くらめその情シス“技”【番外編】:MacのログインをActive Directory認証にする

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 今回は番外編です。


くらめその情シス“技”【番外編】:MacのログインをActive Directory認証にする

前回はユーザー管理(Active Directory)のお話をしましたが、本日はこれに関連するMacでのAD認証についてご紹介します。しかしながら、1年以上前に実施した内容であり、情報が古い部分もございますので、そのことはご了承願います。

前回説明したように社内ユーザー認証基盤の整理統合を行いました。当時、社内のMacは端末個別にユーザー登録し、利用している状況でした。そこで、Active Directory認証に移行すると何がうれしいのか?今後Active Directory認証に移行し、運用するときに問題になりそうなことは何か?というのを調べるため、自身のMacをActive Directoryでログイン認証できるようにし、いろいろ試した内容になります。

前提条件

  • macOS Sierra 10.12.6
  • Active Directory … Windows Server 2012 R2 Standard

事前に必要なもの

  • ADドメイン管理者のユーザーとパスワードが必要です。
  • ADにご自身のユーザーが必要です。
  • Macに管理者権限をもった既存ユーザーが必要です。
  • MacにADと同じ名前のユーザーが いないこと を確認してください(その理由は後述致します)。

設定方法

設定方法は飛ばして、Active Directory認証での疑問を知りたいかたはQ&Aをご覧下さい。

Macの管理者ユーザーで作業

Active Directoryの設定は ディレクトリユーティリティ で行います。Spotlightで検索して実行するか、Finderで システムライブラリCoreServicesApplications から起動します。

が、システム環境設定ユーザとグループ からも起動できるので今回はそちらで進めます。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

設定がロックされていたらクリックして解除します。 この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

20171023_osx_ad_001

ネットワークアカウントサーバーの「接続」をクリックします。

20171023_osx_ad_002

サーバにドメインコントローラーのサーバー名を入力します。

20171023_osx_ad_003

Active Directoryドメイン管理者のIDとパスワードを入力します。この情報は情報システム担当者に聞いてください。

20171023_osx_ad_004

正しく設定できると緑色のマークが表示されます。

20171023_osx_ad_005

次にActive DirectoryユーザーでMacにログインします。 TIPS:「ファストユーザースイッチメニュー」が有効になっていれば、既存ユーザーをログアウトしなくてもユーザーを切り替えることができます。

ADユーザーで作業(ローカルPCへの管理者権限付与)

Active Directory設定が終わったら、ADユーザーとパスワードでMacにログインします。 もしログインできなければADユーザーとパスワードが間違っている可能性があるので情報システム担当者に確認してください。

今の状態ではPCの管理者権限がなく、アプリケーションのインストール等ができません。 そこで管理者権限を付与します。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

ログインしたADユーザーにPCの管理者権限を与えます。(下記画像だとすでに付与してるのでグレーアウトされてます) この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

20171023_osx_ad_006

上記画像のようにユーザーに 管理者 と表示されていればOKです。

ADユーザーに管理者権限を正しく割り当てられたかどうかは、Terminalを起動し、sudo -sができればOKです。

今の状態ではネットワークオフライン時にはログインすることができません。 そこでモバイルアカウントを作成します。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

ADユーザーを選択し、モバイルアカウントの「作成」を開きます。

20171023_osx_ad_101

そのまま「作成」をクリックします。

20171023_osx_ad_102

そのまま「作成」をクリックします。

20171023_osx_ad_103

クリックすると一度ユーザーはログアウトします。ログアウト後に再度パスワードを聞いてくるので入力してください。

パスワード入力後にログインメニューが表示されます。ネットワークオフライン状態(LANケーブルを抜いり、Wifiをオフにした状態)でもADユーザーでログインできることを確認してください。

参考ページ

Q&A

Q)Active Directory認証にするとなにが嬉しいのか?

WindowsとmacOSで同じユーザー名、パスワードでログイン認証できるようになります。

利用者からみたメリットはあまりないかもしれませんが、管理者視点でみるとユーザー情報を一元管理できるという点があります。 例えばActive Directory側でユーザーを無効にすると(Windowsと同様)macOSでもログインできなくなります。

Q)すでにActive Directoryと同名のユーザーがいるとどうなるの?

ローカルとADで同じユーザーを作成することはできません。設定自体はできますが、ADユーザーでログインが弾かれます(既存ユーザーが優先されます)。

すでにADと同じユーザーで利用している場合は、一時的に別の管理者ユーザーを作成し、既存のユーザーを削除する必要があります。 削除時にユーザーのホームディレクトリを(.dmgファイルに)アーカイブすることができます。ただファイルサイズが巨大になりディスク容量が不足するかもしれないので注意してください。

※既存ユーザーのアカウント名とホームディレクトリを無理矢理書き換えるという方法もありますが、オススメしません。

20171023_osx_ad_201

Q)既存環境はどうなるのか?

ユーザー固有の設定は再度やり直す必要があります。

下記のものは事前にエクスポートしておき、新しい環境へインポートすると再設定が簡単です。

  • ブラウザのブックマーク
  • 各種ソフトウェアのライセンスキー
  • 日本語IMEの単語辞書
  • Clipy などクリップボードユーティリティのスニペット

Q)Active DirectoryのパスワードはMacから変更できる?

はい、できます。 パスワードは、システム環境設定ユーザとグループから変更できます。またTerminalを起動してpasswdコマンドからも変更できます。

Q)Windowsでパスワード変えたらMacのパスワードも変わる?

はい、変わります

Q)Active Directoryに接続できない環境でもログインできる?

はい、ユーザーのモバイルアカウントを作成すると、Active Directoryに接続できない環境(ネットワークがオフライン等)でもログインすることができます。

Q)Active Directoryでアカウントが無効にされるとどうなる?

Macでもログインできなくなります。

Q)Active Directoryでアカウントロックされるとどうなる?

申し訳ありません、未検証です。(もし、ご存知の方がいれば教えてください。)

ADでは何度かログオンに失敗すると、そのユーザーが一時的にロックアウトされます。その後数分間そのユーザーでログインできなくなるのが正常です。

Q)Active Directoryのパスワードが期限切れになるとどうなる?

ADでパスワードリセット時にユーザーは次回ログオン時にパスワード変更が必要にチェックがついていた場合は、次回Macログイン時に新しいパスワードを求められます。(便利!)

Q)パスワードの有効期限が近づいたらMacでもパスワード変更を求めてくる?

申し訳ありません、未検証です。(もし、ご存知の方がいれば教えてください。)

Q)このMacにログインできるユーザーを限定できる?

はい、できます

システム環境設定ユーザとグループログインオプションネットワークユーザにログインウィンドウでログインすることを許可をチェックし、オプションでログイン可能ユーザーを指定することができます。

20171023_osx_ad_202

20171023_osx_ad_203

20171023_osx_ad_204

ただ設定を誤るとADユーザーで一切ログインできなくなるので注意が必要です。ローカル管理者でログインできる状態にしてから(設定を解除してやり直せる状態にしてから)設定するのが良いです。

まとめ

利用者視点からいうと、ログイン等の使い勝手はあまり変わらなかったです。(ADに問い合わせるため、やや時間がかかるくらい) あとADで認証を一元管理している環境だと、Windowsを持っていなくてもパスワード変更ができるのは便利です。

管理者視点でいうと、ユーザーの管理がActive Directoryで一元化できるのは便利ですね。パスワードポリシーもWindowsと合わせることができますし、ユーザーの無効化もADだけでできます。

巷では各種認証まわりのサービスが登場していますが、Acitive Directoryに対応しているサービスがほとんどです。AWSもAzureもAD ConnectorでサービスとADの連携できますし。 Windowsを利用している企業は既にADを導入していることが多いでしょうから、Macも含めActive Directoryに認証基盤を一元化していくというのが、もっとも筋が良いかなと思っているのですが、いかがでしょうか?


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 平成31年、とうとう平成最後の年が幕を開けた。先日、安倍首相は三重県伊勢市での年頭記者会見で、「5月…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  1. 【情シス×ストレッチ】手首疲労対策ストレッチ「手首レッチ①」~第10回~

  2. くらめその情シス“技”【番外編】:OneLoginポータルへのログインをバイパスする

  3. いまさら聞けない【情シス基礎知識】Javaの種類と有償化の関係

  4. 【知っトク技術】秘密計算とは何か?

  5. いまさら聞けない【情シス基礎知識】Windows Defenderってなにするもの?

  6. 【情シス基礎知識】CISOとCSIRT、その関係性は?

  7. 【情シス知っ得言語】「Go言語」のメリットと学ぶべき理由

  8. くらめその情シス“技”:ユーザー管理(Active Directory) from Developers.IO

  9. 【情シス基礎知識】最近よく聞く、CSIRTってなに?

  10. 2018年度セキュリティ意識調査-カスペルスキーレポート

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る