの「共有 NetInfo ドメインの静的ポートを設定 する」を参照してください。 NetInfo バインディングについて Mac OS X コンピュータの起動時に、コンピュータのローカル・ディレクトリドメインを共有 NetInfo ドメインにバインドできます。共有 NetInfo ドメインは、ほかの共有 NetInfo ドメインにバインド できます。バインディングプロセスによって NetInfo ドメインの階層構造が作成されます。 NetInfo 階層には、分岐した構造があります。階層の最下位にあるローカルドメインが共有ドメイン にバインド されると、その共有ドメイ ンがほかの共有ドメイ ンにバインドされ、そのド メインがさ らに別のドメインにバインドされてゆきます。各ドメインは、1 つの共有ドメインにのみバインドさ れますが、共有 ドメインには任意の数 のドメインをバインド できます。共有ドメインは 上位ドメイ ンと呼ばれ、共 有ドメインにバインド する各ドメインは下位 ドメインと呼ばれます。階 層構造の最 上位には別のドメインにバインドしない 1 つの共有ドメインがあり、これがルートドメインになり ます。 第7章 ディレクトリアクセスを管理する 153 Mac OS X コンピュータは、3 つのプロトコル(静的、ブロードキャスト、または DHCP)のいずれ かの組み合わせを使用して、共有 NetInfo ドメインにバインドできます。 • 静的バインディングの場合、共有 NetInfoドメインのアドレスおよび NetInfo タグを指定します。静 的バインディン グは、一般的に、共有ドメインの コンピュータを、そのドメイン にアクセスする 必要があるコンピュータと同じ IP サブネット上に置かない場合に使用されます。 • DHCP バインディングの場合、DHCP サーバは自動的に共有 NetInfo ドメインのアドレスおよび NetInfo タグを提供します。DHCP バインディングを使用するには、NetInfo 上位層のアドレスと タグを提供するように、DHCP サーバを設定する必要があります。 • ブロードキャストバインディングの場合、コンピュータは IP ブロードキャスト要求を送信して、共 有 NetInfo ドメインを探します。共有ドメインを運用しているコンピュータは、そのドメインの アドレスおよびタグを返します。 ブロードキャストバインディングの場合、IP ブロードキャストを転送するように設定された同じ IP サブネットまたはネットワークに両方のコンピュータがある必要があります。 上位ドメインの NetInfo タグは、「 network」に設定されている必要があります。 上位ドメインは、ブ ロードキャストバインディン グを使ってバインドできる各コ ンピュータのマ シンレコードを所有している必要があります。 複数のバインディングプロトコルを使用するようにコンピュータを設定している場合、1 つのプロト コルに上位 ドメインが存在しない ときは、別のプロトコルが 使用されます。プロトコル の優先順位 は、静的、DHCP、ブロードキャストの順になります。 NetInfo バインディングを設定する 「ディレクトリアクセス」を使って、Mac OS X または Mac OS X Server を、静的、ブロードキャス ト、または DHCP プロトコルを任意の組み合わせで使用して上位 NetInfo ドメインにバインドする ように設定できます。コンピュータは、起動時に NetInfo の上位ドメインにバインドしようとします。 参考:ネットワークに共有 NetInfo ドメインがない場合に、上位 NetInfo ドメインにバインドする ようコンピュータを設定すると、コンピュータの起動時に遅れが生じることなります。 重要:自動の認証検索方式を使用し、DHCP から提供される LDAP サーバまたは DHCP から提供さ れる NetInfo ドメインを使用するように Mac OS X を設定すると、悪意のあるユーザにコンピュー タの制御を奪 われる危険性が増しま す。コンピュータがワイヤ レスネットワークに接 続するように 設定されている場合、この危険性はさらに高くなります。詳しくは、117 ページの「コンピュータを 不当な DHCP サーバから保護する」を参照してください。 Mac OS X コンピュータを共有 NetInfo ドメインにバインドするには: 1 2 「ディレクトリアクセス」で、「サービス」タブをクリックします。 カギのアイ コンがロックされてい る場合は、カギをクリック し、管理者の名前とパスワ ードを入力 します。 3 154 サービスのリストで「NetInfo」を選択し、「設定」をクリックします。 第7章 ディレクトリアクセスを管理する 4 コンピュータで使用するバインディングプロトコルを選びます。 「ブロードキャストプロトコルを使って接続する」を • ブロードキャストバインディングの場合は、 選びます。 • DHCP バインディングの場合は、「DHCP プロトコルを使って接続する」を選びます。 「特定の NetInfo サーバに接続する」を選びます。 「サーバアドレス」 • 静的バインディングの場合は、 フィールドに、上位ドメインのコンピュータの IP アドレスを入力し、「サーバタグ」フィールド に、上位ドメインの NetInfo タグを入力します。 5 「OK」をクリックし、「適用」をクリックします。 6 コンピュータを再起動します。 7 手順 4 で NetInfo のバインディングに DHCP プロトコルを選択した場合は、DHCP サーバが共有 NetInfo ドメインのアドレスおよび NetInfo タグを提供するように設定されていることを確認してく ださい。 8 手順 4 で NetInfo のバインディングにブロードキャストプロトコルを選択した場合は、設定している コンピュータのマシンレコードが上位の NetInfo ドメインに含まれていることを確認してください。 手順については、 「NetInfo 上位ドメインにマシンレコードを追加する 」 (次のセクション)を参照し てください。 NetInfo 上位ドメインにマシンレコードを追加する Mac OS X コンピュータは、ブロードキャストバインディングを使用して、コンピュータのディレク トリドメインを NetInfo 上位ドメインにバインドできます。上位 NetInfo ドメインは、ブロードキャ ストバインディングを使用してバインドする各 Mac OS X コンピュータのマシンレコードを保持して いる必要があります。マシンのレコードは「NetInfo マネージャ」アプリケーションで作成できます。 NetInfo 上位ドメインにマシンレコードを追加するには: 1 上位ドメインが置かれているコンピュータ上で「 NetInfo マネージャ」を起動し、ドメインを開きます。 2 ロックをクリックし、ディレクトリドメインの管理者の名前とパスワードを使って認証します。 3 ディレクトリブラウザのリストで「machines 」ディレクトリを選択します。 4 5 6 7 「ディレクトリ」メニューの「新規のサブディレクトリ」を選択します。 下のリストから「new_directory」をダブルクリックし、下位コンピュータの DNS 名を入力します。 「ディレクトリ」メニューの「新規のプロパティ」を選択します。 下のリストで「new_property」を「ip_address」に変更し、「new_value」を下位コンピュータの IP アドレスに変更します。 8 「ディレクトリ」メニューの「新規のプロパティ」を選択します。 9 「new_property」を「serves」に変更し、「new_value」を下位ローカルドメインの名前と NetInfo タグに変更します。名前とタグを区切るには「/」を使用します。 たとえば、 「marketing.demo」という名前のコンピュータのローカルドメインの場合、 「new_value」 を「marketing.demo/local」と変更します。 10 「ドメイン」メニューの「変更内容を保存」を選択し、 「このコピーのアップデート」をクリックします。 第7章 ディレクトリアクセスを管理する 155 共有 NetInfo ドメインの静的ポートを設定する デフォルトでは、Mac OS X は、共有 NetInfo ドメインにアクセスするときに 600 ∼ 1023 の範囲内 のポートを動的に選択します。特定のポートを介してアクセスするように NetInfo 共有ドメインを 設定できます。これは「NetInfo マネージャ」アプリケーションを使用して行います。 共有ドメインへの NetInfo アクセス用の特定のポートを設定するには: 1 共有ドメインが置かれているコンピュータで「NetInfo マネージャ」を起動し、ドメインを開きます。 2 ロックをクリックし、ディレクトリドメインの管理者の名前とパスワードを使って認証します。 3 ディレクトリブラウザのリストで「/」ディレクトリを選択します。 4 既存のポートのプロパティの値を変更するには、 「値」カラムで値をダブルクリックして変更します。 5 ポートのプロパティを削除するには、プロパティを選択し、 「編集」メニューの「削除」を選択します。 6 プロパティを追加するには、「ディレクトリ」メニューの「新規のプロパティ」を選択し、以下の操 作を実行します。 「new_property」を • TCP パケットと UDP パケットの両方に対して 1 つのポートを使用する場合は、 ダブルクリックし、「 port 」に変更します。次に、「new_value」を、使用 するポートの番号に変 更します。 • TCP と UDP に対して別々のポートを使用する場合は、「new_property 」をダブルクリックし、 「tcp_port」に 変 更 しま す。「 new_value 」を目 的 の TCP ポ ー ト番 号 に 変 更 しま す。次 に、 「new_property」をダブルクリックして「udp_port」に変更します。今度は、「new_value」を 目的の UDP ポート番号に変更します。 156 第7章 ディレクトリアクセスを管理する 8 保守と問題の解決 8 オープンディレクトリ・サービスを監視したり、オープンディレクト リのドメインから無変換データを表示および編集したり、オープン ディレクトリのファイルをバックアップしたりすることができます。 また、よくあるオープンディレクトリの問題を解決することもでき ます。 オープンディレクトリ・サービスの管理と問題解決の現行の作業には、次のものがあります: • 「オープンディレクトリ・サーバへのアクセスを制御する」(次のセクション) • 159 ページの「オープンディレクトリを監視する」 • 161 ページの「ディレクトリデータを直接表示して編集する」 • 164 ページの「任意のタイプのレコードを読み込む」 • 164 ページの「オープンディレクトリの複製を管理する」 • 167 ページの「オープンディレクトリのマスターをアーカイブする 」 • 168 ページの「オープンディレクトリのマスターを復元する 」 • 169 ページの「オープンディレクトリのマスターと複製の問題を解決する 」 • 170 ページの「ディレクトリアクセスの問題を解決する」 • 171 ページの「認証の問題を解決する 」 オープンディレクトリ・サーバへのアクセスを制御する オープンディ レクトリのマスターま たは複製へのアクセス を制御するには、ログイン ウインドウま たは ssh コマンドラインツールを使ってログインできるユーザを制限します。手順については、以 下を参照してください: • 157 ページの「サーバのログインウインドウへのアクセスを制御する」 • 158 ページの「SSH サービスへのアクセスを制御する」 サーバのログインウインドウへのアクセスを制御する 「サーバ管理」を使うと、ログインウインドウで Mac OS X Server にログインできるユーザを制御で きます。サーバの管理者権限を持つユーザは、常にサーバにログインできます。 157 サーバのログインウインドウを使用できるユーザを制限するには: 1 「サーバ管理」を 開き、ログインウインド ウへのアクセスを制 御するサーバに接続 し、 「コンピュー タとサービス」リストからサーバを選択します。 サーバを選択します(サーバの下のサービスではありません)。 2 「設定」をクリックしてから、「アクセス」をクリックします。 3 「すべてのサービスに同じアクセス権を使用する」の選択を解除し、左側のリストから「ログインウ インドウ」を選択します。 4 「以下のユーザとグループのみを許可する」を選択し、サーバのログインウインドウを使ったログイ ンを許可するユーザとグループのリストを編集します。 • 追加ボタン(+)をク リックして必要な情報を入 力し、ログインウインドウを使 用できるユーザ またはグループを追加します。 • リストからユーザまたはグループを取り除くには、1 つ以上の項目を選択して、取り除くボタン (−)をクリックします。 5 「保存」をクリックします。 手順 3 で「すべてのサービ スに同じアクセス権を使 用する」の選択を解除すると きに、 「すべての ユーザとグ ループを許可する」が選択 されている場合は、ログイ ンウインドウを除くす べてのサー ビスに対し て、すべてのユーザとグル ープがアクセスできま す。リストにあるログイン ウインドウ 以外の サービスに アクセス できるユー ザを制限す るには、リスト からサービ スを選択 し、 「以下の ユーザとグループのみを許可する」を選択して、許可するユーザとグループのリストに追加します。 すべてのユーザがサーバのログインウインドウを使ってログインできるようにするには、「ログイン ウインドウ」を選択し、「すべてのユーザとグループを許可する」を選択します。 SSH サービスへのアクセスを制御する 「サーバ管理」を使うと、 「ターミナル」の ssh コマンドを使って Mac OS X Server へのコマンドラ イン接続を開くことができるユーザを制御できます。サーバの管理者権限を持つユーザは、常に ssh を使って接続を開くことができます。ssh コマンドでは、SSH(Secure Shell)サービスを使用しま す。 ssh コマンドの使いかたについては、コマンドライン管理ガイドを参照してください。 リモートサーバへの SSH 接続を開くことができるユーザを制限するには: 1 「サーバ管理」を開き、SSH アクセスを制御するサーバに接続して、 「コンピュータとサービス」リス トからサーバを選択します。 サーバを選択します(サーバの下のサービスではありません)。 2 「設定」をクリックしてから、「アクセス」をクリックします。 3 「すべてのサービスに同じアクセス権 を使用する」の選択を解除し、左側のリストから「SSH」を選 択します。 158 第8章 保守と問題の解決 4 「以下のユーザとグループのみを許可する」を選択し、サーバへの SSH 接続を開くことを許可するユー ザとグループのリストを編集します。 • 追加ボタン(+)をクリックして必要な情報を入力し、SSH 接続を開くことができるユーザまた はグループを追加します。 • リストからユーザまたはグループを取り除くには、1 つ以上の項目を選択して、取り除くボタン (−)をクリックします。 5 「保存」をクリックします。 手順 3 で「すべてのサービ スに同じアクセス権を使 用する」の選択を解除すると きに、 「すべての ユーザとグループを許可する」が選択されている場合は、SSH を除くすべてのサービスに対して、す べてのユーザとグループがアクセスできます。リストにある SSH 以外のサービスにアクセスできる ユーザを制 限するには、リストからサ ービスを選択し、 「以下の ユーザとグループのみ を許可する」 を選択して、許可するユーザとグループのリストに追加します。 すべてのユーザがサーバへの SSH 接続を開くことができるようにするには、「SSH」を選択し、「す べてのユーザとグループを許可する」を選択します。 オープンディレクトリを監視する オープンディ レクトリの状況とログ を表示して、不審なアクテ ィビティについてオー プンディレク トリの認証ログを調査できます。 作業の手順については、以下を参照してください: • 「オープンディレクトリのマスターまたは複製の状況をチェックする」(次のセクション) • 160 ページの「オープンディレクトリのマスターの複製を監視する 」 • 160 ページの「オープンディレクトリの状況とログを表示する 」 • 160 ページの「オープンディレクトリによる認証を監視する 」 オープンディレクトリのマスターまたは複製の状況をチェックする オープンディレクトリのマスターが適切に機能していることを確認できます。 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 2 3 「概要」(ウインドウの一番下付近にあります)をクリックします。 オープンデ ィレクトリの概要のパ ネルにリストされてい るすべての項目の状況 が「実行中」になっ ていることを確認します。 リストされ ている項目のいずれ かが停止している 場合は、 「更新」をクリックし ます(または、 「表 示」>「更新」と選択します)。Kerberos が停止したままになっている場合は、169 ページの「 Kerberos がオープンディレクトリのマスターまたは複製で停止する」を参照してください。 第8章 保守と問題の解決 159 オープンディレクトリのマスターの複製を監視する 「サーバ管理」を使うと、作成した複製や進行中の複製作成の状況をチェックすることができます。 オープンディレクトリのマスターの複製を監視するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでマスタ ーのオープンディレ クトリを選 択します。 2 「設定」をクリックし、複製のリストと各複製の状況を確認します。 新しい複製 の状況は、その複製が正 常に作成されたかど うかを示します。以後、そ の状況は、複製 作成の最新の試行が成功したかどうかを示します。 オープンディレクトリの状況とログを表示する 「サーバ管理」アプリケーションを使用して、オープンディレクトリ・サービスの状況情報とログを 表示できます。次のログを表示できます: • • • • • • • • • • • ディレクトリサービスのサーバログ ディレクトリサービスのエラーログ kadmin ログ kdc ログ lookupd ログ NetInfo ログ LDAP ログ パスワードサービスのサーバログ パスワードサービスのエラーログ パスワードサービスの複製のログ slapconfig ログ ディレクトリサービスの状況またはログを表示するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 2 「概要」をクリックして、状況情報を表示します。 3 「ログ」をクリックし、「表示」ポップアップメニューを使って表示するログを選びます。 ログファイルのパスが、ポップアップメニューの下に表示されます。 4 オプションで、 「フィルタ」フィールドにテキストを入力して return キーを押すと、入力したテキス トを含む行だけが表示されます。 オープンディレクトリによる認証を監視する 「サーバ管理」を使って表示できるパスワードサービスのログを使って、疑わしいアクティビティの 失敗したログイン試行を監視します。 オープンディレクトリでは、失敗した認証がすべて記録されます。このとき、認証に失敗した IP ア ドレスも記録されます。同じパスワード ID を使った失敗が頻繁に発生していないかどうかを判断す るために、この ログは定期的に確認し てください。失敗が頻繁に 発生していることが検 出された場 合、不正にログインしようとするユーザが存在する可能性があります。 160 第8章 保守と問題の解決 オープンディレクトリによる認証のログを確認するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでサーバ のオープンディレク トリを選択 します。 2 「ログ」をクリックし、 「表示」ポップアップメニューから kdc ログまたはパスワードサービスのログ を選びます。 ディレクトリデータを直接表示して編集する 「ワークグループマネージャ」のインスペクタを使って、無変換のディレクトリデータを表示または 編集す ることが できます。イン スペクタ により、 「ワーク グループ マネージャ」で は表示で きない ディレクト リデータを表示でき ます。さらに、インスペクタ により、 「ワークグループ マネージャ」 で変更できないディレクトリデータを編集することもできます。たとえば、インスペクタを使えば、 ユーザの最初のショートネームを変更できます。 手順については、以下を参照してください: • • • • 161 ページの「ディレクトリインスペクタを表示する」 162 ページの「ディレクトリインスペクタを隠す 」 162 ページの「ユーザのショートネームを変更する 」 163 ページの「レコードを削除する」 ディレクトリインスペクタを表示する 「ワークグループマネージャ環境設定」のオプションを選択することによって、インスペクタを「ワー クグループマネージャ」に表示できます。その後、インスペクタを使って無変換のディレクトリデー タを表示または編集できます。 警告:ディレクトリ内の無変換データを変更すると、予期しない、好ましくない結果が生じる可能 性があります。不注意によりユーザやコンピュータが機能しなくなってしまったり、うっかりして ほかのリソースにアクセスするようユーザを認証してしまうことがあります。 インスペクタを表示するには: 1 「ワークグループマネージャ」を開き、「ワークグループマネージャ」>「環境設定」と選択します。 2 「“すべてのレコード”タブとインスペクタを表示する」を選択し、「 OK」をクリックします。 3 ユーザ、グル ープ、またはコンピュー タリストの属性を 表示するには、 「ユーザ」ボ タン、 「グルー プ」ボタン、また は「コンピュータリ スト」ボタン(左側)をクリ ックしてから、 「イン スペクタ」 (右側)をクリックします。 4 ほかのタイプのレコードを表示するには、「すべてのレコード」ボタン(「コンピュータリスト」ボ タンの横に あります)をクリックし、リス トの上部にあるポップ アップメニューからレ コードタイ プを選びます。 ポップアップ メニューには、ディレクト リドメインに存在する すべての標準レコード タイプがリス トされます。ま た、ポップアップメニ ューから「ネイティブ」を 選び、ポップアップメ ニューの下 に表示される ボックスにネイティブ のレコードタイプの名 前を入力することもでき ます。リストに は、すでに定義 されているレコードを 含む、現在選択済みのレコ ードタイプのすべての レコードが 表示されます。 第8章 保守と問題の解決 161 ディレクトリインスペクタを隠す インス ペクタが「ワ ークグルー プマネー ジャ」に表示さ れている 場合は、 「ワーク グループ マネー ジャ環境設定」のオプションを変更することで隠すことができます。 インスペクタを隠すには: 1 「ワークグループマネージャ」を開き、「ワークグループマネージャ」>「環境設定」と選択します。 2 「“すべてのレコード”タブとインスペクタを表示する」の選択を解除し、「 OK」をクリックします。 ユーザのショートネームを変更する 「ワークグループマネージャ」でインスペクタを使って、ユーザの最初のショートネームなどの、ユー ザのショートネーム(1 つまたは複数)を変更できます。 警告:ユーザの最初のショートネームを変更すると、予期しない、好ましくない結果が生じること があります。その他のサービスは、各ユーザの最初のショートネームを一意の持続的な ID として 使用します。たとえば、ユーザの最初のショートネームを変更しても、ユーザのホームディレクト リの名前は変更されません。ユーザが偶然グループのメンバーシップから自分のホームディレクト リにアクセスしない限り、ユーザには同じホームディレクトリがあります(その名前がユーザの新 しい最初のショートネームと一致しない場合でも同様です)。 ユーザアカウントのショートネームを変更するには: 1 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。 2 「アカウント」ボタンをクリックしてから、「ユーザ」ボタンをクリックします。 3 ショートネー ムを変更するユーザア カウントを含むディレ クトリドメインを開き、ド メインの管理 者として認証します。 ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、 ポップアップメニューから選びます。 4 変更するショートネームのアカウントを選択し、「インスペクタ」(右側)をクリックします。 5 属性のリストで RecordName を探します。RecordName の横に三角が表示されている場合は、その 三角をクリックしてすべての RecordName 値を表示します。 RecordName 属性は、ユーザのショートネーム(1 つまたは複数)を保存します。 6 変更するショートネームである RecordName 値をダブルクリックし、次に別のショートネームを入 力して Return キーを押します。 RecordName 値をクリックしてから、 「編集」をクリックして編集するシートの値を変更することも できます。 7 「保存」をクリックします。 162 第8章 保守と問題の解決 ディレクトリアクセス制御(DAC)を設定する オープンディレクトリでは、LDAP ディレクトリのすべての部分に対してディレクトリアクセス制御 (DAC )を定義できます。これにより、だれが何を変更できるかをきめ細かく制御できます。オープ ンディレクトリでは、DAC を apple-acl レコードに保存します。このレコードは、 「ワークグループ マネージャ」のインスペクタを使って編集できます。 ディレクトリアクセス制御を変更するには: 1 2 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。 アクセス制御を設定するディレクトリドメインを開き、ドメインの管理者として認証します。 ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、 ポップアップメニューから選びます。 3 「すべてのレコード」ボタン(「コンピュータリスト」ボタンの横にあります)をクリックし、リス トの上部にあるポップアップメニューから「AccessControls」を選択します。 4 レコードのリストから「デフォルト」を選択します。 5 属性のリストで AccessControlEntry を探します。 AccessControlEntry の横に三角が表示されている 場合は、その三角をクリックしてすべてのアクセス制御エントリーを表示します。 6 AccessControlEntry を選択し、「編集」をクリックして値を変更するか、「新規の値」をクリックし て AccessControlEntry 値を追加します。 値をダブルクリックして、その場所で編集することもできます。 7 「保存」をクリックします。 レコードを削除する 「ワークグループマネージャ」のインスペクタを使って、任意の種類のレコードを削除することがで きます。 警告:レコードを削除する と、サーバの動作が不安定になったり停止した りすることがあります。 サーバの適正な機能には不要であることが分かるまで、どのレコードも削除しないでください。 インスペクタを使ってレコードを削除するには: 1 2 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。 レコードを削除するディレクトリドメインを開き、ドメインの管理者として認証します。 ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、 ポップアップメニューから選びます。 3 「すべてのレコード」ボタン(「コンピュータリスト」ボタンの横にあります)をクリックし、リス トの上部にあるポップアップメニューから目的のレコードタイプを選択します。 4 5 レコードのリストから削除するレコードを 1 つ以上選択します。 「削除」をクリックします(または、「サーバ」>「選択したレコードを削除」と選択します)。 第8章 保守と問題の解決 163 任意のタイプのレコードを読み込む 「ワークグループマネージャ」を使うと、すべてのタイプのレコードをオープンディレクトリのマス ターの LDAP ディレクトリに読み込むことができます。ユーザ、グループ、コンピュータリスト、コ ンピュータ、およびその他の Mac OS X の標準のレコードタイプがすべて含まれます。一般的なレ コードタイプと属性については、216 ページの「オープンディレクトリの標準のレコードタイプと属 性」を参照してください。 読み込むことができるレコードタイプと属性のリストについては、 次のファイルを参照してください: / システム / ライブラリ /Frameworks/DirectoryService.framework/Headers/DirServicesConst.h 任意のタイプのレコードを読み込む手順については、ユーザ管理ガイドを参照してください。 オープンディレクトリの複製を管理する オープンディレクトリの複製をスケジュールしたり、要求されたときに複製したりできます。また、 複製をマス ターに昇格したり、複製 のサービスを無効にし たりできます。手順につ いては、以下を 参照してください: • 「オープンディレクトリのマスターの複製をスケジュールする」(次のセクション) • 165 ページの「要求されたときにオープンディレクトリの複製を同期させる 」 • 165 ページの「オープンディレクトリの複製を昇格する 」 • 166 ページの「オープンディレクトリの複製をデコミッションする 」 オープンディレクトリのマスターの複製をスケジュールする 「サーバ管理」を使って、オープンディレクトリのマスターがディレクトリおよび認証情報に加えら れた変更に 伴って、その複製を更新 する頻度を指定でき ます。マスターは、マスタ ー・ディレクト リドメイン内 で変更があるたびに複 製を更新することも、指定 したスケジュールで更 新することも できます。 オープンディレクトリのマスターがその複製を更新する頻度を指定するには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでオープ ンディレクトリのマ スターサー バのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 3 複製の頻度を指定します。 「クライアントへの複製 __ ディレクトリが変更されるたび」 :複製の正確さは維持しますが、ネット ワークの負 荷が増えます。複製が低速 のネットワークリンク を介して接続されてい る場合は、マス ターのパフォーマンスが低下することがあります。 「クライアントへの複製 __ ごと」 :少ない頻度での更新をスケジュールできます(長めの間隔を指定 します)。更新の頻度を少なくすると、マスターとその複製の間のネットワーク接続が少なくなるた め、複製の正 確さも少なくなりま す。複製がすべてマス ターと同じ LAN 上にない場 合は、ネット ワーク接続が少ない方が望ましい場合もあります。 4 「保存」をクリックします。 164 第8章 保守と問題の解決 要求されたときにオープンディレクトリの複製を同期させる オープンディ レクトリのマスターは、自 動的に自身のディレク トリと認証データを登 録済みの複製 と同期させますが、「サーバ管理」を使うと、要求されたときにデータと選択した複製を同期させる ことができます。 要求されたときにオープンディレクトリの複製を同期させるには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでオープ ンディレクトリのマ スターサー バのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、 「一般」(一番上付近に あります)を クリックします。 3 リストで複製を選び、「すぐに複製」をクリックします。 オープンディレクトリの複製を昇格する オープンデ ィレクトリのマスター に障害が発生し、バックア ップから回復できない 場合は、複製を マスターに 昇格することができま す。昇格したマスターは、複製 の既存のディレクトリ と認証デー タベースを 使用します。その後、古いマス ターのその他の複製を すべてスタンドアロン サーバに変 換してから、新しいマスターの複製にする必要があります。 重要:この手順 を使用するのは、オープン ディレクトリのマスタ ーを複製に置き換える 場合だけで す。オープンディレクトリのマスターを使用中にしたまま、その複製を別のマスターにする場合は、 この手順 を使用しないでく ださい。代わりに、166 ページの「オープン ディレクトリの複 製をデコ ミッションする」および 75 ページの「オープンディレクトリのマスターを設定する」で説明するよ うに、複製をデコミッションしてからマスターにします。 オープンディレクトリの複製を昇格するには: 1 「サーバ管理」 で、マスターに昇格する 複製に接続し、 「コンピ ュータとサービス」リ ストで、この サーバのオープンディレクトリを選択します。 2 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、「一般」(一番上付近に あります)を クリックします。 3 「役割」ポップアップメニューから「オープンディレクトリのマスター」を選び、必要な情報を入力 します。 • 「ドメイン管理者のユーザ名」:サーバの LDAP ディレクトリドメインの管理者のユーザ名。 • 「ドメイン管理者のパスワード」:入力したユーザ名の管理者アカウントのパスワード。 4 「OK」をクリックし、「保存」をクリックします。 5 「サーバ管理」 で、古いマスターの別の 複製に接続し、 「コンピ ュータとサービス」リ ストで、この サーバのオープンディレクトリを選択します。 6 「設定」をクリックしてから、「一般」をクリックします。 7 「役割」ポップアップメニューから「スタンドアロン」を選び、「保存」をクリックします。 第8章 保守と問題の解決 165 8 「役割」ポップアップメニューから「オープンディレクトリの複製」を選び、必要な情報を入力します。 :新しいオープンディレクトリのマスターであ • 「オープンディレクトリのマスターの IP アドレス」 るサーバの IP アドレスを入力します。 • 「オー プンディ レクト リのマス ターの ルートパ スワー ド」:新しい オープン ディレ クトリの マス ターシステムのルートユーザ(ユーザ名が「System Administrator」)のパスワードを入力します。 :LDAP ディレクトリドメインの管理者の名前を入 • 「マスターにおけるドメイン管理者のユーザ名」 力します。 • 「マスターにおけ るドメイン管理者のパスワー ド」:入力した名前のドメイン管理 者のパスワード を入力します。 9 「OK」をクリックし、「保存」をクリックします。 10 古いマスターの追加の複製ごとに、手順 5 ∼ 9 を繰り返します。 11 複製とマスターの日付、時刻、および時間帯が正しいことを確認します。 複製とマスターは同じネットワーク・タイム・サービスを使用するため、時計は常に同期されます。 ほかのコンピュータが古いオープンディレクトリのマスターの LDAP ディレクトリに接続されてい た場合は、新しいマスターの LDAP ディレクトリを使用するようにその接続を再設定する必要があ ります: • Mac OS X および Mac OS X Server コンピュータのカスタム検索方式に古いマスターの LDAP ディ レクトリが含まれていた場合は、代わりに新しいマスターの LDAP ディレクトリに接続するよう に各コンピュータを再設定する必要があります。「ディレクトリアクセス」の「サービス」および 「認証」パネルを使用します。手順については、126 ページの「 LDAP ディレクトリにアクセスす るための設定を削除する」および 120 ページの「LDAP ディレクトリへのアクセスを設定する 」を 参照してください。 • DHCP サービスで古いマスターの LDAP URL を自動検索方式のコンピュータに提供していた場合 は、代わりに新しいマスターの LDAP URL を提供するように DHCP サービスを再設定する必要が あります。自動検索方式の Mac OS X および Mac OS X Server コンピュータを再設定する必要は ありません。これらのコンピュータは、次回の起動時に、アップデートされた DHCP サービスか ら適切な LDAP URL を取得します。ネットワークサービス管理ガイドの DHCP の章を参照してく ださい。 オープンディレクトリの複製をデコミッションする オープンディ レクトリの複製のサー ビスを無効にするには、そ の複製をスタンドアロ ンサーバにす るか、ディレクトリおよび認証サービス用の別のシステムに接続します。 オープンディレクトリの複製をデコミッションするには: 1 オープンディ レクトリのマスターとデ コミッションする複製 との間でネットワーク接 続が機能して いることを確認します。 複製をデコミッションするときは、マスターと複製の間でポート 389 および 636 が開いている必要 があります。LDAP では、マスターで SSL が無効になっている場合はポート 389 を、 SSL が有効に なっている場合はポート 636 を使用します。(ポート 22 は SSH 用に使用されますが、複製をデコ ミッションするために開いている必要はありません。) 166 第8章 保守と問題の解決 重要:複製とマスターの間にネットワーク接続がないときに複製をデコミッションすると、デコミッ ションした 複製がマスターの複製 リストに残ります。さら に、マスターは、マスターサ ーバのオー プンディレ クトリ・サービスの「一般」設 定パネルで指定した 内容に従って、デコミッ ションした 複製に複製しようとします。 2 「サーバ管理」 で、デコミッションする 複製に接続し、「コンピ ュータとサービス」リ ストで、この サーバのオープンディレクトリを選択します。 3 「設定」(ウイン ドウの一番下付近 にあります)をクリッ クし、「一般」(一番上付近に あります)を クリックします。 4 「役割」ポップア ップメニューをク リックし、 「スタンドアロ ンサーバ」または「ディレ クトリシス テムに接続」を選択して、必要な情報を入力します。 :オープンディレクトリの マスターの LDAP ディレクト リの管理者 • 「ドメイン管理 者のユーザ名」 のユーザ名。 • 「ドメイン管理者のパスワード」:入力したユーザ名の管理者アカウントのパスワード。 • 「オープンディレ クトリのマスターのルートパ スワード」:オープンディレクトリ のマスターシス テムのルートユーザ(ユーザ名が「System Administrator」)のパスワード。 5 「OK」をクリックし、「保存」をクリックします。 オープンディ レクトリのマスターと 複製の間にネットワー ク接続があれば、マスター は複製に接続 しなくなるようにアップデートされます。 6 役割の ポップア ップメニュ ーから「ディ レクトリシ ステムに 接続」を選択し た場合は、 「オ ープン ディレクトリアクセス」ボタンをクリックして、1 つ以上のディレクトリシステムにアクセスするよ うに設定します。 特定の種類のディ レクトリサービスへのアクセスの設 定手順については、第 7 章「ディレクトリア クセスを管理する」を参照してください。 オープンディレクトリのマスターをアーカイブする 「サーバ管理」を使うと、オープンディレクトリのマスターのディレクトリと認証データのコピーを アーカイブ できます。オープンディレ クトリのマスターのサ ービスが稼動中のとき も、データのコ ピーをアーカイブできます。 次のファイルがアーカイブされます: • • • • LDAP ディレクトリのデータベースと設定ファイル オープンディレクトリ・パスワード・サーバのデータベース Kerberos のデータベースと設定ファイル NetInfo のローカルドメインとシャドウパスワードのデータベース オープンディ レクトリのマスターの 信頼できるアーカイブ がある場合は、事実上マス ターのすべて の複製のア ーカイブがあることに なります。複製が問題の原 因になる場合は、単純にそ のオープン ディレクト リの役割をスタンドア ロンサーバに変更する ことができます。その後、サー バを新品の サーバのように新しいホスト名で設定して、それを以前と同じマスターの複製として設定します。 第8章 保守と問題の解決 167 重要:オープンディレクトリ・パスワードのデータベース、Kerberos データベース、および Kerberos の「keytab 」ファイルの コピーが含ま れているア ーカイブメ ディアは、慎重に 保護してく ださい。 アーカイブには、共有 LDAP ディレクトリドメインとローカル NetInfo ディレクトリドメインの両 方に、オー プンディレ クトリのパ スワードを 持つすべて のユーザの パスワード が含まれて います。 アーカイブメ ディアのセキュリティ 対策は、オープンディレク トリのマスターサーバ の場合と同様 に厳しくする必要があります。 オープンディレクトリのマスターをアーカイブするには: 1 「サーバ管理」を 開き、 「コンピュータとサ ービス」リストでオープ ンディレクトリのマ スターサー バのオープンディレクトリを選択します。 2 3 「アーカイブ」(ウインドウの下部にあります)をクリックします。 オープンディレクトリのデータをアーカイブするフォルダのパスを入力し、「アーカイブ」ボタンを クリックします。 フォルダのパスを入力するか、ブラウズボタン(...)をクリックしてパスを選択することができます。 4 アーカイブの暗号化に使用する名前とパスワードを入力し、「 OK」をクリックします。 オープンディレクトリのマスターを復元する 「サーバ管理」を使うと、オープンディレクトリのマスターのディレクトリと認証データをアーカイ ブから復元できます。次のファイルが復元されます: • • • • LDAP ディレクトリのデータベースと設定ファイル オープンディレクトリ・パスワード・サーバのデータベース Kerberos のデータベースと設定ファイル NetInfo のローカルドメインとシャドウパスワードのデータベース アーカイブを オープンディレクトリ のスタンドアロンサー バに復元すると、そのサー バはオープン ディレクトリのマスターになり、アーカイブの作成元になったマスターと同じデータを持ちます。 アーカイブを オープンディレクトリ のマスターサーバに復 元すると、アーカイブデー タが既存のマ スターのデ ータと結合されます。結合 の作業中に競合が発生 した場合は、既存のレコー ドがアーカ イブのレ コードより優 先され、アーカイ ブのレコードは 無視されます。競 合は「slapconfig」ログ ファイル(「/ ライブラリ /Logs/slapconfig.log」)に記録されます。このファイルは、「サーバ管理」 を使って表示できます。160 ページの「オープンディレクトリの状況とログを表示する」を参照して ください。 オープンディ レクトリのマスターを アーカイブから復元す るのではなく、複製をマス ターに昇格し た方が良い結 果を得られることもあ ります。複製にアーカイブ より新しいディレクト リと認証デー タがある場合があります。 オープンディ レクトリのマスターを アーカイブから復元し たら、オープンディレクト リの複製を再 作成する必要があります。 168 第8章 保守と問題の解決 重要:アーカイ ブの復元は、ディレクトリ と認証データをシステ ム間で移動する手段と して使用し ないでくだ さい。代わりに、ソースディ レクトリから書き出し て、移動先のディレクト リに読み込 んでくださ い。ディレクトリデータの 書き出しと読み込みに ついて詳しくは、ユーザ管 理ガイドを 参照してください。 オープンディレクトリのマスターをアーカイブから復元するには: 1 「サーバ管理」を 開き、 「コンピュータと サービス」リストで、オープ ンディレクトリの スタンドア ロンサーバまたはオープンディレクトリのマスターサーバのオープンディレクトリを選択します。 オープンディ レクトリのスタンドア ロンサーバを復元操作 の対象として選択する場 合、そのサーバ は、アーカイブ に含まれているディレク トリと認証データを持 つオープンディレクト リのマスター になります。 オープンディ レクトリのマスターサ ーバを復元操作の対象 として選択する場合、アー カイブのディ レクトリと 認証データは、対象のサー バのディレクトリと認 証データと結合されま す。対象のサー バの Kerberos 保護領域名は、アーカイブの作成元のマスターと同じでなければなりません。 2 3 「アーカイブ」(ウインドウの下部にあります)をクリックします。 オープンディレクトリのアーカイブファイルのパスを入力し、「復元」ボタンをクリックします。 パスを入力するか、ブラウズボタン(...)をクリックしてアーカイブファイルを選択することができ ます。 4 アーカイブの作成時に暗号化に使用したパスワードを入力し、「 OK」をクリックします。 5 既存のオープ ンディレクトリの複製サ ーバをすべてオープン ディレクトリのスタンド アロンサーバ に変換してから、新しいマスターの複製にします。 手順については、 73 ページの「スタンドアロンサーバを設定する」および 77 ページの「オープン ディレクトリの複製を設定する」を参照してください。 オープンディレクトリのマスターと複製の問題を解決する Kerberos がオープンディレクトリのマスターまたは複製で停止する オープンディレクトリのマスターでシングルサインオンの Kerberos 認証を提供するためには、DNS を正しく設定する必要があります。 DNS が Kerberos 用に正しく設定されていることを確認するには: 1 DNS サービスが完全修飾 DNS 名を解決し、対応するリバース lookup を提供するように設定されてい ることを確認します。 DNS では、オープンディレクトリのマスターサーバ、すべての複製サーバ、および Kerberos 保護 領域のメンバーであるその他のサーバについて、完全修飾 DNS 名を解決し、リバース lookup を提 供する必要があります。 「ネットワークユーティリティ」 (「/ アプリケーション / ユーティリティ /」にあります)の「 Lookup」 パネルを使用すると、サーバの DNS 名から DNS lookup を、サーバの IP アドレスからリバース lookup を実行できます。 DNS サービスの設定手順については、 ネットワークサービス管理ガイドを参照してください。 第8章 保守と問題の解決 169 2 オープンデ ィレクトリのマスター サーバのホスト名が、サー バのローカルホスト名 ではなく、正し い完全修飾 DNS 名であることを確認します。 たとえば、ホスト名は ods.example.com になることがありますが、ods.local になることはありま せん。 ホスト名を確認するには、 「ターミナル」を開いて、hostname と入力し、Return キーを押します。 オープンディレクトリ・サーバのホスト名が完全修飾 DNS 名でない場合は、オープンディレクトリ・ サーバの「ネットワーク」環境設定で、DNS サーバのリストを一時的に消去して、「適用」をクリッ クしてみます。次に、DNS サーバの IP アドレスを 1 つ以上再入力します。オープンディレクトリ・ サーバの名前を解決するプライマリ DNS サーバから始めて、「ネットワーク」環境設定でもう一度 「適用」をクリックします。 それでもオープンディレクトリ・サーバのホスト名が完全修飾 DNS 名でない場合は、サーバを再起 動してみます。 3 オープンディレクトリのマスターサーバの「ネットワーク」環境設定がサーバの名前を解決する DNS サーバを使用するように設定されていることを確認します。 オープンディ レクトリのマスターサー バで独自の DNS サービスを提供している 場合は、サーバの 「ネットワーク」環境設定でマスターサーバ自体を DNS サーバとして使用するように設定する必要 があります。 サーバの DNS 設定が正しいことを確認したら、Kerberos を開始してみることができます。 82 ペー ジの「オープンディレクトリのマスターを設定した後で Kerberos を起動する」を参照してください。 オープンディレクトリの複製を作成できない 2 つの複製を同時に作成しようとすると、1 つは成功しますが、もう 1 つは失敗します。その後、 2 つ目の複製を作成しようとすると、成功するはずです。それでも 2 つ目の複製を作成できない場合 は、「/var/run/」フォルダに移 動し、 「slapconfig.lock」ファイルを探して、そのフ ァイルが存在す る場合は取り除きます。または、サーバを再起動することもできます。 ディレクトリアクセスの問題を解決する 起動時にディレクトリサービスにアクセスする際の問題には、いくつかの原因が考えられます。 起動に時間がかかる Mac OS X または Mac OS X Server で、進行状況バーの上に NetInfo、LDAP、またはディレクトリ サービスに関 するメッセージが表示 されているときに起動 に時間がかかることがあ る場合は、コン ピュータが、ネットワーク上で利用できない NetInfo ドメインまたは LDAP ディレクトリにアクセ スしようとしている可能性があります。 • LDAP サーバが接続されているネットワークからポータブルコンピュータの接続を解除すると、起 動時に一時停止することがありますが、これは正常です。 • 「ディレクトリアクセス」を使って、NetInfo および LDAP 設定が正しいことを確認します。 170 第8章 保守と問題の解決 • 「システム環境設定」の「ネットワーク」パネルを使って、コンピュータのネットワークの場所と その他のネットワーク設定が正しいことを確認します。 • 物理的なネットワーク接続の障害を調査します。 認証の問題を解決する 認証サービスに関するよくある問題を解決できます。 ユーザのオープンディレクトリ・パスワードを変更できない パスワードタ イプがオープンディレ クトリのユーザのパス ワードを変更するには、ユ ーザのレコー ドが置かれ ているディレクトリド メインの管理者である 必要があります。さらに、ユー ザアカウン トのパスワードタイプがオープンディレクトリである必要があります。 通常、オープンディレクトリのマスターを設定(「サーバアシスタント」、または「サーバ管理」の オープンデ ィレクトリのサービス 設定を使用)したときに指 定したユーザアカウン トには、オープ ンディレクトリのパスワードがあります。このアカウントを使用して、ほかのユーザアカウントを、 オープンディレクトリのパスワードを持つディレクトリドメインの管理者として設定できます。 ほかの方法 がすべて失敗したと きは、ルート・ユーザ・アカウ ントを使用して、オープ ンディレク トリのパスワードを持つ ディレクトリ管理者としてユーザアカウント を設定してみます。 (ルート・ ユーザ・アカ ウントの名前は「 root」です。通 常、そのパスワードは、 サーバの初期設定 時に作成 した管理者アカウントに最初に指定したパスワードと同じです。) ユーザが一部のサービスにアクセスできない 認証が必要な サービスにユーザがア クセスできるときとで きないときがある場合は、 ユーザのパス ワードを「password」などの単純な文字列に一時的に変更してみます。これで問題が解決する場合 は、ユーザの以 前のパスワードに、一部の サービスで許可されて いない文字が含まれて いたことに なります。たとえば、一部のサービスではパスワードにスペースを含めることができますが、スペー スを含めることのできないサービスもあります。 ユーザが VPN サービスに対して認証できない アカ ウント が Mac OS X Server バージ ョン 10.2 を 搭載し たサー バに保 存さ れてい るユー ザは、 Mac OS X Server バージョン 10.3 ∼ 10.4 で提供されている VPN サービスに対する認証はできませ ん。VPN サービスには MS-CHAPv2 による認証方法が必要ですが、これは Mac OS X Server v 10.2 ではサポートされていません。このようなユーザアカウントを Mac OS X Server バージョン 10.3 ∼ 10.4 を搭載したサーバに移動すれば、影響を受けるユーザ がログインできるようになります。もう 1 つの方法として、古いサーバを Mac OS X Server バージョン 10.4 以降にアップグレードすること ができます。 第8章 保守と問題の解決 171 ユーザのパスワードタイプをオープンディレクトリに変更できない ユーザのパス ワードタイプをオープ ンディレクトリ認証に 変更するには、ユーザのレ コードが置か れているデ ィレクトリドメインの 管理者である必要があ ります。さらに、ユーザアカウ ントがオー プンディレク トリ認証用に設定され ている必要があります。オ ープンディレクトリの マスターを設 定(「サーバアシスタント」、または「サーバ管理」のオープンディレクトリのサービス設定を使用) したときに 指定したユーザアカウ ントには、オープンディレ クトリのパスワードが あります。この アカウントを使用して、ほかのユーザアカウントを、オープンディレクトリのパスワードを持つディ レクトリドメインの管理者として設定できます。 パスワードサーバに依存するユーザがログインできない ネットワークに Mac OS X Server バージョン 10.2 を使用するサーバがある場合、そのサーバは、別 のサーバが 管理するオープンディ レクトリ・パスワード・サーバ から認証を受けるよう に設定でき ます。コンピュータの Ethernet ポートからケーブルを外したりして、パスワードサーバのコンピュー タが ネットワ ークか ら接続 解除され ると、パス ワード サーバを 使用し てパス ワードを 検証さ れる ユーザはログインできません。これは、パスワードサーバの IP アドレスにアクセスできないためです。 パスワードサーバのコンピュータをネットワークに再接続すれば、ユーザは Mac OS X Server にロ グインできます。また、パスワードサーバのコンピュータがオフラインのときは、パスワードタイプ が暗号化パスワードまたはシャドウパスワードのユーザアカウントを使用してログインできます。 ユーザが共有ディレクトリドメインのアカウントを使ってログインできない ディレクト リを管理するサーバに アクセスできない場合、ユ ーザは、共有ディレクトリ ドメインの アカウントを使用してログインできません。ネットワーク、サーバソフトウェア、またはサーバハー ドウェアの 問題のために、サーバにア クセスできなくなるこ とがあります。サーバのハ ードウェア やソフ トウェア の問題は、 Mac OS X コンピ ュータに ログイン しようと するユー ザや、Mac OS X Server PDC の Windows ドメインにログインしようとするユーザに影響します。ネットワークの問 題は、その場所によって、影響を受けるユーザと受けないユーザが存在する場合があります。 モバイル・ユーザ・アカウントを使用するユーザは、以前使用した Mac OS X コンピュータに依然 としてログインすることができます。また、これらの問題の影響を受けるユーザも、Mac OS X をイ ンストールし た後の初期設定時に作 成したユーザアカウン トなど、コンピュータ上に 定義されてい るローカル・ユーザ・アカウントを使用してログインできます。 Active Directory ユーザとしてログインできない 「ディレクトリアクセス」の「サービス」パネルで Active Directory ドメインへの接続を設定して、 「認証」パネルでカスタム検索方式に追加したら、変更が有効になるまで 10 ∼ 15 秒待機する必要が あります。Active Directory アカウントを使用してすぐにログインしようとしても、失敗します。 172 第8章 保守と問題の解決 ユーザがシングルサインオンまたは Kerberos を使用して認証できない Kerberos を使用するユーザまたはサービスが認証に失敗したときは、次の方法を試してください: • Kerberos 認証は、暗号化されたタイムスタンプが基準になっています。 KDC、クライアント、お よび サービス コンピ ュータの 間で 5 分以上 の誤差 があると、認 証が失敗 するこ とがあり ます。 Mac OS X Server の NTP(Network Time Protocol)または別のネットワーク・タイム・サーバ を使用して、必ずすべてのコンピュータの時計を同期させてください。 Mac OS X Server の NTP サービスについては、ネットワークサービス管理ガイドを参照してください。 • オープンディレクトリのマスターと複製で Kerberos が動作していることを確認します。169 ペー ジの「Kerberos がオープンディレクトリのマスターまたは複製で停止する」を参照してください。 • パスワード検証に使用する Kerberos サーバが有効でない場合は、ユーザのパスワードを再設定し て使用可能なサーバを使用してください。 • Kerberos 対応のサービスを提供するサーバが Kerberos サーバのディレクトリドメインにアクセ スできること確認します。また、このディレクトリドメインに、Kerberos を使用して認証しよう としているユー ザのアカウントが含まれている ことを確認します。ディレクトリ ドメインへのア クセスの設定については、第 7 章「ディレクトリアクセスを管理する」を参照してください。 • オープンディレクトリ・サーバの Kerberos 保護領域の場合は、クライアントのコンピュータが、 適切な検索ベースのサフィックスを使用してオープンディレクトリ・サーバの LDAP ディレクト リにアクセスするように設定されていることを確認します。クライアントの LDAPv3 検索ベース のサフィックスの設定は、LDAP ディレクトリの検索ベースの設定と一致する必要があります。ク ライアントの LDAPv3 検索ベースのサフィックスは、クライアントがサーバから LDAP マッピン グを取得する場合 は空欄にすることができます。この場 合、クライアントは、LDAP ディレクト リのデフォルトの検索ベースのサフィックスを使用します。 • クライア ントの検索ベ ースのサフィ ックスの設定を チェックする には、「ディレクト リアクセ ス」を開き、LDAPv3 設定のリストを表示して、「 LDAP マッピング」ポップアップメニューか ら、メニューですでに選択されている項目を選択します。手順については、124 ページの「 LDAP ディレクトリにアクセスするための設定を変更する」を参照してください。 • LDAP ディレクトリの検索ベースの設定をチェックするには、「サーバ管理」を開き、オープン ディレクトリ・サービスの「設定」パネルの「プロトコル」パネルで確認します。 • 問題の解決に役立つ情報については、KDC のログを参照してください。 160 ページの「オープン ディレクトリの状況とログを表示する」を参照してください。 • ユーザレコードを作成したとき、読み込んだとき、または以前のバージョンの Mac OS X からアッ プデートしたときに、Kerberos が動作していなかった場合、それらのレコードは Kerberos 認証 に対応していないことがあります。 • レコードの認証機関属性に ;Kerberosv5; 値がない場合、そのレコードは Kerberos に対応してい ません。 「ワークグループマネージャ」のインスペクタを使用すると、ユーザレコードの認証機 関属性の値(1 つまたは複数)を確認できます。 • ユーザレコードで Kerberos を有効にするには、パスワードタイプを変更します。まずパスワー ドタイプを暗号化パス ワードに変更してから、次にオープンディレク トリに設定します。詳し い手順については、97 ページの「パスワードのタイプを暗号化パスワードに変更する 」および 96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。 第8章 保守と問題の解決 173 • オープンディレクトリのマスターの Kerberos 保護領域に接続されているサーバが提供するサービ スに対して、ユーザがシングルサインオンまたは Kerberos を使用して認証できない場合は、オー プンディレクトリのマスターの LDAP ディレクトリでサーバのコンピュータレコードが正しく設 定されていない可能性があります。特に、コンピュータ・リスト・アカウントのサーバの名前は、 単にサーバのホスト名であるだけでなく、サーバの完全修飾 DNS 名でなければなりません。たと えば、その名前は server2.example.com とすることはできますが、単に server2 とすることはで きません。 シングルサインオンの Kerberos 認証用にサーバのコンピュータレコードを再設定するには: 1 LDAP ディレクトリのコンピュータ・リスト・アカウントからサーバを削除します。 この手順と次の手順について詳しくは、ユーザ管理ガイドを参照してください。 2 サーバをコンピュータリストにもう一度追加します。 3 サーバをオープンディレクトリのマスターの Kerberos 保護領域に接続するように、権限をもう一度 委任します。 手順については、83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権限を委任 する」を参照してください。 4 サーバをオープンディレクトリの Kerberos 保護領域に再接続します。 手順については、85 ページの「サーバを Kerberos 保護領域に接続する」を参照してください。 ユーザが自分のパスワードを変更できない Mac OS X Server によって管理されていない LDAP ディレクトリにアカウントがあり、パスワード タイプが 暗号化パスワー ドのユーザは、 Mac OS X バージョン 10.3 を搭 載したクライア ントコン ピュータからログインした後で自分のパスワードを変更することはできません。「ワークグループマ ネージャ」の「詳 細」パネルを使用して、それ らのユーザのアカ ウントの「ユーザのパ スワードの タイプ」設定を「オ ープンディレクトリ 」に変更すれば、それらの ユーザは自分のパス ワードを変 更できます。こ の変更を行うときは、新 しいパスワードも入 力する必要があり ます。その後、ユー ザに対して、こ の新しいパスワー ドを使用してログイ ンし、 「システム環境設定」 の「アカウント」 パネルでパスワードを変更するように指示してください。 サーバをオープンディレクトリの Kerberos 保護領域に接続できない 委任された Kerberos 権限を持つユーザがサーバをオープンディレクトリのマスターの Kerberos 保 護領域に接続できない場合は、オープンディレクトリのマスターの LDAP ディレクトリでサーバの コンピュータレコードが正しく設定されていない可能性があります。特に、コンピュータ・リスト・ アカウントのサーバのアドレスは、サーバのプライマリ Ethernet アドレスでなければなりません。 プライマリ Ethernet アドレスとは、サーバの「ネットワーク」環境設定パネルに表示されるネット ワークポート設定のリストの中で 1 番目の Ethernet ポートの Ethernet ID のことです。 Kerberos 保護領域に接続するように、サーバのコンピュータレコードを再設定するには: 1 LDAP ディレクトリのコンピュータ・リスト・アカウントからサーバを削除します。 この手順と次の手順について詳しくは、ユーザ管理ガイドを参照してください。 2 174 サーバをコンピュータリストにもう一度追加します。 第8章 保守と問題の解決 3 サーバをオープンディレクトリのマスターの Kerberos 保護領域に接続するように、権限をもう一度 委任します。 Kerberos 管理者アカウント(LDAP ディレクトリの管理者アカウント)を使用してサーバを Kerberos 保護領域に 再接続できる場合は、こ の手順をスキップする ことができます。そうで ない場合、手順 については、83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権限を委任する」 を参照してください。 4 サーバをオープンディレクトリの Kerberos 保護領域に再接続します。 手順については、85 ページの「サーバを Kerberos 保護領域に接続する」を参照してください。 管理者パスワードをリセットする Mac OS X Server のインストールディスクを使って、「 System Administrator」(ルートまたはスー パーユーザ)ア カウントなどの管理者権 限を持つユーザアカウ ントのパスワードを変 更することが できます。 重要:インスト ールディスクを使うユ ーザはサーバへの制限 なしのアクセスを得ら れるため、サー バハードウェアへの物理的なアクセスを制限する必要があります。 管理者アカウントのパスワードを変更するには: 1 Mac OS X Server の「 Install Disc 1」から起動します。 2 インストーラが表示されたら、「ユーティリティ」>「リセットパスワード」と選択します。 3 パスワードをリセットする管理者アカウントを含むハード・ディスク・ボリュームを選択します。 4 ポップ アップメ ニューから 管理者ア カウントを 選び、新しい パスワード を入力し て、 「保存」をク リックします。 「System Administrator 」はルートユーザ(スーパーユーザ)アカウントです。このアカウントを通 常の管理者アカウントと混同しないでください。 あらかじめ定義されているユーザアカウントのパスワードは、変更しないようにしてください。あら かじめ定義されているユーザアカウントについて詳しくは、ユーザ管理ガイドを参照してください。 参考:この手順 により、サーバのローカ ル・ディレクトリドメイ ンに保存されている管 理者アカウ ントのパスワ ードが変更されます。サー バの共有ディレクトリ ドメインに保存されて いる管理者ア カウントのパスワードがサーバにある場合、それは変更されません。 ローカルドメ インに保存されている 管理者アカウントのパ スワードが分かっている 場合は、この手 順ではなく「ワ ークグループマネー ジャ」を使って、ローカル・デ ィレクトリドメイン 内のほかの 管理者アカ ウントのパスワードを 変更できます。手順につい ては、ユーザ管理ガイドを 参照してく ださい。 第8章 保守と問題の解決 175 付録 Mac OS X のディレクトリデータ オープンディレクトリの LDAP スキーマと Mac OS X のディレクトリ ドメインのレコードタイプおよび属性を理解していると、ほかのディ レクトリドメインへのマップやユーザおよびグループアカウントの 読み込み/書き出しの際に役に立ちます。 この付録では、LDAP スキーマへのオープンディレクトリの拡張の仕様、オープンディレクトリ属性 の LDAP および Active Directory 属性へのマッピング、およびさまざまなタイプのレコードの標準 属性をリストしています。この情報は、次の場合に使用します: • 129 ペ ージの「LDAP 検索とマッピ ングを設定する」に記載 されているように、アッ プル以外の LDAP ディレクトリまたは Active Directory ドメインのオブジェクトクラスと属性をオープンディ レクトリのレコードタイプおよび属性にマップする場合。 • ユーザ管理ガイ ドに記載されているように、ユー ザまたはグループアカウントを オープンディレ クトリのドメインに読み込み/書き出しする場合。 • 161 ページの「ディレクトリデータを直接表示して編集する」に記載されているように、「ワーク グループマネージャ」のインスペクタパネルで作業する場合。 詳しくは、以下を参照してください: • LDAP スキーマへのオープンディレクトリの拡張(p. 178) • オープンディレクトリの LDAP スキーマオブジェクトクラス(p. 178) • オープンディレクトリの LDAP スキーマ属性(p. 185 ) • 標準のレコードタイプおよび属性を LDAP および Active Directory にマッピングする(p. 201 ) • ユーザのマッピング(p. 201) • Groups のマッピング(p. 205) • Mounts のマッピング(p. 206 ) • Computers のマッピング(p. 207 ) • ComputerLists のマッピング(p. 208 ) • Config のマッピング(p. 209 ) • People のマッピング(p. 210) • PresetComputerLists のマッピング(p. 211) • PresetGroups のマッピング( p. 212) • PresetUsers のマッピング( p. 213) • Printers のマッピング( p. 214) • AutoServerSetup のマッピング( p. 215) 177 • Locations のマッピング(p. 216) • ユーザレコード内の標準属性(p. 217) • Mac OS X Server が使用するユーザデータ(p. 221) • グループレコード内の標準属性(p. 222 ) • コンピュータレコード内の標準属性(p. 223 ) • コンピュータリストレコード内の標準属性(p. 224 ) • マウントレコード内の標準属性(p. 224 ) • 設定レコード内の標準属性(p. 225 ) LDAP スキーマへのオープンディレクトリの拡張 オープンディレクトリの LDAP ディレクトリスキーマは、事実上、以下の IETF(Internet Engineering Task Force)の RFC(Request for Comments )の文書で定義されている標準属性およびオブジェク トクラスに基づいています: • RFC 2307 「 An Approach for Using LDAP as a Network Information Service」 • RFC 2798 「 Definition of the inetOrgPerson LDAP Object Class」 LDAP スキーマの定義では、以下で定義されている構文 ID および一致規則を指定します: • RFC 2252「LDAPv3 Attributes 」 これらの RFC は、次の IETF の Web サイトで参照できます: www.ietf.org/rfc.html これらの RFC で定義されている属性とオブジェクトクラスが、オープンディレクトリの LDAP スキー マの基礎になっています。 オープンディレクトリの LDAP ディレクトリの拡張されたスキーマには、以下で定義されている属 性とオブジェクトクラスが含まれます: • 「オープンディレクトリの LDAP スキーマオブジェクトクラス」(次のセクション) • 185 ページの「オープンディレクトリの LDAP スキーマ属性」 参考:アップルでは、たとえば新しいバージョンの Mac OS X および Mac OS X Server をサポート するために、将来オープンディレクトリの LDAP スキーマを拡張する可能性があります。最新のス キーマは、Mac OS X Server がインストールされたコンピュータ上のテキ ストファイルで参照でき ます。このスキーマファイルは、「/etc/openldap/schema/ directory 」にあります。特に、 「apple.schema」ファイルには、オープンディレクトリの LDAP ディレクトリの最新のスキーマ拡 張が含まれています。 オープンディレクトリの LDAP スキーマオブジェクトクラス このセクションでは、標準 LDAP スキーマを拡張するオープンディレクトリの LDAP オブジェクト クラスを定義します。 178 付録 Mac OS X のディレクトリデータ コンテナ構造のオブジェクトクラス コンテナは、cn=users、 cn=groups、および cn=mounts といった最上位レベルのレコードのコン テナに使われ る構造的オブジェクト クラスです。このオブジェ クトクラスに類似した ディレクトリ サービスはありませんが、コンテナ名は各レコードタイプの検索ベースの一部になっています。 #objectclass ( # 1.2.840.113556.1.3.23 # NAME 'container' # SUP top # STRUCTURAL # MUST ( cn ) ) TTL(Time to Live)のオブジェクトクラス attributetype ( 1.3.6.1.4.1.250.1.60 NAME 'ttl' EQUALITY integerMatch SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) ユーザのオブジェクトクラス apple-user オブジェクトクラスは、inetOrgPerson または posixAccount に属していない Mac OS X 固有の属性を保存するために使われる補助クラスです。このオブジェクトクラスは、 kDSStdRecordTypeUsers レコードと共に使用されます。 objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.1 NAME 'apple-user' SUP top AUXILIARY DESC 'apple user account' MAY ( apple-user-homeurl $ apple-user-class $ apple-user-homequota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-picture $ apple-user-authenticationhint $ apple-user-homesoftquota $ apple-user-passwordpolicy $ apple-keyword $ apple-generateduid $ apple-imhandle $ apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $ profilePath $ userWorkstations $ smbHome $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $ userCertificate ) ) 付録 Mac OS X のディレクトリデータ 179 グループの補助オブジェクトクラス apple-group オブジェクトクラスは、posixGroup に属していない Mac OS X 固有の属性を保存する ために使われる補助クラスです。このオブジェクトクラスは、kDSStdRecordTypeGroups レコード と共に使用されます。 objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.14 NAME 'apple-group' SUP top AUXILIARY DESC 'group account' MAY ( apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-user-picture $ apple-keyword $ apple-generateduid $ apple-group-nestedgroup $ apple-group-memberguid $ mail $ rid $ sambaSID $ ttl ) ) マシンの補助オブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.3 NAME 'apple-machine' SUP top AUXILIARY MAY ( apple-machine-software $ apple-machine-hardware $ apple-machine-serves $ apple-machine-suffix $ apple-machine-contactperson ) ) マウントのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.8 NAME 'mount' SUP top STRUCTURAL MUST ( cn ) 180 付録 Mac OS X のディレクトリデータ MAY ( mountDirectory $ mountType $ mountOption $ mountDumpFrequency $ mountPassNo ) ) プリンタのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.9 NAME 'apple-printer' SUP top STRUCTURAL MUST ( MAY ( cn ) apple-printer-attributes $ apple-printer-lprhost $ apple-printer-lprqueue $ apple-printer-type $ apple-printer-note ) ) コンピュータのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.10 NAME 'apple-computer' DESC 'computer' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ macAddress $ apple-category $ apple-computer-list-groups $ apple-keyword $ apple-mcxflags $ apple-mcxsettings $ apple-networkview $ apple-xmlplist $ apple-service-url $ authAuthority $ uidNumber $ gidNumber $ apple-generateduid $ ttl $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID ) ) 付録 Mac OS X のディレクトリデータ 181 コンピュータリストのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.11 NAME 'apple-computer-list' DESC 'computer list' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-computers $ apple-generateduid $ apple-keyword ) ) 設定のオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.12 NAME 'apple-configuration' DESC 'configuration' SUP top STRUCTURAL MAY ( cn $ apple-config-realname $ apple-data-stamp $ apple-password-server-location $ apple-password-server-list $ apple-ldap-replica $ apple-ldap-writable-replica $ apple-keyword $ apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $ ttl ) ) プリセットコンピュータリストのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.13 NAME 'apple-preset-computer-list' DESC 'preset computer list' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-keyword ) ) プリセットグループのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.3.14 NAME 'apple-preset-group' DESC 'preset group' 182 付録 Mac OS X のディレクトリデータ SUP top STRUCTURAL MUST ( cn ) MAY ( memberUid $ gidNumber $ apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-keyword $ apple-group-nestedgroup $ apple-group-memberguid $ ttl ) ) プリセットユーザのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.15 NAME 'apple-preset-user' DESC 'preset user' SUP top STRUCTURAL MUST ( cn ) MAY ( uid $ memberUid $ gidNumber $ homeDirectory $ apple-user-homeurl $ apple-user-homequota $ apple-user-homesoftquota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-passwordpolicy $ userPassword $ apple-user-picture $ apple-keyword $ loginShell $ description $ shadowLastChange $ shadowExpire $ authAuthority $ homeDrive $ scriptPath $ profilePath $ smbHome $ 付録 Mac OS X のディレクトリデータ 183 apple-preset-user-is-admin ) ) 認証機関のオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.16 NAME 'authAuthorityObject' SUP top AUXILIARY MAY ( authAuthority ) ) サーバアシスタント設定のオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.17 NAME 'apple-serverassistant-config' SUP top AUXILIARY MUST ( cn ) MAY ( apple-xmlplist ) ) 場所のオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.18 NAME 'apple-location' SUP top AUXILIARY MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) ) サービスのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.19 NAME 'apple-service' SUP top STRUCTURAL MUST ( cn $ apple-service-type ) MAY ( ipHostNumber $ description $ apple-service-location $ apple-service-url $ apple-service-port $ apple-dnsname $ apple-keyword ) ) 関連グループのオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.20 NAME 'apple-neighborhood' 184 付録 Mac OS X のディレクトリデータ SUP top STRUCTURAL MUST ( cn ) MAY ( description $ apple-generateduid $ apple-category $ apple-nodepathxml $ apple-neighborhoodalias $ apple-computeralias $ apple-keyword $ apple-realname $ apple-xmlplist $ ttl ) ) ACL のオブジェクトクラス objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.21 NAME 'apple-acl' SUP top STRUCTURAL MUST ( cn $ apple-acl-entry ) ) オープンディレクトリの LDAP スキーマ属性 このセクションでは、標準 LDAP スキーマを拡張するオープンディレクトリの LDAP 属性を定義し ます。 Time-to-Live 属性 objectclass ( 1.3.6.1.4.1.250.3.18 NAME 'cacheObject' AUXILIARY SUP top DESC 'Auxiliary object class to hold TTL caching information' MAY ( ttl ) ) ユーザ属性 apple-user-homeurl ホームデ ィレクトリ情報 を URL とパスの形式で 保存します。これは、デ ィレクトリサー ビス内の kDS1AttrHomeDirectory 属性タイプにマップします。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.6 NAME 'apple-user-homeurl' DESC 'home directory URL' EQUALITY caseExactIA5Match 付録 Mac OS X のディレクトリデータ 185 SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class 使われていません。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.7 NAME 'apple-user-class' DESC 'user class' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota ホームディレクトリのクオータをキロバイト単位で指定します。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.8 NAME 'apple-user-homequota' DESC 'home directory quota' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-mailattribute メール関連の設定を XML として保存します。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.9 NAME 'apple-user-mailattribute' DESC 'mail attribute' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags 管理された クライアント情報 を保存します。この属性 は、ユーザ、グループ、コンピ ュータ、およ びコンピュータリストのレコード内にあります。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.10 NAME 'apple-mcxflags' DESC 'mcx flags' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 186 付録 Mac OS X のディレクトリデータ apple-mcxsettings 管理された クライアント情報 を保存します。この属性 は、ユーザ、グループ、コンピ ュータ、およ びコンピュータリストのレコード内にあります。 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.11 # NAME 'apple-mcxsettings' # DESC 'mcx settings' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.16 NAME ( 'apple-mcxsettings' 'apple-mcxsettings2' ) DESC 'mcx settings' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-user-picture ユー ザレコー ドがロ グイン ウインド ウに表 示され るときに、こ れを使 用する ためのピ クチャ への ファイルシステムパスを保存します。これは、ネットワークユーザがログインウインドウのスクロー ルリスト(管理されたネットワークにあります)に表示されるときに使われます。 ユーザは、デフォルトで独自のピクチャを変更できます。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.12 NAME 'apple-user-picture' DESC 'picture' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute プリントのクオータ設定を XML plist として保存します。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.13 NAME 'apple-user-printattribute' DESC 'print attribute' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 付録 Mac OS X のディレクトリデータ 187 apple-user-adminlimits この属性は、「ワークグループマネージャ」で、管理者ができることを記述する XML plist を保存す るために使 われます。これらの設定 は「ワークグループマネー ジャ」によって使用され 更新されま すが、システムのその他の部分には影響しません。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.14 NAME 'apple-user-adminlimits' DESC 'admin limits' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-authenticationhint apple-user-authenticationhint は、ユーザが 3 回ログインに失敗した場合にヒントを与えるため、 ログインウインドウで使われます。 デフォルトでは、各ユーザは独自の認証のヒントを更新できます。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.15 NAME 'apple-user-authenticationhint' DESC 'password hint' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.17 NAME 'apple-user-homesoftquota' DESC 'home directory soft quota' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-passwordpolicy attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.18 NAME 'apple-user-passwordpolicy' DESC 'password policy options' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 188 付録 Mac OS X のディレクトリデータ apple-keyword attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.19 NAME ( 'apple-keyword' ) DESC 'keywords' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-imhandle attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.21 NAME ( 'apple-imhandle' ) DESC 'IM handle (service:account name)' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-webloguri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.22 NAME ( 'apple-webloguri' ) DESC 'Weblog URI' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-generateduid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.20 NAME ( 'apple-generateduid' ) DESC 'generated unique ID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homeDirectory これはオープンディレクトリ・サーバでは使われません。ただし、 RFC 2037 の homeDirectory 属 性の代替として使用する OID および属性の例として示されています。これは RFC 2307 とは異なる homeDirectory 属性を使用するため、主に Active Directory を対象としています。 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.100 付録 Mac OS X のディレクトリデータ 189 # NAME 'apple-user-homeDirectory' # DESC 'The absolute path to the home directory' # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) グループ属性 apple-group-homeurl 管理されたク ライアントワークグル ープと関連付けられた ホームディレクトリを指 定します。これ は、このワークグループにユーザがログインしたときにマウントされます。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.1 NAME 'apple-group-homeurl' DESC 'group home url' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-homeowner apple-group-homeowner 属性は、ワークグループのホームディレクトリがファイルシステム内に 作成された ときに、そのオーナーを 決定します。ディレクトリ のグループは、それが関 連付けられ ているワークグループです。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.2 NAME 'apple-group-homeowner' DESC 'group home owner settings' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname ユー ザが覚 えやす い長めの 名前を グルー プと関 連付け ます。この 名前は「ワー クグル ープマ ネー ジャ」に表示され、 ASCII 以外の文字で構成できます。 attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.5 NAME 'apple-group-realname' DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-nestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.6 NAME 'apple-group-nestedgroup' 190 付録 Mac OS X のディレクトリデータ DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.7 NAME 'apple-group-memberguid' DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberUid オープンディレクトリ・サーバでは使われません。ただし、Mac OS X クライアントをサポートする 別の LDAP サーバに追加できる属性および OID の例として定義されています。 # Alternative to using memberUid from RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.14.1000 # NAME 'apple-group-memberUid' # DESC 'group member list' # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000 マシン属性 apple-machine-software attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.8 NAME 'apple-machine-software' DESC 'installed system software' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.9 NAME 'apple-machine-hardware' DESC 'system hardware description' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 付録 Mac OS X のディレクトリデータ 191 apple-machine-serves attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.10 NAME 'apple-machine-serves' DESC 'NetInfo Domain Server Binding' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-suffix attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.11 NAME 'apple-machine-suffix' DESC 'DIT suffix' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-machine-contactperson attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.12 NAME 'apple-machine-contactperson' DESC 'Name of contact person/owner of this machine' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) マウント属性 mountDirectory attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.1 NAME 'mountDirectory' DESC 'mount path' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) mountType attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.2 NAME 'mountType' DESC 'mount VFS type' EQUALITY caseIgnoreIA5Match 192 付録 Mac OS X のディレクトリデータ SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountOption attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.3 NAME 'mountOption' DESC 'mount options' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountDumpFrequency attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.4 NAME 'mountDumpFrequency' DESC 'mount dump frequency' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountPassNo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.5 NAME 'mountPassNo' DESC 'mount passno' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mount-name # Alternative to using 'cn' when adding mount record schema to other LDAP servers #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.8.100 # NAME ( 'apple-mount-name' ) # DESC 'mount name' # SUP name ) プリンタ属性 apple-printer-attributes attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.1 NAME 'apple-printer-attributes' 付録 Mac OS X のディレクトリデータ 193 DESC 'printer attributes in /etc/printcap format' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.2 NAME 'apple-printer-lprhost' DESC 'printer LPR host name' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.3 NAME 'apple-printer-lprqueue' DESC 'printer LPR queue' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.4 NAME 'apple-printer-type' DESC 'printer type' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.5 NAME 'apple-printer-note' DESC 'printer note' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) コンピュータ属性 apple-realname attributetype ( 194 付録 Mac OS X のディレクトリデータ 1.3.6.1.4.1.63.1000.1.1.1.10.2 NAME 'apple-realname' DESC 'real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-networkview attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.3 NAME 'apple-networkview' DESC 'Network view for the computer' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-category attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.4 NAME 'apple-category' DESC 'Category for the computer or neighborhood' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) コンピュータリスト属性 apple-computers attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.3 NAME 'apple-computers' DESC 'computers' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computer-list-groups attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.4 NAME 'apple-computer-list-groups' DESC 'groups' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 付録 Mac OS X のディレクトリデータ 195 XML Plist 属性 apple-xmlplist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.17.1 NAME 'apple-xmlplist' DESC 'XML plist data' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) サービス URL 属性 apple-service-url attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.2 NAME 'apple-service-url' DESC 'URL of service' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 設定属性 apple-password-server-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.1 NAME 'apple-password-server-location' DESC 'password server location' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-data-stamp attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.2 NAME 'apple-data-stamp' DESC 'data stamp' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-config-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.3 NAME 'apple-config-realname' 196 付録 Mac OS X のディレクトリデータ DESC 'config real name' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.4 NAME 'apple-password-server-list' DESC 'password server replication plist' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.5 NAME 'apple-ldap-replica' DESC 'LDAP replication list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.6 NAME 'apple-ldap-writable-replica' DESC 'LDAP writable replication list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-authkey attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.7 NAME 'apple-kdc-authkey' DESC 'KDC master key RSA encrypted with realm public key' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.8 付録 Mac OS X のディレクトリデータ 197 NAME 'apple-kdc-configdata' DESC 'Contents of the kdc.conf file' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) プリセットユーザ属性 apple-preset-user-is-admin attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.15.1 NAME 'apple-preset-user-is-admin' DESC 'flag indicating whether the preset user is an administrator' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 認証機関属性 authAuthority #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.1 # NAME 'authAuthority' # DESC 'password server authentication authority' # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) authAuthority2 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.2 # NAME ( 'authAuthority' 'authAuthority2' ) # DESC 'password server authentication authority' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 場所属性 apple-dns-domain attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.1 NAME 'apple-dns-domain' DESC 'DNS domain' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 198 付録 Mac OS X のディレクトリデータ apple-dns-nameserver attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.2 NAME 'apple-dns-nameserver' DESC 'DNS name server list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) サービス属性 apple-service-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.1 NAME 'apple-service-type' DESC 'type of service' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-url #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.19.2 # NAME 'apple-service-url' # DESC 'URL of service' # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-port attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.3 NAME 'apple-service-port' DESC 'Service port number' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) apple-dnsname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.4 NAME 'apple-dnsname' DESC 'DNS name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch 付録 Mac OS X のディレクトリデータ 199 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-service-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.5 NAME 'apple-service-location' DESC 'Service location' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 関連グループ属性 apple-nodepathxml attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.1 NAME 'apple-nodepathxml' DESC 'XML plist of directory node path' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-neighborhoodalias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.2 NAME 'apple-neighborhoodalias' DESC 'XML plist referring to another neighborhood record' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computeralias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.3 NAME 'apple-computeralias' DESC 'XML plist referring to a computer record' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) ACL 属性 apple-acl-entry #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.21.1 # NAME 'apple-acl-entry' 200 付録 Mac OS X のディレクトリデータ # DESC 'acl entry' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) スキーマ属性 apple-apple-attributeTypesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.1 # NAME 'attributeTypesConfig' # DESC 'attribute type configuration' # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 ) apple-objectClassesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.2 # NAME 'objectClassesConfig' # DESC 'object class configuration' # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 ) 標準のレコードタイプおよび属性を LDAP および Active Directory にマッピングする このセクションでは、オープンディレクトリのレコードタイプと属性を LDAP のオブジェクトクラス と属性にマップする方法を示します。また、Active Directory のオブジェクトカテゴリと属性をオー プンディレクトリのレコードタイプと属性にマップする方法、 および Active Directory のオブジェク トカテゴリと属性をオープンディレクトリのレコードタイプと属性から生成する方法も示します。 ユーザのマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Users レ コードタイプおよび属性を LDAP オブジェクトクラスおよび属性にマップする方法を示しています。 また、「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコー ドタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も 示しています。 Users のレコードタイプのマッピング LDAP オブジェクトクラス名 OID Active Directory RFC/ クラス Users、 RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 ObjectCategory = Person Users、 RFC 2307 posixAccount 1.3.6.1.1.1.2.0 オープンディレクトリ名、 付録 Mac OS X のディレクトリデータ プラグイン 201 Active Directory オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Users、 RFC 2307 shadowAccount 1.3.6.1.1.1.2.1 Users、 apple-user 1.3.6.1.4.1.63.1000.1.1.2.1 アップル拡張スキーマ LDAP 属性名 OID Active Directory apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 homeDirectory から生成 apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 アップル拡張スキーマ apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 アップル拡張スキーマ apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 アップル拡張スキーマ apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 アップル拡張スキーマ apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 アップル拡張スキーマ authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Kerberos 権限として生成 apple-user-authenticationhint 1.3.6.1.4.1.63.1000.1.1.1.1.15 アップル拡張スキーマ apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 アップル拡張スキーマ apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 GUID から — フォーマット アップル登録 RecordName、 RFC 2256 cn 2.5.4.3 cn、userPrincipal 、mail 、 sAMAccoutName から生成 RecordName、 RFC 1274 uid 0.9.2342.19200300.100.1.1 該当なし アップル登録 プラグイン Users の属性のマッピング オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 HomeDirectory、 アップル登録 HomeDirectoryQuota 、 アップル登録 HomeDirectorySoftQuota、 アップル登録 MailAttribute、 アップル登録 PrintServiceUserData 、 アップル登録 MCXFlags 、 アップル登録 MCXSettings 、 アップル登録 AdminLimits、 アップル登録 AuthenticationAuthority、 アップル登録 AuthenticationHint 、 アップル登録 PasswordPolicyOptions、 アップル登録 Keywords、 アップル登録 Picture、 アップル登録 GeneratedUID、 202 付録 Mac OS X のディレクトリデータ LDAP 属性名 OID Active Directory EMailAddress、 RFC 1274 mail 0.9.2342.19200300.100.1.3 RFC 規格 RealName 、 RFC 2256 cn 2.5.4.3 1.2.840.113556.1.2.13( Microsoft ) Password、 RFC 2256 userPassword 2.5.4.35 マッピングなし Comment、 RFC 2256 description 2.5.4.13 RFC 規格 LastName、 RFC 2256 sn 2.5.4.4 RFC 規格 FirstName 、 RFC 2256 givenName 2.5.4.42 RFC 規格 PhoneNumber 、 RFC 2256 telephoneNumber 2.5.4.20 RFC 規格 AddressLIne1 、 RFC 2256 street 2.5.4.9 RFC 規格 PostalAddress、 RFC 2256 postalAddress 2.5.4.16 RFC 規格 PostalCode、 RFC 2256 postalCode 2.5.4.17 RFC 規格 OrganizationName 、 RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) UserShell、 RFC 2307 loginShell 1.3.6.1.1.1.1.4 RFC の使用を拡張 Change 、 RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 マッピングなし Expire、 RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 マッピングなし UniqueID、 RFC 2307 uidNumber 1.3.6.1.1.1.1.0 GUID から生成 NFSHomeDirectory、 RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 homeDirectory から生成 PrimaryGroupID 、 RFC 2307 gidNumber 1.3.6.1.1.1.1.1 RFC の使用を拡張、または GUID から生成 SMBAccountFlags、 Samba 登録、 アップル PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302(Microsoft) SMBPasswordLastSet 、 Samba 登録、 アップル PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96(Microsoft) オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 付録 Mac OS X のディレクトリデータ 203 LDAP 属性名 OID Active Directory SMBLogonTime、 Samba 登録、 アップル PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52(Microsoft) SMBLogoffTime、 Samba 登録、 アップル PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51(Microsoft) SMBKickoffTime、 Samba 登録、 アップル PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 マッピングなし SMBHomeDrive、 Samba 登録、 アップル PDC homeDrive 1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45(Microsoft) SMBScriptPath、 Samba 登録、 アップル PDC scriptPath 1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62(Microsoft) SMBProfilePath、 Samba 登録、 アップル PDC profilePath 1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139(Microsoft) SMBUserWorkstations、 Samba 登録、 アップル PDC userWorkstations 1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86(Microsoft) SMBHome、 Samba 登録、 アップル PDC smbHome 1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44(Microsoft) SMBRID、 Samba 登録、 アップル PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153(Microsoft) SMBGroupRID、 Samba 登録、 アップル PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98(Microsoft) FaxNumber、 RFC 2256 fax 2.5.4.23 RFC 規格 MobileNumber、 RFC 1274 mobile 0.9.2342.19200300.100.1.41 RFC 規格 PagerNumber、 RFC 1274 pager 0.9.2342.19200300.100.1.42 RFC 規格 Department 、 RFC 2798 、 departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141(Microsoft) オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 NickName、 Microsoft 属性 JobTitle、 RFC 2256 204 付録 1.2.840.113556.1.2.447(Microsoft) title 2.5.4.12 Mac OS X のディレクトリデータ RFC 規格 LDAP 属性名 OID Active Directory Building 、 RFC 2256 buildingName 2.5.4.19 RFC 規格 Country 、 RFC 2256 c 2.5.4.6 RFC 規格 Street 、 RFC 2256 street 2.5.4.9 1.2.840.113556.1.2.256( Microsoft ) City、 RFC 2256 locality 2.5.4.7 RFC 規格 State、 RFC 2256 st 2.5.4.8 RFC 規格 オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 Groups のマッピング 次の表では、 「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Groups レ コードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、 「ディ レクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイプと属 性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。 Groups のレコードタイプのマッピング LDAP オブジェクトクラス名 OID Active Directory RFC/ クラス Groups、 RFC 2307 posixGroup 1.3.6.1.1.1.2.2 objectCategory = Group Groups、 apple-group 1.3.6.1.4.1.63.1000.1.1.2.14 アップル拡張スキーマ LDAP 属性名 OID Active Directory RFC/ クラス RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 HomeDirectory、 apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.14.1 アップル拡張スキーマ apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 アップル拡張スキーマ apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13( Microsoft ) オープンディレクトリ名、 アップル登録 プラグイン Groups の属性のマッピング オープンディレクトリ名、 アップル登録 HomeLocOwner、 アップル登録 MCXFlags 、 アップル登録 MCXSettings 、 アップル登録 RealName 、 アップル登録 付録 Mac OS X のディレクトリデータ プラグイン 205 オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory Picture、 apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 GUID から — フォーマット アップル登録 GroupMembership、 RFC 2307 memberUid 1.3.6.1.1.1.1.12 メンバーから生成 Member、 RFC 2307 memberUid 1.3.6.1.1.1.1.12 GroupMembership と同じ PrimaryGroupID 、 RFC 2307 gidNumber 1.3.6.1.1.1.1.1 RFC の使用を拡張、または GUID から生成 アップル登録 Keywords、 アップル登録 GeneratedUID、 プラグイン Mounts のマッピング 次の表では、 「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Mounts レ コードタイプおよび属性を LDAP オブジェクトクラスおよび属性にマップする方法を示しています。 また、「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコー ドタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も 示しています。 Mounts のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory Mounts、 mount 1.3.6.1.4.1.63.1000.1.1.2.8 アップル拡張スキーマ オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 VFSLinkDir 、 アップル登録 mountDirectory 1.3.6.1.4.1.63.1000.1.1.1.8.1 アップル拡張スキーマ VFSOpts、 mountOption 1.3.6.1.4.1.63.1000.1.1.1.8.3 アップル拡張スキーマ mountType 1.3.6.1.4.1.63.1000.1.1.1.8.2 アップル拡張スキーマ mountDumpFrequency 1.3.6.1.4.1.63.1000.1.1.1.8.4 アップル拡張スキーマ アップル登録 VFSPassNo 、 アップル登録 mountPassNo 1.3.6.1.4.1.63.1000.1.1.1.8.5 アップル拡張スキーマ アップル登録 プラグイン Mounts の属性のマッピング アップル登録 VFSType、 アップル登録 VFSDumpFreq 、 206 付録 Mac OS X のディレクトリデータ プラグイン Computers のマッピング 次の表では、 「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Computers レコードタイ プおよび属性を LDAP オブジェクトクラ スにマップする方法を示 しています。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイ プと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示して います。 Computers のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory Computers 、 apple-computer 1.3.6.1.4.1.63.1000.1.1.2.10 objectCategory = Computer LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 RealName 、 apple-realname 1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13( Microsoft ) apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 アップル拡張スキーマ authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 アップル拡張スキーマ apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 GUID から — フォーマット apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 アップル拡張スキーマ アップル登録 Comment、 RFC 2256 description 2.5.4.13 RFC 規格 ENetAddress、 RFC 2307 macAddress 1.3.6.1.1.1.1.22 RFC の使用を拡張 UniqueID、 RFC 2307 uidNumber 1.3.6.1.1.1.1.0 GUID から生成 PrimaryGroupID 、 RFC 2307 gidNumber 1.3.6.1.1.1.1.1 RFC の使用を拡張または生成 SMBAccountFlags、 Samba 登録、 アップル PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302(Microsoft) アップル登録 プラグイン Computers の属性のマッピング オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 アップル登録 MCXFlags 、 アップル登録 MCXSettings 、 アップル登録 Group、 アップル登録 AuthenticationAuthority、 アップル登録 GeneratedUID、 アップル登録 XMLPlist、 付録 Mac OS X のディレクトリデータ 207 LDAP 属性名 OID Active Directory SMBPasswordLastSet 、 Samba 登録、 アップル PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96(Microsoft) SMBLogonTime、 Samba 登録、 アップル PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52(Microsoft) SMBLogoffTime、 Samba 登録、 アップル PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51(Microsoft) SMBKickoffTime、 Samba 登録、 アップル PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 マッピングなし SMBRID、 Samba 登録、 アップル PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153(Microsoft) SMBGroupID 、 Samba 登録、 アップル PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98(Microsoft) オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 ComputerLists のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの ComputerLists レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示して います。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリ のレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成す る方法も示しています。 ComputerLists のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory ComputerLists、 apple-computer-list 1.3.6.1.4.1.63.1000.1.1.2.11 アップル拡張スキーマ アップル登録 プラグイン ComputerLists の属性のマッピング オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 MCXFlags 、 アップル登録 apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ MCXSettings 、 apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ アップル登録 208 付録 Mac OS X のディレクトリデータ プラグイン オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory Computers 、 apple-computers 1.3.6.1.4.1.63.1000.1.1.1.11.3 アップル拡張スキーマ apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ アップル登録 Group、 アップル登録 Keywords、 アップル登録 プラグイン Config のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Config レ コードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、 「ディ レクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイプと属 性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。 Config のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory Config、 apple-configuration 1.3.6.1.4.1.63.1000.1.1.2.12 アップル拡張スキーマ LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 RealName 、 apple-config-realname 1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13( Microsoft ) apple-data-stamp 1.3.6.1.4.1.63.1000.1.1.1.12.2 アップル拡張スキーマ apple-kdc-authkey 1.3.6.1.4.1.63.1000.1.1.1.12.7 マッピングなし apple-kdc-configdata 1.3.6.1.4.1.63.1000.1.1.1.12.8 マッピングなし apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ apple-ldap-replica 1.3.6.1.4.1.63.1000.1.1.1.12.5 マッピングなし アップル登録 プラグイン Config の属性のマッピング オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 アップル登録 DataStamp、 アップル登録 KDCAuthKey、 アップル登録、 アップル KDC KDCConfigData、 アップル登録、 アップル KDC Keywords、 アップル登録 LDAPReadReplicas 、 アップル登録、 アップル LDAP サーバ 付録 Mac OS X のディレクトリデータ 209 オープンディレクトリ名、 RFC/ クラス、 LDAP 属性名 OID Active Directory apple-ldap-writable-replica 1.3.6.1.4.1.63.1000.1.1.1.12.6 マッピングなし apple-password-server-list 1.3.6.1.4.1.63.1000.1.1.1.12.4 マッピングなし apple-password-server-location 1.3.6.1.4.1.63.1000.1.1.1.12.1 マッピングなし apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 アップル拡張スキーマ プラグイン 特殊目的 LDAPWriteReplicas 、 アップル登録、 アップル LDAP サーバ PasswordServerList 、 アップル登録、 パスワードサーバ PasswordServerLocation、 アップル登録、 パスワードサーバ XMLPlist、 アップル登録 People のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの People レ コードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、 「ディ レクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイプと属 性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。 People のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory People 、 RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 RFC 規格 オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 EMailAddress、 RFC 1274 mail 0.9.2342.19200300.100.1.3 RFC 規格 RealName 、 RFC 2256 cn 1.2.840.113556.1.3.23 RFC 規格 LastName、 RFC 2256 sn 2.5.4.4 RFC 規格 FirstName 、 RFC 2256 givenName 2.5.4.42 RFC 規格 FaxNumber、 RFC 2256 fax 2.5.4.23 RFC 規格 プラグイン People の属性のマッピング 210 付録 Mac OS X のディレクトリデータ プラグイン オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory MobileNumber、 RFC 1274 mobile 0.9.2342.19200300.100.1.41 RFC 規格 PagerNumber、 RFC 1274 pager 0.9.2342.19200300.100.1.42 RFC 規格 Department 、 RFC 2798 、 departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141(Microsoft) JobTitle、 RFC 2256 title 2.5.4.12 RFC 規格 PhoneNumber 、 RFC 2256 telephoneNumber 2.5.4.20 RFC 規格 AddressLIne1 、 RFC 2256 street 2.5.4.9 RFC 規格 Street 、 RFC 2256 street 2.5.4.9 RFC 規格 PostalAddress、 RFC 2256 postalAddress 2.5.4.16 RFC 規格 City、 RFC 2256 locality 2.5.4.7 RFC 規格 State、 RFC 2256 st 2.5.4.8 RFC 規格 Country 、 RFC 2256 c 2.5.4.6 RFC 規格 PostalCode、 RFC 2256 postalCode 2.5.4.17 RFC 規格 OrganizationName 、 RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) プラグイン PresetComputerLists のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの PresetComputerLists レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を 示しています。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレ クトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして 生成する方法も示しています。 PresetComputerLists のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory PresetComputerLists、 apple-preset-computer-list 1.3.6.1.4.1.63.1000.1.1.2.13 アップル拡張スキーマ アップル登録 付録 Mac OS X のディレクトリデータ プラグイン 211 PresetComputerLists の属性のマッピング オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 MCXFlags 、 アップル登録 apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ MCXSettings 、 apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ アップル登録 Keywords、 アップル登録 プラグイン PresetGroups のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの PresetGroups レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示してい ます。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリの レコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する 方法も示しています。 PresetGroups のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory PresetGroups、 apple-preset-group 1.3.6.1.4.1.63.1000.1.1.3.14 アップル拡張スキーマ アップル登録 プラグイン PresetGroups の属性のマッピング オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory HomeDirectory、 apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 アップル拡張スキーマ apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 アップル拡張スキーマ アップル登録 MCXFlags 、 アップル登録 apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ MCXSettings 、 apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ アップル登録 RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 アップル登録 HomeLocOwner、 アップル登録 RealName 、 アップル登録 Keywords、 212 付録 Mac OS X のディレクトリデータ プラグイン オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory GroupMembership、 RFC 2307 memberUid 1.3.6.1.1.1.1.12 RFC の使用を拡張 PrimaryGroupID 、 RFC 2307 gidNumber 1.3.6.1.1.1.1.1 RFC の使用を拡張 プラグイン PresetUsers のマッピング 次の表では、 「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの PresetUsers のレコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイ プと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示して います。 PresetUsers のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory PresetUsers、 apple-preset-user 1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory = Person アップル登録 プラグイン PresetUsers の属性のマッピング オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory HomeDirectory、 apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 該当なし apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 アップル拡張スキーマ apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 アップル拡張スキーマ apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 アップル拡張スキーマ apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 アップル拡張スキーマ アップル登録 MCXFlags 、 アップル登録 apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 アップル拡張スキーマ MCXSettings 、 apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 アップル拡張スキーマ apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 アップル拡張スキーマ apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 アップル拡張スキーマ authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 アップル拡張スキーマ アップル登録 HomeDirectoryQuota 、 アップル登録 HomeDirectorySoftQuota、 アップル登録 MailAttribute、 アップル登録 PrintServiceUserData 、 アップル登録 AdminLimits、 アップル登録 Picture、 アップル登録 AuthenticationAuthority、 アップル登録 付録 Mac OS X のディレクトリデータ プラグイン 213 オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory PasswordPolicyOptions、 apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 アップル拡張スキーマ apple-preset-user-is-admin 1.3.6.1.4.1.63.1000.1.1.1.15.1 アップル拡張スキーマ apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 アップル拡張スキーマ アップル登録 RecordName、 RFC 1274 cn 2.5.4.3 RFC 規格 RealName 、 RFC 2256 cn 2.5.4.3 RFC 規格 Password、 RFC 2256 userPassword 2.5.4.35 該当なし GroupMembership、 RFC 2307 memberUid 1.3.6.1.1.1.1.12 RFC の使用を拡張 PrimaryGroupID 、 RFC 2307 gidNumber 1.3.6.1.1.1.1.1 RFC の使用を拡張 NFSHomeDirectory、 RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 該当なし UserShell、 RFC 2307 loginShell 1.3.6.1.1.1.1.4 RFC の使用を拡張 Change 、 RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 該当なし Expire、 RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 該当なし アップル登録 PresetUserIsAdmin、 アップル登録 Keywords、 プラグイン Printers のマッピング 次の表では、 「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Printers レ コードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、 「ディ レクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイプと属 性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。 Printers のレコードタイプのマッピング 214 オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory Printers、 ObjectCategory = Print-Queue アップル登録 apple-printer 1.3.6.1.4.1.63.1000.1.1.2.9 Printers、 IETF-Draft-IPP-LDAP printerIPP 1.3.18.0.2.6.256 付録 Mac OS X のディレクトリデータ プラグイン Printers の属性のマッピング LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 RealName 、 RFC 2256 cn 2.5.4.3 1.2.840.113556.1.4.300(Microsoft) PrinterLPRHost、 apple-printer-lprhost 1.3.6.1.4.1.63.1000.1.1.1.9.2 該当なし apple-printer-lprqueue 1.3.6.1.4.1.63.1000.1.1.1.9.3 該当なし apple-printer-type 1.3.6.1.4.1.63.1000.1.1.1.9.4 該当なし apple-printer-note 1.3.6.1.4.1.63.1000.1.1.1.9.5 該当なし Location 、 IETF-Draft-IPP-LDAP printer-location 1.3.18.0.2.4.1136 1.2.840.113556.1.4.222(Microsoft) Comment、 RFC 2256 description 2.5.4.13 RFC 規格 PrinterMakeAndModel、 IETF-Draft-IPP-LDAP printer-make-and-model 1.3.18.0.2.4.1138 1.2.840.113556.1.4.229(Microsoft) PrinterURI、 IETF-Draft-IPP-LDAP printer-uri 1.3.18.0.2.4.1140 uNCName から生成 PrinterXRISupported、 IETF-Draft-IPP-LDAP printer-xri-supported 1.3.18.0.2.4.1107 portName/uNCName から生成 Printer1284DeviceID、 printer-1284-device-id 1.3.6.1.4.1.63.1000.1.1.1.9.6 アップル拡張スキーマ オープンディレクトリ名、 RFC/ クラス、 プラグイン 特殊目的 アップル登録、 レガシーサポート PrinterLPRQueue、 アップル登録、 レガシーサポート PrinterType、 アップル登録、 レガシーサポート PrinterNote、 アップル登録、 レガシーサポート アップル登録 AutoServerSetup のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの AutoServerSetup レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示し ています。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクト リのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成 する方法も示しています。 付録 Mac OS X のディレクトリデータ 215 AutoServerSetup のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory AutoServerSetup 、 apple-serverassistant-config 1.3.6.1.4.1.63.1000.1.1.2.17 アップル拡張スキーマ アップル登録 プラグイン AutoServerSetup の属性のマッピング オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 XMLPlist、 apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 アップル拡張スキーマ アップル登録 プラグイン Locations のマッピング 次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Locations レコードタイ プおよび属性を LDAP オブジェクトクラ スにマップする方法を示 しています。また、 「ディレクトリアクセス」の Active Directory プラグインで、オープンディレクトリのレコードタイ プと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示して います。 Locations のレコードタイプのマッピング オープンディレクトリ名、 RFC/ クラス LDAP オブジェクトクラス名 OID Active Directory Locations 、 apple-locations 1.3.6.1.4.1.63.1000.1.1.2.18 アップル拡張スキーマ オープンディレクトリ名、 RFC/ クラス LDAP 属性名 OID Active Directory RecordName、 RFC 2256 cn 2.5.4.3 RFC 規格 DNSDomain、 apple-dns-domain 1.3.6.1.4.1.63.1000.1.1.1.18.1 アップル拡張スキーマ apple-dns-nameserver 1.3.6.1.4.1.63.1000.1.1.1.18.2 アップル拡張スキーマ アップル登録 プラグイン Locations の属性のマッピング アップル登録 DNSNameServer、 アップル登録 プラグイン オープンディレクトリの標準のレコードタイプと属性 オープンディ レクトリドメイン内の 標準の属性とレコード タイプについては、以下を 参照してくだ さい: • 217 ページの「ユーザレコード内の標準属性 」 • 222 ページの「グループレコード内の標準属性」 • 223 ページの「コンピュータレコード内の標準属性」 216 付録 Mac OS X のディレクトリデータ • 224 ページの「コンピュータリストレコード内の標準属性」 • 224 ページの「マウントレコード内の標準属性」 • 225 ページの「設定レコード内の標準属性」 標準のレコードタイプと属性の完全なリストについては、次のファイルを参照してください: / システム / ライブラリ /Frameworks/DirectoryService.framework/Headers/DirServicesConst.h ユーザレコード内の標準属性 次の表に、オープンディレクトリのユーザレコード内にある標準属性を示します。この情報は、 「ワー クグループマネージャ」のインスペクタパネルで作業するときや、「ディレクトリアクセス」でユー ザレコードの属性をマップするときに使用します。 重要:Mac OS X ユーザ属性を読み出し/書き込み LDAP ディレクトリドメイン(読み出し専用では ない LDAP ドメイン)にマップするときは、同じ LDAP 属性に RealName および最初の RecordName 属性をマップしないでください。たとえば、cn 属性に RealName と RecordName の両方をマップ しないでください。RealName および RecordName を同じ LDAP 属性にマップすると、「ワークグ ループマネ ージャ」でフルネーム(ロン グネーム)や最初のショ ートネームを編集しよ うとすると 問題が発生します。 Mac OS X ユーザ属性 フォーマット RecordName: 最初の値: A ∼ Z、 a ∼ z 、0 ∼ 9、 Dave 値の例 ユーザに 関連付けられ た名前のリス _ 、- で構成される ASCII 文字 ト。最初はユーザ名で、ユーザのホー 2 番目の値: UTF-8 のローマ字 David Mac DMacSmith ムディレクトリの名前でもあります 長さを 0 にはできません。1 ∼ 16 の 数値です。イン スタンスごとの最大 重要: 認証に使われ るすべての属性 長は 255 バイト(85 の 3 バイト文 字∼ 255 の 1 バイト文字)です。最 は、RecordName にマップする必要 があります。 初の値は、「Macintosh マネージャ」 を使用するクライアントの場合は 1 ∼ 30 バイトで、Mac OS X v 10.1 以 前を 使用 す るク ライ ア ント の場 合は 1 ∼ 8 バイトにする必要があり ます。 RealName : UTF-8 テキスト David L. MacSmith, Jr. 長さを 0 にはできません。最大長は 255 バイト(85 の 3 バイト文字∼ 単 一 の名 前。通 常 は ユー ザ の フル ネーム。認証には使用されません 255 の 1 バイト文字)です。 UniqueID: 0 ∼ 9 の数字で構成される符号付き 500 より小さい値には、特別な意味 がある場合があります。 100 より小 一意のユーザ ID。アクセス権の管理 32 ビット ASCII 文字列 に使用されます さい値はシス テムアカウントで使用 されます。 0 はシステム用に予約さ れています。通 常はユーザ全体の中 で一意です が、重複することもあり ます。 警告:整数以外の 数は、0 と解釈さ れます。0 は、ルートユーザの UniqueID です。 付録 Mac OS X のディレクトリデータ 217 Mac OS X ユーザ属性 フォーマット PrimaryGroupID : 0 ∼ 9 の数字で構成される符号付き 範囲は 1 ∼ 2,147,483,648 です。 32 ビット ASCII 文字列 通常は、グルー プレコード全体の中 ユーザのプライマリグループ関係 値の例 で一意です。空欄の場合、20 が想定 されます。 NFSHomeDirectory: UTF-8 テキスト ユーザの ホームディレ クトリを指す ローカルファイルシステムのパス /Network/Servers/example/ Users/K-M/Tom King 長さを 0 にはできません。最大長は 255 バイトです。 HomeDirectory: UTF-8 XML テキスト AFP ベースのホームディレクトリの 場所 <home_dir> <url>afp://server/sharept</url> <path>usershomedir</path> </home_dir> 次の例では、Tom King のホームディ レクトリは K-M/Tom King です。こ れは共 有ポイント ディレクトリ 「Users」の下にあります: <home_dir> <url>afp://example.com/ Users</url> <path>K-M/Tom King</path> </home_dir> HomeDirectoryQuota : 許可されるバイト数のテキスト ユーザの ホームディレ クトリに対す ます。 るディスク・クオータ MailAttribute: UTF-8 XML テキスト ユーザのメールサービス設定 PrintServiceUserData : UTF-8 XML plist 、単一値 ユーザのプリントクオータの統計 MCXFlags : UTF-8 XML plist 、単一値 指定されている場合は、 MCXSettings が読み込まれます。 指定されていない場合は、 MCXSettings は読 み込まれ ません。 管理されたユーザの場合は必須。 MCXSettings : UTF-8 XML plist 、多値 ユーザの管理された環境設定 AdminLimits: UTF-8 XML plist 、単一値 「ワークグループマネージャ」によっ てディレ クトリドメイ ンを管理でき るユーザに許可される権限 Password: UNIX crypt ユーザのパスワード 218 付録 クオータが 10MB の場合、この値は テキ スト文字 列「1048576」になり Mac OS X のディレクトリデータ Mac OS X ユーザ属性 フォーマット 値の例 Picture: UTF-8 テキスト 最大長は 255 バイトです。 UTF-8 テキスト John is in charge of product marketing. ユーザの 表示ピクチャ として使用さ れる、認識 済みのグラ フィックファ イルを指すファイルパス Comment: 任意の形式のコメント 最大長は 32,676 バイトです。 UserShell: パス名 サーバで 使用するコマ ンドライン操 作のデフォルトのシェルの位置 /bin/tcsh /bin/sh None(この 値が 指定さ れて いる場 合、ディレクト リドメインにアカウ ントを持つ ユーザは、コマンドライ ンを使ってサ ーバにリモートアクセ スできません) 長さを 0 にはできません。 Change : 数値 Mac OS X では使われませんが、標準 LDAP スキーマの一部に対応します Expire: 数値 Mac OS X では使われませんが、標準 LDAP スキーマの一部に対応します AuthenticationAuthority: ASCII テキスト 値はユーザの認証方法を示します。 オープ ンディレク トリ、シャドウパ 複数の値を 持つことができます(た スワ ード、暗 号化 パス ワー ドな ど、 ユーザ の認証方法 を記述します。暗 とえば、;ApplePasswordServer; と ;Kerberosv5;)。 号化パス ワードのみを 持つユーザに は必要 ありません。こ の属性が指定 それぞれの値のフォーマットは、 vers; tag; data( vers および data は されていない場合は、従来の認証(使 用 可 能 な 場 合は、「Authentication Manager 」による暗号化)を意味し 空白でもかまいません)です。 ます。 暗号化パスワード: ;basic; オ ープ ンデ ィ レク トリ の パス ワー ド: ;ApplePasswordServer; HexID, サーバの公開鍵 IP アドレス : ポート ;Kerberosv5;Kerberos データ シャドウパスワード(ローカル・ディ レクトリドメインのみ): • ;ShadowHash; • ;ShadowHash;< 有効な認証方法の リスト > 付録 Mac OS X のディレクトリデータ 219 Mac OS X ユーザ属性 フォーマット 値の例 AuthenticationHint : UTF-8 テキスト Your guess is as good as mine. 最大長は 255 バイトです。 パスワー ドのヒントと して表示され る、ユーザが設定したテキスト FirstName : コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます LastName: コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます EMailAddress: RFC 822 の正式なメールアドレス ユーザに MailAttributeが定義されて いない ときに、自動的 にメールが転 送され るメールア ドレス。コンタク ト 検 索方 式 を 使 用す る「ア ド レス ブック」や「Mail」などのアプリケー ションで使用されます PhoneNumber : コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます AddressLine1: コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます PostalAddress: コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます PostalCode: コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます OrganizationName : コンタ クト検索方 式を使用する「ア ド レ スブ ッ ク」な ど のア プ リ ケー ションで使用されます 220 付録 Mac OS X のディレクトリデータ [email protected] Mac OS X Server が使用するユーザデータ 次の表に、Mac OS X Server がディレクトリドメイン内のユーザレコード からデータを使用する方 法を示します。 サーバのさまざまなサー ビスがディレクトリド メインのユーザレコー ド内で検索す る属性、つまり データ・タイプを判別 するには、この表を調 べてください。一番左の 列の「全サー ビス」には、AFP、SMB/CIFS、FTP、HTTP、NFS、WebDAV 、POP、IMAP 、 「ワークグループマネー ジャ」、 「サーバ管理」、Mac OS X ログインウインドウ、および「 Macintosh マネージャ」が含まれます。 サーバ コンポーネント 全サービス Mac OS X ユーザ属性 RecordName 全サービス RealName 認証の際に必要です 全サービス AuthenticationAuthority Kerberos、パスワードサーバ、およ 依存性 認証の際に必要です びシャドウパ スワード認証に使われ ます 全サービス Password 全サービス UniqueID 基本(暗号化パスワード)または LDAP バインド認証に使われます 権限を付与するときに必要です (ファイルのアクセス権やメール アカウントなど) 全サービス PrimaryGroupID FTP サービス HomeDirectory Web サービス NFSHomeDirectory 権限を付与するときに必要です (ファイルのアクセス権やメール アカウントなど) 省略可能 Apple ファイルサービス NFS サービス Macintosh マネージャ Mac OS X ログインウインドウ アプリケーションおよびシステム 環境設定 メールサービス MailAttribute サーバ上のメ ールサービスにログイ ンするときに必要です メールサービス EMailAddress 省略可能 付録 Mac OS X のディレクトリデータ 221 グループレコード内の標準属性 次の表 に、オープンデ ィレクト リのグルー プレコード 内にある標 準属性を示 します。この 情報は、 「ワークグループマネージャ」のインスペクタパネルで作業するときや、 「ディレクトリアクセス」で グループ属性をマップするときに使用します。 Mac OS X グループ属性 フォーマット RecordName: A ∼ Z、a ∼ z、 0 ∼ 9、_ で構成さ Science Science_Dept れる ASCII 文字 Science.Teachers グループに関連付けられた名前 値の例 長さを 0 にはできません。最大長は 255 バイト(85 の 3 バイト文字∼ 255 の 1 バイト文字)です。 RealName : UTF-8 テキスト Science Department Teachers 長さを 0 にはできません。最大長は 255 バイト(85 の 3 バイト文字∼ 通常はグループのフルネーム 255 の 1 バイト文字)です。 PrimaryGroupID : グループの一意の ID 0 ∼ 9 の数字で構成される符号付き 通常は、グルー プレコード全体の中 32 ビット ASCII 文字列 で一意です。 bsmith, jdoe A ∼ Z、a ∼ z、 0 9 _ ASCII ∼ 、 、 で構成される 文字 グ ルー プに 所 属す ると み なさ れる リストは空にすることができます GroupMembership: ユーザレコ ードのユーザ名(ショー (通常、ユーザのプライマリグループ トネーム)のリスト HomeDirectory: の場合は空です)。 構造化された UTF-8 テキスト グループの AFP ベースのホームディ レクトリの場所 <home_dir> <url>afp://server/sharept</url> <path>grouphomedir</path> </home_dir> 次の例では、Science グループのホー ムデ ィレクト リは K-M/Science で す。これは、共有 ポイントディレク トリ「Groups」の下にあります: <home_dir> <url>afp://example.com/ Groups</url> <path>K-M/Science</path> </home_dir> bsmith, jdoe A ∼ Z、a ∼ z、 GroupMembership と同じ データ。 0 ∼ 9、_、- で構成される ASCII 文字 リストは空にすることができます ただし、Mac OS X Server のさまざ (通常、ユーザのプライマリグループ Member: まなサービスで使われます HomeLocOwner: A ∼ Z、 a ∼ z、0 ∼ 9 、_、- で構成 グループのホ ームディレクトリを所 される ASCII 文字 有するユー ザのユーザ名(ショート ネーム) 222 付録 Mac OS X のディレクトリデータ の場合は空です)。 Mac OS X グループ属性 フォーマット MCXFlags : UTF-8 XML plist 、単一値 値の例 指定されている場合は、 MCXSettings が読み込まれます。 指定されていない場合は、 MCXSettings は読み込 まれません。 管理されたユーザの場合は必須 MCXSettings : UTF-8 XML plist 、多値 ワークグル ープ(管理されたグルー プ)の環境設定 コンピュータレコード内の標準属性 次の表に、オープンディレクトリのコンピュータレコード内にある標準属性を示します。コンピュー タレコードは、コンピュータのプライマリ Ehternet インターフェイスのハードウェア・アドレスを、 その コンピ ュータ の名前と 関連付 けます。こ の名前 は、コンピ ュータ リストレ コード の一部 です (ユーザがグループ内にあることとほとんど同じです)。この情報は、「ワークグループマネージャ」 のインスペクタパネルで作業するときや、「ディレクトリアクセス」でコンピュータレコードの属性 をマップするときに使用します。 Mac OS X コンピュータ属性 フォーマット 値の例 RecordName: UTF-8 テキスト iMac 1 コンピュータに関連付けられた名前 Comment: UTF-8 テキスト 任意の形式のコメント EnetAddress: コロンで区切った 16 進表記。 コンピュー タの Ethernet インター 桁あわせのゼロは省略可能 フェイスの MAC アドレス MCXFlags : 00:05:02:b7:b5:88 UTF-8 XML plist 、単一値 「ゲスト」コンピュータレコードでの み使用され ます。指定されている場 合は、MCXSettings が読み込まれま す。指定されていない場合は、 MCXSettings は読み込 まれません。 管理されたコンピュータの場合は 必須 MCXSettings : UTF-8 XML plist 、多値 「ゲスト」コンピュータレコード内で のみ使用さ れます。管理されたコン ピュータの環境設定 付録 Mac OS X のディレクトリデータ 223 コンピュータリストレコード内の標準属性 次の表に、オープンディレクトリのコンピュータ・リスト・レコード内にある標準属性を示します。 コンピュー タリストレコードは、コン ピュータのグループを 識別します(グループレコ ードがユー ザの集まりを識別するのとほとんど同じです)。この情報は、「ワークグループマネージャ」のイン スペクタパネルで作業するときや、「ディレクトリアクセス」でコンピュータ・リスト・レコードの 属性をマップするときに使用します。 Mac OS X コンピュータリスト属性 フォーマット 値の例 RecordName: UTF-8 テキスト Lab Computers 長さを 0 にはできません。最大長は 255 バイト(85 の 3 バイト文字∼ コンピュータ リストに関連付けられ た名前 255 の 1 バイト文字)です。 MCXFlags UTF-8 XML plist 、単一値 MCXSettings : UTF-8 XML plist 、多値 管理されたコ ンピュータの環境設定 を保存します Computers コンピュータレコード名の多値 iMac 1, iMac 2 リスト Group グループのユーザ名(シ ョートネー herbivores,omnivores メンバーがこ のコンピュータリスト にあるコンピ ュータにログインでき ム)の多値リスト るグループのリスト マウントレコード内の標準属性 次の表 に、オープンデ ィレクト リのマウン トレコード 内にある標 準属性を示 します。この 情報は、 「ワークグループマネージャ」のインスペクタパネルで作業するときや、 「ディレクトリアクセス」で マウントレコードの属性をマップするときに使用します。 Mac OS X マウント属性 フォーマット 値の例 RecordName: UTF-8 テキスト hostname:/ サーバ上のパス indigo:/Volumes/home2 共有ポイントのホストとパス VFSLinkDir UTF-8 テキスト / ネットワーク /Servers ASCII テキスト AFP の場合: url クライアント上のマウント用のパス VFSType NFS の場合: nfs 224 付録 Mac OS X のディレクトリデータ Mac OS X マウント属性 VFSOpts フォーマット 値の例 UTF-8 テキスト AFP の場合(2 つの値): net url==afp:// ;AUTH=NO%20USER%20 AUTHENT@server/sharepoint/ NFS の場合: net VFSDumpFreq VFSPassNo 設定レコード内の標準属性 次の表に、オープンディレクトリの次の 2 つのタイプの設定レコード内にある標準属性を示します: • mcx_cache レコードには、常に mcx_cache の RecordName があります。また、キャッシュを更新 するかサーバ設定を無視するかを決定するときにも、 RealName および DataStamp を使用しま す。クライアントを管理する場合は、mcx_cache 設定レコードが必要です。 • passwordserver レコードには、追加属性 PasswordServerLocation があります。 この情報は、「ワ ークグループマネー ジャ」のインスペクタパ ネルで作業するとき や、 「ディレクト リアクセス」で設定レコード属性をマップするときに使用します。 Mac OS X 設定属性 フォーマット 値の例 RecordName: A ∼ Z、a ∼ z、0 ∼ 9 、_ 、-、. で 構成される ASCII 文字列 mcx_cache 設定に関連付けられた名前 passwordserver 長さを 0 にはできません。最大長は 255 バイト(85 の 3 バイト文字∼ 255 の 1 バイト文字)です。 PasswordServerLocation: IP アドレスまたはホスト名 192.168.1.90 ディレクトリ ドメインに関連付けら れたパスワー ドサーバのホストを識 別します RealName mcx_cache 設定レコードの場合、 RealName は GUID DataStamp mcx_cache 設定レコードの場合、 DataStamp は GUID 付録 Mac OS X のディレクトリデータ 225 用語集 用語集 Active Directory Microsoft Windows 2000 Server および Windows Server 2003 のディレクトリ 認証サービス。 AFP Apple Filing Protocol の略語。Macintosh 互換のコンピュータの Apple ファイルサービスが ファイルおよびネットワークサービスの共有に使用するクライアント/サーバ型のプロトコル。AFP は、TCP/IP とその他のプロトコルを使って、 ネットワークのコンピュータ間で通信します。 BSD Berkeley System Distribution の略語。Mac OS X ソフトウェアのベースとなっている UNIX のバージョン。 CIFS Common Internet File System の略語。「SMB/CIFS」を参照してください。 DHCP Dynamic Host Configuration Protocol の略語。クライアントコンピュータに IP アドレスを 動的に割り当てるためのプロトコル。クライアントコンピュータが起動するたびに、DHCP は DHCP サーバを検索し、見つかった DHCP サーバに IP アドレスを要求します。DHCP サーバは、使用可能 な IP アドレスを調べ、これをリース期間に合わせてクライアントコンピュータに送ります。リース 期間とは、クライアントコンピュータがアドレスを使用できる期間のことです。 FTP File Transfer Protocol の略語。コンピュータがネットワーク経由でファイルを転送する際に使 用するプロトコル。FTP をサポートするオペレーティングシステムを使っている FTP クライアント は、各自のアク セス権に応じて、ファイ ルサーバに接続し、フ ァイルをダウンロー ドできます。ほ とんどのインターネットブラウザおよび多数のフリーウェア・アプリケーションを使って、FTP サー バにアクセスできます。 IP Internet Protocol の略語。IPv4 とも呼ばれます。ローカルネットワークまたはインターネット を経由してコンピュータ間でデータを送受信するために、TCP(Transmission Control Protocol)と 共に使用される方式。IP がデータパケットを実際に配送するのに対し、 TCP はデータパケットを管 理します。 IP アドレス インターネット上のコンピュータを識別するために使われる、数字で構成される一意の アドレス。 KDC Kerberos Key Distribution Center の略語。 Kerberos チケットを発行する信頼されたサーバ。 227 Kerberos 安全性の高いネットワーク認証システム。 Kerberos では、チケットが使用されます。チ ケットは、特定のユーザ、サービス、および期間に発行されます。Kerberos によって認証されたユー ザは、Kerberos チケットを受け取るように設定されているサービスには、パスワードを再度入力し なくてもアクセスできます(シングルサインオンと呼ばれます)。Mac OS X Server では、Kerberos v5 が使用されます。 Kerberos 保護領域 同じ Kerberos サーバに登録されているユーザとサービスから成る認証ドメイ ン。登録されたサービスとユーザは、Kerberos サーバを信頼して互いの識別情報を検証します。 LDAP Lightweight Directory Access Protocol の略語。ディレクトリドメインにアクセスするため の標準規格のクライアント/サーバ型のプロトコル。 Mac OS X ア ップルのオペレーテ ィングシステムの最 新バージョン。Mac OS X で は、Macintosh の操作性に UNIX の信頼性が追加されています。 Mac OS X Server 簡単な設定だけで Mac 、Windows、UNIX、および Linux クライアントに対応す る、業務用のサ ーバプラットフォーム。拡 張可能なワークグルー プサービスとネットワ ークサービ スや、高度なリモート管理ツールが用意されています。 NetInfo アップルのプロトコルの 1 つ。ディレクトリドメインにアクセスするときに使います。 SLP DA Service Location Protocol Directory Agent の略 語。利用できるサービスをネットワーク に登録して、ユ ーザが簡単にアクセス できるようにするため のプロトコル。あるサービ スをネット ワークに追加すると、そのサービスは SLP によって自動的にネットワークに登録されます。SLP/DA では、リポジトリを使用して、登録済みネットワークサービスを集中的に管理しています。 SMB/CIFS Server Message Block/Common Internet File System の略語。クライアントコンピュー タがファイルやネットワークサービスにアクセスするときに使用するプロトコル。TCP/IP、インター ネット、およびその他のネットワークプロトコ ルで使用できます。Windows サービスでは、SMB/ CIFS を使って、サーバ、プリンタ、およびその他のネットワークリソースへのアクセスを提供します。 SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するため のインターネットプロトコル。新しいバージョンの SSL は TLS(Transport Level Security)として 知られています。 WebDAV Web-based Distributed Authoring and Versioning の略語。サイトが稼働中でもクライ アントユーザが Web ページをチェックアウトし、変更を加え、チェックインして戻すことができる ライブオーサリング環境。 WebDAV 保護領域 WebDAV ユーザおよびグループがアクセスできるように定義された、Web サ イト内の領域。通常は、フォルダまたはディレクトリです。 暗号化パスワード パスワードの一種で、 ハッシュ(UNIX 標準の暗号化アルゴリズム)としてユー ザレコードに直接保管されます。 エントリー ウェブログに投稿される(通常は短い)記事。読者はエントリーにコメントを追加でき ますが、エントリーに関連する内容はウェブログのオーナーだけが変更できます。LDAP ディレクト リでは、一意の識別名を持つ一連の属性(データ項目)を指します。 228 用語集 オーナー 項目のオーナーは、その項目のアクセス権を変更できます。オーナーは、自分がメンバー になっているグループのグループエントリーを変更することもできます。デフォルトでは、オーナー には読み出し/書き込み権があります。 オープンソース インターネットコミュニティがソフトウェアを協調開発することを指す用語。コー ドを作成して デバッグするときにで きるだけ多くの開発者 が関わることが、基本方針 となっていま す。そのために、ソ ースコードを公開し、修 正や拡張を提出する 開発者のコミュニティ ができるだ け大きくなるように運営されます。 オープンディレクトリ LDAP、NetInfo 、または Active Directory プロトコルを使用するディレクト リドメイン内のユーザおよびネットワークリソースのアクセス権情報、 BSD 設定ファイル、および ネットワークサービスにアクセスするための、アップルのディレクトリサービスのアーキテクチャ。 オープンディレクトリのパスワード サ ーバ上の安全なデータ ベースに保管されてい るパスワード。 このパスワードの認証には、オープンディレクトリ・パスワード・サーバまたは Kerberos( Kerberos を利用できる場合)を使用できます。 オープンディレクトリのマスター LDAP ディレクトリサービス、 Kerberos 認証サービス、および オープンディレクトリ・パスワード・サーバを提供するサーバ。 1 つ。パス ワ ー ド の 検証 に は、 Mac OS X Server の 各サービスから要求されるさまざまな認証方法が そのまま使用されます。認証 方法には、APOP、CRAM-MD5、DHX、LAN Manager、NTLMv1、NTLMv2、および WebDAV-Digest オープンディレクトリ・パスワード・サーバ 認証 サ ー ビ スの があります。 オブジェクトクラス デ ィレクトリ ドメイン 内の類似し たオブジェ クトを定義 するため の、一連の ルール。すべて のオブジェクトに必要 な属性と、オブジェクトご とに任意に設定できる 属性を指定 します。 親 共有ディレクトリドメインから別のコンピュータに設定情報を提供するコンピュータ。 管理された環境設定 管 理者によっ て制御され るシステム 環境設定ま たはアプリ ケーション 環境設 定。管理者は、「ワークグループマネージャ」を使用して、 Mac OS X の管理対象のクライアントの 特定のシステム環境設定を制御できます。 管理者 サーバまたはディレクトリドメインの管理権限を持つユーザ。管理者は常に、あらかじめ定 義されている「admin」グループのメンバーです。 管理用コンピュータ 「 Mac OS X Server Admin」CD からサーバ管理アプリケーションをインストー ルした Mac OS X コンピュータ。 管理対象のクライアント ア クセス権 や環境設定 が管理者 によって制 御されて いるユー ザ、グルー プ、またはコンピュータ。 用語集 229 共有ポイント ネットワークを介してアクセスできるフォルダ、ハードディスク(またはハードディ スクのパーティション)、または CD 。共有ポイントは、共有項目のグループの最上位レベルのアク セスポイントになります。AFP、Windows SMB、NFS(「エクスポート」)、または FTP プロトコル を使用して共有できます。 クラス 「オブジェクトクラス」を参照してください。 クラッカー コン ピュータシステムに認証されて いないアクセスをしようとする悪 意のあるユーザ。 コンピュータまたはネットワークを混乱させたり、情報を不正に取得することを目的としています。 「ハッカー」と比較してください。 グループ 類似する必要条件を持つユーザの集まり。グループを使用すると、共有リソースの管理を 簡素化できます。 グループフォルダ グループメンバーに特に関係のある書類やアプリケーションをまとめ、メンバー 間で情報の受け渡しをするためのディレクトリ。 ゲストユーザ ユーザ名またはパスワードを入力せずにサーバにログインできるユーザ。 権限の付与 特定のリソースへのアクセスをユーザに許可するかどうか、およびそのユーザにどの程 度のアクセ ス権を許可するかを決 定する処理。通常は、認証処理 がユーザの識別情報を 証明した後 に実行され ます。たとえば、ファイルサ ービスは、フォルダとフ ァイルを所有している ユーザが認 証されたときに、それらのリソースへのすべてのアクセス権を付与します。 検索パス 「検索方式」を参照してください。 検索ベース LDAP ディレクトリのエントリー階層のどこから情報検索を開始するかを識別するため の識別名。 検索方式 Mac OS X コンピュータで設定情報が必要なときに検索するディレクトリドメインのリス ト、およびドメインの検索順序。検索パスとも呼ばれます。 子 設定情報を親の共有ディレクトリドメインから取得するコンピュータ。 コンピュータアカウント 「コンピュータリスト 」を参照してください。 コンピュータリスト 同じ環境設定を持ち、同じユーザおよびグループから利用できるコンピュータ のリスト。 識別名 LDAP ディ レクトリ内 のエントリ ー(オブジェクト)を 指定します。デ ィレクトリ エント リーはカン マで区切って指定しま す。最初にエントリー自体 を指定してから、その下位 にあるエン トリーを順番に指定していきます。例:“cn=users, dc=example, dc=com” シャドウパスワード サ ーバ上の安全 なファイルに 保管されるパ スワード。Mac OS X Server の各 サービスから要求される、既存のさまざまなネットワークユーザ認証方法を使って認証されます。認 証方法には、APOP、 CRAM-MD5、 DHX 、LAN Manager、 NTLMv1、 NTLMv2、および WebDAV- Digest があります。 230 用語集 ショートネーム ユーザの簡略名。 「ユーザ名」と画面では表示されることがあります。Mac OS X で は、ショートネームは、ホームディレクトリ、認証、およびメールアドレスに使用されます。 シングルサインオン 認証方式の 1 つで、ネットワークサービス単位にユーザ名とパスワードを入力 する操作から、ユーザを解 放します。Mac OS X Server では、シングルサイ ンオンを有効にするた めに、Kerberos が使用されます。 信頼されたバインド コンピュータとディレクトリドメインの間で相互に認証されている接続。コン ピュータは自 分の識別情報を証明す るための資格情報を渡 し、ディレクトリドメイン は自分の認証 を証明するための資格情報を渡します。 スキーマ ディレクトリドメインに保管できる情報を定義するために、属性とレコードタイプ(クラ ス)構造を記述したもの。 スタンドアロンサーバ ネットワーク上にサービスを提供するけれども、ほかのサーバからディレク トリ サービス を取得 したり、ほ かのコ ンピュー タにデ ィレクト リサー ビスを 提供する ことが ない サーバ。 属性 特定の種類の情報が含まれ、ディレクトリドメインの特定のエントリー(レコードまたはオブ ジェクト)に属 している、名前付きの データ項目。属性には、実 際のデータとして、属 性値が設定 されます。 チケット、Kerberos Kerberos クライアントの識別情報をサービスに証明するための一時的な資格 情報。 ディレクトリサービス ディレクトリドメインや、ユーザやリソースに関するその他の情報ソースへ のアクセスを、システムソフトウェアおよびアプリケーションに統合的に提供するサービス。 ディレクトリドメイン ユ ーザ およ びネ ット ワー クリ ソース のア クセ ス権 情報 を保 存す る特 殊な データベー ス。この情報は、システムソ フトウェアやアプリケ ーションで使用され ます。このデー タベースは、多 数の要求を処理し、情報を すばやく検索および取 得できるように最適化 されていま す。ディレクトリノードまたは単にディレクトリとも呼ばれます。 ディレクトリドメイン階層 ローカル・ディレクトリドメインと共有ディレクトリドメインの編成方 法の 1 つ。階層は逆ツリー構造になっていて、ルートドメインが最上位にあり、ローカルドメイン が最下位にあります。 ディレクトリノード 「ディレクトリドメイン 」を参照してください。 認証 ユーザの識別情報を提供する処理。通常は、ユーザ名とパスワードを検証します。通常は、権 限の付与処理がリソースに対するユーザのアクセスレベルを決定する前に実行されます。たとえば、 ファイルサ ービスは、フォルダとファ イルを所有しているユ ーザが認証されたとき に、それらのリ ソースへのすべてのアクセス権を付与します。 認証局属性 ユーザに指定されたパスワード検証方法を識別する値。必要に応じて、それ以外の情報 も含まれます。 用語集 231 バインド (名詞)コ ンピュータとディレクトリ ドメインとの関連付け。識別 情報、承認、およびそ の他の管理 データを取得するた めに行われます。 (動詞)その ような関連付けを行 う処理。 「信頼さ れたバインド」も参照してください。 パスワード ユーザの識別情報を認証したり、ファイルまたはサービスへのアクセスを承認するため に使用される英数文字列。 パスワードサーバ 「オープンディレクトリ・ パスワード・サーバ」を参照してください。 ハッカー プログラミングが趣味で、新しい機能のプログラミングやコンピュータシステムの機能の 拡張を追究する人のこと。「クラッカー」も参照してください。 ハッシュ(名詞) 盗聴できないように暗号化された形式のパスワードまたはその他のテキスト。 プライマリグループ ユーザのデフォルトグループ。ユーザが自分が所有していないファイルにアク セスするとき、ファイルシステムはプライマリグループの ID を使用します。 プライマリグループ ID プライマリグループを識別する一意の番号。 プリンシパル、Kerberos Kerberos がクライアントまたはサービスを認証するために必要な、それ らの 識別名 などの 識別情 報。ユーザ プリン シパル は通常、ユ ーザの 名前、また はユー ザの名 前と Kerberos 保護領域の組み合わせです。サービスのプリンシパルは通常、サービスの名前、サーバの 完全修飾 DNS 名、および Kerberos 保護領域の組み合わせです。 プロトコル 2 つのア プリ ケーシ ョンの 間で どのよ うに データ を送受 信す るかを 定義し た一 連の ルール。 ホームディレクトリ ユーザが個人的に使用するためのフォルダ。 Mac OS X ユーザのシステム環境 設定や管理されたユーザ設定を保管するためなどに Mac OS X がホームディレクトリを使用するこ ともあります。 マルチキャスト DNS IP ネ ットワーク上のコンピュータ、装置、およびサー ビスを自動的に検出す るための、アッ プルが開発したプロ トコル。このインターネッ トプロトコルは、標準化 が企画され ており、「ZeroConf」、「ゼロコンフ」などと呼ばれることもあります。詳しくは、 www.apple.com/jp または www.zeroconf.org を参照してください。 Mac OS X Server でこのプロ トコルを使用する方法については、「ローカルホスト名」を参照してください。 身分証明書 特別な Kerberos チケットで、クライアントはこのチケットを使って、その保護領域内 のサービス のチケットを取得でき ます。クライアントが身分 証明書を取得するには、識 別情報を証 明する必要があります。たとえば、有効な名前とパスワードをログインするときに入力します。 ユーザ名 ユー ザのロングネームまたはシ ョートネーム。 「ユーザの名前」と も呼ばれ、画面で「名 前」と表示されるユーザ名は、たいていユーザのロングネームです。ユーザのロングネームには、リ アルネーム (実名)を使用すること があります。画面で「ユー ザ名」と表示されるの は、たいてい ショートネームのことです。 ローカルドメイン 所属するコンピュータだけがアクセスできるディレクトリドメイン。 232 用語集 ローカルホスト名 ローカルサブネットでコンピュータを指定するための名前。 グローバル DNS シ ステムなしで使用して名前と IP アドレスを解決できます。小文字、数値、またはハイフン(最後の 文 字 と し て は 使 用 で き ま せ ん)で 構 成 さ れ、最 後 は「.local 」に な り ま す(た と え ば、billscomputer.local)。この名前はデフォルトでコンピュータ名から取られますが、ユーザは「システム 環境設定」の「ネッ トワーク」パネルでこ の名前を指定できま す。この名前は簡単に変 更すること ができ、DNS 名または完全修飾ドメイン名を使用しているところであればどこででも使用できます。 この名前は、この名前を使用するコンピュータと同じサブネットでのみ解決できます。 ロングネーム 長い形式のユーザ名またはグループ名。「ユーザ名」も参照してください。 用語集 233 索引 索引 A D ACL 属性 200 Active Directory DHCP DHCP クライアント用の LDAP サーバ 37, 114, 117, 118 NetInfo バインディング 114, 117, 154 Option 95 37 移行された LDAP ディレクトリと∼ 92 オープンディレクトリの複製と∼ 78 自動検索方式と∼ 37, 114 ディレクトリサービスのセキュリティ 117 DHCP Option 95 37 DHX による認証 41, 50 Digest-MD5 による認証 50 DNS(Domain Name System) Bonjour 26 Kerberos と∼ 75, 81, 169 ∼からバインドを解除する 149 ∼の管理者グループ 147 ∼への LDAPv3 のアクセス 149 ∼へのアクセスを設定する 141 Kerberos 63 UID マッピング 145 UNIX シェル 145 アカウントを編集する 149 グループ GID のマッピング 146 検索方式と∼ 142, 150 サービスを有効にする/無効にする 110 資格情報のキャッシュ 143 バインディング 141 フォレスト 140 複製 140 プライマリ GID のマッピング 146 プラグイン 139 ホームフォルダ 143 モバイルアカウント 143 問題を解決する 172 優先するサーバ 147 APOP による認証 50 AppleTalk サービス検出プロトコル 26 サービス検出を有効にする/無効にする 111 Authentication Manager 54, 90, 107 B Berkeley DB 11 Bonjour 26, 112 BSD 設定ファイル サービスを有効にする/無効にする 111 使用する 151 データを格納する 152 歴史 21 C CIFS →「SMB/CIFS」を参照 CRAM-MD5 による認証 50 K kadmin ログ 160 KDC →「Kerberos」を参照 kdc ログ 160 Kerberos ∼とスマートカード 47 Active Directory 63, 141, 142 DNS と∼ 75, 81 ∼をサポートするサービス 48, 81 LDAP 暗号化 88, 129 LDAP デジタル署名 87, 129 Man-in-the-Middle 攻撃をブロックする 88, 129 アーカイブから復元する 168 委任された権限 83, 85, 174 オープンディレクトリのマスター 82 起動する 82 時間の同期 50, 173 使用する 48 セキュリティ 47 接続する 83, 174 設定する 81 説明 45 相互保護領域 64 チケット 49 停止する 169 235 展開の障壁 46 自動検索方式と∼ 37 認証機関 43 手動で設定する 122 認証プロセス 49 使用するポート 66 パスワード方式 44, 49, 99, 100 信頼されたバインディング 118, 129, 132, 133 複数の保護領域 63 スキーマ拡張 178 複製 61 セキュリティ 117, 128 プリンシパル 48 接続設定を変更する 127 身分証明書 49 設定を隠す 119 保護領域 48, 76, 83 設定を表示する 119 問題の解決 173 相対識別名 29 問題を解決する 173, 174 属性 185 有効にする 99 ディレクトリアクセス制御(DAC) 163 ユーザに対して有効にする 99 ディレクトリ・サービス・プロトコル 25 Kerberos に対応しているサービス 48 Kerberos 保護領域に接続する 85, 174 ディレクトリにアクセスする 120, 122 データベースの場所 88 データを格納する 138 L デジタル署名された∼ 87, 129 認証 129, 135, 136 LAN Manager による認証 50 LDAP 236 開く/閉じるのタイムアウト 133 →「ディレクトリドメイン」も参照 複製 61 DHCP から提供される∼ 117, 118, 132 LDAPv2 の強制 135 ∼にバインドする 37, 54 ∼による Active Directory のアクセス 149 Mail やアドレスブックでディレクトリにアクセスす る 118 Man-in-the-Middle 攻撃をブロックする 88, 129 NetInfo から移行する 90 RFC 2307 137 SSL 89, 124, 127 アーカイブから復元する 168 アーカイブする 167 アイドルタイムアウト 134 アクセス設定を削除する 126 アクセス設定を複製する 125 アクセスの設定を変更する 124 アップル以外 137 暗号化された∼ 88, 129 エントリー 28 オブジェクトおよび属性をマップする 129 オブジェクトクラス 28, 178 共有ドメイン 36 クエリータイムアウト 134 クライアントを NetInfo から切り替える 92 クリア・テキスト・パスワード 87, 129 検索結果を制限する 88 検索タイムアウト 89 検索範囲 29 検索ベース 29 検索方式と∼ 122, 123, 126 構造 29 サーバからのマッピング 131 サーバの紹介 135 サービスを有効にする/無効にする 111 再バインド試行の待ち時間 134 識別名 29 ポート設定 127 索引 読み出し専用 138 ログ 160 LDAP の検索結果を制限する 88 LDAP バインド認証 54, 104 Lightweight Directory Access Protocol(LDAP) →「LDAP 」を参照 lookupd ログ 160 M Mac OS X Server ∼で使用されるデータ項目 221 管理用アプリケーション 67 共有ディレクトリドメイン 31 新機能 12 Mail LDAP ディレクトリアクセス 118 Man-in-the-Middle 攻撃 88, 129 MS-CHAPv2 による認証 50, 51, 81, 171 N NAT ルーター , オープンディレクトリと∼ 63 NetInfo →「ディレクトリドメイン」も参照 LDAP に移行する 90 下位層 153 共有ドメイン 36 クライアントを LDAP に切り替える 92 サービスを有効にする/無効にする 112 上位層 153 セキュリティ 117 ディレクトリ・サービス・プロトコル 25 ドメインを無効にする 90, 92 バインディング 117, 153 ポート設定 156 ログ 160 NetInfo マネージャ 69, 155, 156 NIS にアクセスする 151 NTLMv2 による認証 51, 80 NTLM による認証 50 NT による認証 50 X O アドレスブック OpenLDAP 11 R RealName, LDAP 属性にマップする 130 RecordName, LDAP 属性にマップする 130 RFC 2252 178 RFC 2307 137, 178 RFC 2798 178 S SASL(Simple Authentication and Security Layer) 50 slapconfig.lock 170 slapconfig ログ 160 SLP(Service Location Protocol) 26, 112 SMB/CIFS Windows プロトコル 26 サービスの検出を設定する 113 SMB-LAN Manager による認証 50 SMB-NT による認証 50 SSH 制限する 158 SSL LDAPv3 ディレクトリアクセス 124, 127 オープンディレクトリ・サービス 89 T time-to-live オブジェクトクラス 179 time-to-live 属性 185 xml plist 属性 196 あ アーカイブ , オープンディレクトリのマスター 167 アイドルタイムアウト , LDAP 134 LDAP ディレクトリアクセス 118 暗号化 LDAP 89 パスワード 43, 51 暗号化パスワード 41, 97, 105 問題の解決 174 い 移行 NetInfo から LDAP 90 委任された Kerberos 権限 81, 83, 85, 174 インスペクタ ∼を使って DAC を設定する 163 ∼を使ってレコードを削除する 163 隠す 162 表示する 161 ユーザ名(ショートネーム)を使って変更する 162 え エントリー , LDAP 28 お オープンディレクトリ →「ディレクトリサービス」、「オープンディレクトリの マスター」 、 「オープンディレクトリの複製」も参照 NAT ルーターと∼ 63 UNIX システムとの比較 23 UNIX の特性を継承 21 アクセス権と∼ 24 U アップル以外のドメインを検索する 32 UID マッピング , Active Directory 145 UNIX BSD 設定ファイル 151 オープンディレクトリとの比較 21 シェルの属性 , Active Directory 145 設定ファイル 22 ∼の使用 24–25 V VPN による認証 51, 81, 171 W WebDAV-Digest による認証 50 Windows サービス SMB/CIFS を経由して検出する 113 認証 11, 51, 80 Windows ワークグループを変更する 113 WINS を設定する 113 索引 ∼内に格納されている情報 26 監視する 160 管理者権限 103 管理対象ネットワーク表示 25 管理対象のクライアントデータと∼ 25 クオータと∼ 25 グループレコードと∼ 25 計画する 57 検索方式 33 サービスの検出と∼ 26 自動マウント共有ポイントと∼ 25 情報の管理 24, 26 スキーマ 178 セキュリティ 65 設定 71 パフォーマンス 65 複製 120, 122 237 プロトコルを設定する 110 ホームディレクトリと∼ 25 説明 40 Active Directory のグループ 147 Kerberos 81 NetInfo 153 オープンディレクトリ 103 認証方法 51, 102 オープンディレクトリ・パスワード・サーバ 103 変更する 96 ∼のパスワード 104, 175 問題を解決する 171, 172 ディレクトリサービスのために選ぶ 73 メール設定と∼ 25 オープンディレクトリのパスワード オープンディレクトリの複製 ∼へのアクセスを制御する 157 パスワード方式 44, 99, 100 管理対象ネットワーク表示 25 Kerberos が停止する 169 監視する 160 状況のチェック 159 設定する 77, 170 説明 61 デコミッションする 166 パスワード方式 61 複数 79 き マスターからのフェイルオーバー 79 起動に時間がかかる 117, 170 マスターに昇格する 165 基本認証 41 オープンディレクトリのマスター Kerberos 82 Kerberos が停止する 169 アーカイブから復元する 168 アーカイブする 167 ∼へのアクセスを制御する 157 状況のチェック 159 シングルサインオン 82 設定する 75 説明 61 複製から昇格した∼ 165 複製へのフェイルオーバー 79 オープンディレクトリ・パスワード・サーバ アーカイブする 167 Windows 認証 11 アーカイブから復元する 168 管理する 75, 77 セキュリティ 52 設定する 75, 77 データベース 53 認証機関 43 パスワード方式 44, 99, 100 複製 61 オブジェクトクラス 28, 178 オフライン攻撃 42 か 管理データ →「ディレクトリドメイン」を参照 下位 NetInfo ドメイン 153 カスタム検索方式 赤色の項目 110, 111, 112 使用する 115, 117, 122, 123, 126, 150 セキュリティと∼ 117 説明 38 238 管理者 索引 管理対象のクライアント , アップル以外の LDAP マッピン グ 137 管理対象のクライアントデータ 25 管理用コンピュータ 67 関連グループ属性 200 関連グループのオブジェクトクラス 184 共有ディレクトリドメイン →「LDAP 」 、 「NetInfo 」も参照 管理する 75, 77 既存の共有ディレクトリドメインに接続する 80 情報の格納 31 く クエリータイムアウト , LDAP 134 クオータ , ユーザ設定 25 クリアテキストパスワード 50 グループ GID のマッピング , Active Directory 146 グループアカウント , Active Directory で変更する 149 グループ属性 190, 205, 222–223 グループのオブジェクトクラス 180 グループレコード 25, 205 グローバルパスワード方式 99 け 計画する 57 検索タイムアウト , LDAP 89 検索範囲 , LDAP 29, 129 検索ベース LDAP ディレクトリ 29, 76 ∼のオブジェクトクラス 129, 130 サーバに保存した検索ベースをマッピングする 131 サフィックス 121, 123, 124, 125 検索方式 Active Directory を追加する 142, 150 BSD ファイルを追加する 152 LDAP ディレクトリを追加する 122, 123, 126 NIS を追加する 151 カスタム 38, 115, 117, 122, 123, 126 自動 36 セキュリティと∼ 117 説明 33, 114 変更する 117 モバイルコンピュータ 117 ローカルディレクトリ 34, 116 モバイルコンピュータ 117 シャドウパスワード 設定する 98 説明 41 こ コマンドラインシェルの属性 , Active Directory 145 コンタクト検索方式 赤色の項目 110, 111, 112 認証機関 43 認証方法 52, 101 上位 NetInfo ドメイン 153 状況 カスタム 115, 117, 122, 123, 126, 150 オープンディレクトリの複製 159 自動 114 オープンディレクトリのマスター 159 説明 33, 114 冗長性 , オープンディレクトリ 65 ローカルディレクトリのみ 116 シングルサインオン コンテナのオブジェクトクラス 179 コンピュータ属性 194 コンピュータのオブジェクトクラス 181 コンピュータリスト属性 195, 224 →「Kerberos」も参照 Kerberos チケット 46 説明 44 信頼されたバインディング , LDAP 132, 133 コンピュータリストのオブジェクトクラス 182 コンピュータレコードの属性 223 す スキーマ さ サーバアシスタント 73 サーバアシスタント設定のオブジェクトクラス 184 サーバ管理 SSH アクセスの制御 158 オープンディレクトリのアクセス制御 157 Active Directory 139, 140, 145, 146 LDAP のマッピング 129 オープンディレクトリの拡張 178 属性 201 スタンドアロンサーバ 73 スマートカード認証 47 オープンディレクトリの状況 159 オープンディレクトリの複製 77, 165, 167 せ オープンディレクトリの複製の監視 160 セキュリティ オープンディレクトリのマスター 75 サービスアクセス制御リスト 40 DHCP から提供されるディレクトリサーバ 117 LDAP 接続 117, 128 NetInfo バインディング 117 オープンディレクトリ 65 サーバハードウェアの∼ 60 自動検索方式 117 認証方法 52, 53 パスワード 42 設定属性 196 設定のオブジェクトクラス 182 サービス拒否攻撃 88, 89 設定ファイル 既存のディレクトリドメインに接続する 80 使用 67 ディレクトリサービス情報 160 ログインウインドウへのアクセス制御 158 サーバ管理ガイド 15 サーバの紹介 , LDAP 135 サーバのセキュリティ 60 サービス URL 属性 196 サービス属性 199 →「BSD 設定ファイル」を参照 サービスのオブジェクトクラス 184 設定レコード , アップル以外の LDAP マッピング 137 サービスの検出 26, 110 設定レコード , 属性 225 再バインド試行の待ち時間 , LDAP 134 サフィックス , 検索ベース 76, 121, 123, 124, 125 そ 相対識別名(RDN ) 29 し 属性 資格情報のキャッシュ , Active Directory 143 →「特定の属性」も参照 時間、Kerberos 用に同期 50 ACL 200 Active Directory をマッピングする 145, 146 LDAP 185 LDAP をマップする 129 time-to-live 185 xml plist 196 関連グループ 200 グループ 190, 205, 222–223 識別名(DN ) 29 自動検索方式 →「検索方式」も参照 ∼で提供される LDAP マッピング 132 使用する 114 セキュリティと∼ 117 説明 36 索引 239 マウント 192, 206, 224–225 LDAPv3 の開く/閉じるのタイムアウト 133 LDAPv3 を有効にする/無効にする 112 LDAPv2 接続を強制する 135 NetInfo バインディングを設定する 154 NetInfo を有効にする/無効にする 112 NIS へのアクセス 151 RFC 2307 137 SLP を有効にする/無効にする 112 SMB/CIFS を設定する 113 SMB/CIFS を有効にする/無効にする 113 カスタム検索方式を定義する 115 検索方式 114–117 自動検索方式を定義する 115 使用 68 リモートサーバの設定 109 ローカルドメイン検索方式 116 ディレクトリアクセス制御(DAC) 163 マシン 191 ディレクトリサービス 個人 210 コンピュータ 194, 207, 223 コンピュータリスト 195, 208, 224 サービス 199 サービス URL 196 自動サーバ設定 216 スキーマ 201 設定 196, 209, 225 説明 28 追加する 131 認証機関 198 場所 198, 216 プリセットグループ 212 プリセットコンピュータリスト 212 プリセットユーザ 198, 213 プリンタ 193, 215 ユーザ 185, 202, 217–220 →「オープンディレクトリ」も参照 11 管理者 73 ち 計画する 72 チケット , Kerberos 49 状況 160 ツールの概要 67 て ディレクトリアクセスアプリケーション Active Directory の UID バインディング 145 Active Directory の UNIX シェルの属性 145 Active Directory の管理者グループ 148 Active Directory のグループ GID のマッピング 147 Active Directory のバインディング 141 Active Directory のバインド解除 149 Active Directory のプライマリ GID のマッピング 146 Active Directory の優先するサーバ 147 Active Directory フォレストまたはドメイン 148 Active Directory ホームフォルダ 144 Active Directory を有効にする/無効にする 110 AppleTalk を有効にする/無効にする 111 BSD へのアクセス 151 BSD を有効にする/無効にする 111 DHCP 経由の LDAP アクセス 119 LDAPv3 検索ベースとマッピング 130, 137 LDAPv3 サーバの紹介 135 LDAPv3 セキュリティオプション 128 LDAPv3 接続オプション 127 LDAPv3 接続を認証する 136 LDAPv3 設定を表示する/隠す 119 LDAPv3 による Active Directory 150 LDAPv3 のアイドルタイムアウト 134 LDAPv3 のクエリータイムアウト 134 LDAPv3 の再バインド試行の待ち時間 134 LDAPv3 の信頼されたバインディング 132, 133 LDAPv3 の設定を削除する 126 LDAPv3 の設定を追加する 120, 122 LDAPv3 の設定を複製する 125 LDAPv3 の設定を変更する 124 240 索引 ネットワークでの役割 20 利点 19 ログ 160 ディレクトリサービスとアクセス権 24 ディレクトリサービスと自動マウント 25 ディレクトリシステムへの接続 80 ディレクトリドメイン 計画する 57 整理 28 セキュリティ 60 ∼内に格納されている情報 20, 59 ∼のユーザアカウント 20 ∼への変更を簡素化する 59 要件 60 データベース Berkeley DB 11, 60 Kerberos 48, 65 LDAP 65, 88 オープンディレクトリ・パスワード・サーバ 53, 65 ディレクトリドメイン 20, 60 テンプレート , LDAP のマッピング 129 に 認可 40 認証 Kerberos 40, 44, 45, 81, 83, 85, 99 暗号化パスワード 41 オープンディレクトリ 40 監視する 160 シャドウパスワード 41 セキュリティ 52, 53 認証機関属性 43 ∼と認可 40 方法 50, 101, 102 認証機関属性 43, 198 変更する 96 パスワード方式 認証機関のオブジェクトクラス 184 Kerberos 44, 49 認証検索方式 オープンディレクトリ・パスワード・サーバ 44 赤色の項目 110, 111, 112 管理者 44, 101 カスタム 115, 117, 122, 123, 126, 150 グローバル 99 自動 114 個々のユーザ 100 セキュリティと∼ 117 複製 61 説明 33, 114 ローカルディレクトリのみ 116 モバイルユーザ 44 ハッシュ , パスワード 41, 51 パフォーマンス , オープンディレクトリ 65 ね ネットワークサービス 検出プロトコル 26 ひ 開く/閉じるのタイムアウト、LDAP 133 ∼で使用されるデータ項目 221 ネットワークホーム , Active Directory 143 ふ フェイルオーバー は バインディング Active Directory 141 LDAP 37, 114, 132, 133 NetInfo 153 Active Directory 140 オープンディレクトリ 79, 120, 122 負荷分散 62 複製 Active Directory 140 バインドを解除する オープンディレクトリ 120, 122 Active Directory 149 LDAP 133 場所属性 198 →「オープンディレクトリの複製」を参照 場所のオブジェクトクラス 184 頻度 164 パスワード フェイルオーバー 79 暗号化パスワードタイプ 41, 97 計画する 61 低速のネットワークリンクと∼ 61 複数の建物 62 オープンディレクトリに移行する 105 プライマリ GID のマッピング , Active Directory 146 オープンディレクトリのパスワードタイプ 40, 96 プリセットグループのオブジェクトクラス 182 オフライン攻撃 42 プリセットコンピュータリストのオブジェクトクラス 182 解読する 42 プリセットユーザ属性 198 管理者 104 プリセットユーザのオブジェクトクラス 183 クリアテキスト 50, 87, 129 プリンシパル , Kerberos 48 互換性がない 171 プリンタ属性 193 作成する 93 プリンタのオブジェクトクラス 181 シャドウパスワードタイプ 41, 98 プロトコル 複数をリセットする 95 →「特定のプロトコル」も参照 複製で変更を同期させる 79 オープンディレクトリ 110 変更する 94 サービスの検出 26 変更できない 171 問題の解決 171, 174 ディレクトリサービス 110 身分証明書 , Kerberos 49 読み込まれたユーザ 105 パスワードサーバ へ →「オープンディレクトリ・パスワード・サーバ」を参 ヘルプを使用する 14 照 無変換のディレクトリデータを編集する 161 パスワードサービスのログ 160 パスワードタイプ 暗号化パスワード 41, 97 オープンディレクトリのパスワード 40, 96 シャドウパスワード 41, 98 説明 39 索引 ほ ホームディレクトリ 25 ホームフォルダ Active Directory 140, 143 保護領域 , Kerberos 48, 76, 83 241 ま よ マウント属性 192 要件 マウントのオブジェクトクラス 180 マウントレコード 206, 224–225 ディレクトリと認証 60 読み込む/書き出す マシン属性 191 任意のタイプのレコード 164 マシンのオブジェクトクラス 180 パスワード 105 マスター →「オープンディレクトリのマスター」を参照 読み込みと書き出し Authentication Manager ユーザ 107 マッピング Active Directory 146 Active Directory 属性 146, 145 LDAP オブジェクトおよび属性 129 グループレコード 205, 222–223 個人レコード 210 コンピュータリストレコード 208, 224 コンピュータレコード 207, 223 自動サーバ設定レコード 215 設定レコード 209, 225 場所レコード 216 プリセットグループレコード 212 プリセットコンピュータリストレコード 211 プリセットユーザレコード 213 プリンタレコード 214 マウントレコード 206, 224–225 ユーザレコード 201, 217–220 マニュアル アップデート 16 オンスクリーンヘルプ 14 ガイド 13, 15 使用する 14 資料 16 マルチキャスト DNS 26 り リモート管理 67 リモートサーバの設定 109 る ルートドメイン , NetInfo 153 れ レコードタイプ →「特定のレコードタイプ」も参照 LDAP オブジェクトにマップする 130 情報 28 ろ ローカル検索方式 34 ローカル・ディレクトリドメイン NetInfo 153 検索方式 34, 116 自動検索方式内の∼ 36 情報の格納 30 スタンドアロンサーバ 73 ローカルホーム , Active Directory 143 ログ ゆ kadmin 160 kdc 160 LDAP 160 lookupd 160 NetInfo 160 slapconfig 160 ユーザ ディレクトリサービス 160 も モバイルアカウント Active Directory 140, 143 ログインの手順 76 ユーザアカウント Active Directory で変更する 149 ディレクトリドメイン内の∼ 20 ユーザのオブジェクトクラス 179 ユーザ名(ショートネーム)を変更する 162 ユーザレコード サーバで使用される方法 221 属性 185, 202, 217–220 マッピング 201, 221 パスワードサービス 160 ログイン 認証する 21, 24 問題を解決する 172 ユーザの手順 76 ログインウインドウ サーバの∼へのアクセスを制御する 158 わ ワークグループマネージャ 使用 68 ∼で LDAP ドメインを格納する 138 242 索引