mac os x server...

Mac OS X Serverオープンディレクトリの管理バージョン 10.4以降用

Apple Computer, Inc.© 2005 Apple Computer, Inc. All rights reserved.

Mac OS X Serverソフトウェアの正規ライセンス製品の使用許諾を受けたお客様、またはかかるお客様の許諾を得た者は、本ソフトウェアの使用を学習する目的で本書を複製することができます。本書のいかなる部分も、本書のコピーの販売または有償のサポートサービスなどの商用目的で、複製または譲渡することは禁じられています。

本書には正確な情報を記載するように努めました。ただし、誤植や制作上の誤記がないことを保証するものではありません。

Apple1 Infinite LoopCupertino CA 95014-2084U.S.A.www.apple.com

アップルコンピュータ株式会社〒 163-1480 東京都新宿区西新宿 3 丁目 20番 2号東京オペラシティタワー www.apple.com/jp

Appleロゴは、米国その他の国で登録された Apple Computer, Inc.の商標です。キーボードから入力可能な Appleロゴについても、これを Apple Computer, Inc.からの書面による許諾なしに商業的な目的で利用すると、連邦および州の商標法および不正競争防止法違反となる場合があります。

Apple、 Appleロゴ、 AppleTalk、 Mac、および Macintoshは、米国その他の国で登録された Apple Computer, Inc.の商標です。 Finderは、 Apple Computer, Inc.の商標です。

Adobe、 PostScript は、アドビシステムズ社の商標です。

UNIXは、 X/Open Company, Ltd.が独占的にライセンスしている米国その他の国における登録商標です。

本書に記載されているその他の会社名および製品名は、それぞれの会社の商標です。他社製品に関する記載は、情報の提供のみを目的としたものであり、保証または推奨するものではありません。 Apple Computer, Inc.は他社製品の性能または使用につきましては一切の責任を負いません。

J019-0166/03-24-2005

3 目次

序章 11 このガイドについて 12 バージョン 10.4の新機能 13 このガイドの構成 14 このマニュアルを使う 14 オンスクリーンヘルプを使用する 15

Mac OS X Serverマニュアル

16 マニュアルのアップデートを入手する 16 その他の情報

第 1 章 19 オープンディレクトリを使ったディレクトリサービス 20 ディレクトリサービスとディレクトリドメイン 21 歴史的な背景 22 データの統合 23 データの分散 24 ディレクトリデータの使用 25 ディレクトリアクセスへのアクセス 26 ネットワークサービスの検出 28 ディレクトリドメインの内側 29

LDAPディレクトリ情報の構造

30 ローカル・ディレクトリドメインと共有ディレクトリドメイン 30 ローカル・ディレクトリドメインについて 31 共有ディレクトリドメインについて 32 既存のディレクトリドメイン内の共有データ

第 2 章 33 オープンディレクトリの検索方式 33 検索方式のレベル 34 ローカルディレクトリの検索方式 34

2レベルの検索方式

35 複数レベルの検索方式 36 自動検索方式 38 カスタム検索方式 38 認証およびコンタクトの検索方式

3

4

第 3 章 39 オープンディレクトリの認証 39 パスワードタイプ 40 認証と認可 40 オープンディレクトリのパスワード 41 シャドウパスワード 41 暗号化パスワード 42 パスワードに対するオフライン攻撃 43 使用する認証オプションを決定する 44 パスワード方式 44 シングルサインオン認証 45

Kerberos 認証

46

Kerberos展開の障壁をなくす 46 シングルサインオン環境 47 安全な認証 47 パスワードの次の段階へ 48 マルチプラットフォーム認証 48 集中管理された認証 48

Kerberosに対応しているサービス

48

Kerberosのプリンシパルと保護領域 49

Kerberos認証プロセス

50 オープンディレクトリ・パスワード・サーバとシャドウパスワードの認証方法 51 オープンディレクトリの認証方法を無効にする 52 シャドウパスワードの認証方法を無効にする 53 オープンディレクトリ・パスワード・サーバのデータベースの内容 54

LDAPバインド認証

54

Authentication Manager

第 4 章 57 オープンディレクトリの計画 57 一般的な計画のガイドライン 59 データへのアクセス可能度を制御する 59 ディレクトリ内のデータへの変更を簡素化する 60 ディレクトリおよび認証要件を検討する 60 共有ドメインを管理するサーバを決定する 61 オープンディレクトリ・サービスを複製する 62 小規模、中規模、および大規模な環境における負荷分散 62 複数の建物があるキャンパスにおける複製 63

NATでオープンディレクトリのマスターまたは複製を使用する

63

Kerberos が複数のディレクトリと競合しないようにする 65 パフォーマンスと冗長性を向上させる 65 オープンディレクトリのセキュリティ 67 オープンディレクトリ・サービスの管理用ツール 67 サーバ管理 68 ディレクトリアクセス

目次

68 ワークグループマネージャ 69 コマンドラインツール 69

NetInfoマネージャ

第 5 章 71 オープンディレクトリ・サービスを設定する 71 設定の概要 72 設定する前に 73 サーバアシスタントを使ってオープンディレクトリを設定する 73 オープンディレクトリをリモートサーバで管理する 73 スタンドアロンサーバを設定する 74 オープンディレクトリのマスターと複製の互換性 75 オープンディレクトリのマスターを設定する 76 ユーザにログイン方法を指示する 77 オープンディレクトリの複製を設定する 79 オープンディレクトリのマスターの複数の複製を作成する 79 オープンディレクトリのフェイルオーバーを設定する 80 ディレクトリシステムへの接続を設定する 81 シングルサインオン Kerberos認証を設定する 82 オープンディレクトリの Kerberos保護領域を設定する 82 オープンディレクトリのマスターを設定した後で Kerberosを起動する 83 オープンディレクトリの Kerberos保護領域に接続する権限を委任する 85 サーバを Kerberos保護領域に接続する 86 オープンディレクトリのマスターまたは複製のオプションを設定する 86 オープンディレクトリのマスターと複製のバインド方式を設定する 87 オープンディレクトリのマスターと複製のセキュリティポリシーを設定する 88

LDAPデータベースの場所を変更する

88

LDAPサービスの検索結果を制限する 89

LDAPサービスの検索タイムアウトを変更する

89

LDAPサービスの SSLを設定する 90 ディレクトリドメインを Netinfoから LDAPに移行する 92 ディレクトリアクセスを NetInfoから LDAPに切り替える 92

LDAPに移行した後で NetInfoを無効にする

第 6 章 93 ユーザ認証を管理する 93 パスワードを作成する 94 ユーザのパスワードを変更する 95 複数ユーザのパスワードをリセットする 96 ユーザのパスワードタイプを変更する 96 パスワードタイプをオープンディレクトリに変更する 97 パスワードのタイプを暗号化パスワードに変更する 98 パスワードのタイプをシャドウパスワードに変更する 99 ユーザのシングルサインオン Kerberos認証を有効にする 99 グローバルパスワード方式を変更する

目次 5

6

100 個々のユーザ用のパスワード方式を設定する 101 シャドウパスワードのユーザの認証方法を選択する 102 オープンディレクトリのパスワードの認証方法を選択する 103 オープンディレクトリ認証の管理者権限を割り当てる 104 主要な管理者のパスワードの同期を維持する 104 ユーザに LDAPバインド認証を有効にする 105 書き出されたユーザまたは読み込まれたユーザのパスワードを設定する 105

Mac OS X Serverバージョン 10.1以前からパスワードを移行する

107

Authentication Managerのユーザを書き出す／読み込む

第 7 章 109 ディレクトリアクセスを管理する 109 リモートサーバ上のディレクトリアクセスを設定する 110 サービスへのアクセスを設定する 110

Active Directoryサービスを有効にする／無効にする

111

AppleTalkサービス検出を有効にする／無効にする 111

BSDフラットファイルと NIS ディレクトリサービスを有効にする／無効にする

111

LDAPディレクトリサービスを有効にする／無効にする 112

NetInfoディレクトリサービスを有効にする／無効にする

112

Bonjour サービスの検出を有効にする 112

SLPサービス検出を有効にする／無効にする

113

SMB/CIFSサービスの検出を有効にする／無効にする 113

SMB/CIFSサービスの検出を設定する

114 検索方式を設定する 114 自動検索方式を定義する 115 カスタム検索方式を定義する 116 ローカルディレクトリ検索方式を定義する 117 検索方式の変更が有効になるまでの時間 117 コンピュータを不当な DHCPサーバから保護する 117

LDAPディレクトリにアクセスする

118

Mailやアドレスブックで LDAPディレクトリにアクセスする 118

DHCP によって提供される LDAPディレクトリを有効にする／無効にする

119

LDAPサーバの設定を表示する／隠す 120

LDAPディレクトリへのアクセスを設定する

122

LDAPディレクトリへのアクセスを手動で設定する 124

LDAPディレクトリにアクセスするための設定を変更する

125

LDAPディレクトリにアクセスするための設定を複製する 126

LDAPディレクトリにアクセスするための設定を削除する

127

LDAPディレクトリの接続設定を変更する 128

LDAP接続のセキュリティポリシーを変更する

129

LDAP検索とマッピングを設定する 132

LDAPディレクトリへの信頼されたバインディングを設定する

133

LDAPディレクトリとの信頼されたバインディングを終了する 133

LDAP接続の開く／閉じるのタイムアウトを変更する

目次

134 LDAP接続のクエリーのタイムアウトを変更する 134

LDAP接続の再バインド試行の待ち時間を変更する

134

LDAP接続が無操作状態のときに接続を解除するまでの時間を変更する 135 読み出し専用の LDAPv2アクセスを強制する 135

LDAPサーバの紹介を無視する

135

LDAP接続を認証する 136

LDAP接続の認証に使用されるパスワードを変更する

137

LDAPディレクトリの設定レコード属性をマッピングする 137

RFC 2307 マッピングを編集してユーザを作成できるようにする

138

Mac OS Xの読み出し専用 LDAPディレクトリを準備する 138

Mac OS Xのデータを含む LDAPディレクトリを格納する

139

Active Directoryドメインにアクセスする 139

Active Directoryプラグインについて

141

Active Directoryドメインへのアクセスを設定する 143

Active Directoryのモバイル・ユーザ・アカウントを設定する

143

Active Directoryユーザアカウントのホームフォルダを設定する 145

Active Directoryユーザアカウントの UNIXシェルを設定する

145

UID を Active Directory属性にマップする 146 プライマリグループ IDを Active Directory属性にマップする 146 グループアカウントのグループ IDを Active Directory属性にマップする 147 優先する Active Directoryサーバを指定する 147 コンピュータを管理できる Active Directory のグループを変更する 148

Active Directoryフォレスト内のすべてのドメインからの認証を制御する

149

Active Directoryサーバからバインドを解除する 149

Active Directory内のユーザアカウントとその他のレコードを編集する

149

Active Directoryのドメインに対する LDAPアクセスを設定する 151

NIS ドメインにアクセスする

151

BSD設定ファイルを使用する 152

BSD設定ファイル内のデータを設定する

153 レガシー NetInfoドメインにアクセスする 153

NetInfoバインディングについて

154

NetInfoバインディングを設定する 155

NetInfo上位ドメインにマシンレコードを追加する

156 共有 NetInfoドメインの静的ポートを設定する

第 8 章 157 保守と問題の解決 157 オープンディレクトリ・サーバへのアクセスを制御する 157 サーバのログインウインドウへのアクセスを制御する 158

SSHサービスへのアクセスを制御する

159 オープンディレクトリを監視する 159 オープンディレクトリのマスターまたは複製の状況をチェックする 160 オープンディレクトリのマスターの複製を監視する 160 オープンディレクトリの状況とログを表示する

目次 7

8

160 オープンディレクトリによる認証を監視する 161 ディレクトリデータを直接表示して編集する 161 ディレクトリインスペクタを表示する 162 ディレクトリインスペクタを隠す 162 ユーザのショートネームを変更する 163 ディレクトリアクセス制御（ DAC）を設定する 163 レコードを削除する 164 任意のタイプのレコードを読み込む 164 オープンディレクトリの複製を管理する 164 オープンディレクトリのマスターの複製をスケジュールする 165 要求されたときにオープンディレクトリの複製を同期させる 165 オープンディレクトリの複製を昇格する 166 オープンディレクトリの複製をデコミッションする 167 オープンディレクトリのマスターをアーカイブする 168 オープンディレクトリのマスターを復元する 169 オープンディレクトリのマスターと複製の問題を解決する 169

Kerberosがオープンディレクトリのマスターまたは複製で停止する

170 オープンディレクトリの複製を作成できない 170 ディレクトリアクセスの問題を解決する 170 起動に時間がかかる 171 認証の問題を解決する 171 ユーザのオープンディレクトリ・パスワードを変更できない 171 ユーザが一部のサービスにアクセスできない 171 ユーザが VPNサービスに対して認証できない 172 ユーザのパスワードタイプをオープンディレクトリに変更できない 172 パスワードサーバに依存するユーザがログインできない 172 ユーザが共有ディレクトリドメインのアカウントを使ってログインできない 172

Active Directoryユーザとしてログインできない

173 ユーザがシングルサインオンまたは Kerberosを使用して認証できない 174 ユーザが自分のパスワードを変更できない 174 サーバをオープンディレクトリの Kerberos保護領域に接続できない 175 管理者パスワードをリセットする

付録 177 Mac OS Xのディレクトリデータ 178

LDAPスキーマへのオープンディレクトリの拡張

178 オープンディレクトリの LDAPスキーマオブジェクトクラス 185 オープンディレクトリの LDAPスキーマ属性 201 標準のレコードタイプおよび属性を LDAPおよび Active Directoryにマッピングする 201 ユーザのマッピング 205

Groupsのマッピング

206

Mountsのマッピング 207

Computersのマッピング

208

ComputerListsのマッピング

目次

209 Configのマッピング 210

Peopleのマッピング

211

PresetComputerLists のマッピング 212

PresetGroupsのマッピング

213

PresetUsersのマッピング 214

Printersのマッピング

215

AutoServerSetupのマッピング 216

Locationsのマッピング

216 オープンディレクトリの標準のレコードタイプと属性 217 ユーザレコード内の標準属性 222 グループレコード内の標準属性 223 コンピュータレコード内の標準属性 224 コンピュータリストレコード内の標準属性 224 マウントレコード内の標準属性 225 設定レコード内の標準属性

用語集 227

索引 235

目次 9

序章

このガイドについて

このガイドでは、 Mac OS X Serverを使用して設定できるディレクトリサービスと認証サービスについて説明します。また、 Mac OS XServer および Mac OS X クライアントコンピュータをディレクトリサービス用およびネットワークサービスの検出用に設定する方法についても説明します。

Mac OS X Serverのオープンディレクトリでは、 Mac OS X、 Windows、および UNIXコンピュータが混在するネットワーク用に、ディレクトリサービスと認証サービスを提供します。オープンディ

レクトリでは、 OpenLDAP（ LDAP（ Lightweight Directory Access Protocol）のオープンソース実装）を使用してディレクトリサービスを提供します。これはほかの標準ベースの LDAP サーバと互換性があり、 Microsoftの Active Directoryや Novellの eDirectoryなどの独自のサービスと統合することができます。オープンディレクトリでは、 LDAP データベースバックエンドとしてオープンソースの Berkeley DB を使用します。これは非常に拡張性の高いデータベースであり、数十万ものユーザアカウントやその他のレコードのインデックス作成に高いパフォーマンスを発揮します。

オープンディレクトリのプラグインを使用すると、 Mac OS X クライアントや Mac OS X Server コンピュータで、ユーザおよびネットワークリソースのアクセス権情報を LDAPサーバから（ Microsoft所有の Active Directoryからでさえ）読み書きできます。サーバでは、 NIS、 NetInfo、ローカル BSD設定ファイル（ /etc）などの従来のディレクトリのレコードにアクセスすることもできます。

オープンディレクトリでは、認証サービスも提供します。ネットワークのクライアントコンピュー

タにログインしたり、認証が必要なほかのネットワークリソースを使用したりするユーザのパス

ワードを安全に保存および検証します。また、パスワードの有効期限や最小文字数などを設定する

こともできます。オープンディレクトリは、 Mac OS X Server が提供するドメインログイン、ファイルサービス、およびその他の Windowsサービスの Windowsコンピュータユーザも認証できます。

11

12

MITの Kerberos KDC（ Key Distribution Center）は、オープンディレクトリと完全に統合されており、強力な認証と安全なシングルサインオンのサポートを提供します。つまり、ユーザは、一対の

ユーザ名とパスワードを使用して 1回認証を行うだけで、 Kerberos対応のネットワークサービスにアクセスできます。 Kerberos 認証に対応していないサービスの場合は、統合された SASL（ SecureAuthentication and Service Layer）サービスによって、可能な最も強力な認証方法が自動的にネゴシエートされます。

また、ディレクトリと認証の複製によって、可用性と拡張性を最大化します。オープンディレクト

リ・サーバの複製を作成すると、分散ネットワークですばやくクライアント対話を行うために、フェ

イルオーバーサーバやリモートサーバを簡単に保守できます。

オープンディレクトリでは、ネットワークサービスの検出も管理します。 Mac OS Xおよび Mac OS XServer は、オープンディレクトリを使用して、ファイルサーバなどのネットワークサービスを検出できます。これらのネットワークサービスは、 Bonjour、 AppleTalk、 SLP、または SMB/CIFS サービス検出プロトコルとして認識されます。

バージョン 10.4の新機能 Mac OS X Server バージョン 10.4 では、オープンディレクトリの次の機能が大幅に拡張されています： • 簡単になった LDAPv3 アクセスの設定：「ディレクトリアクセス」を使用して、 LDAPディレクトリへの接続を設定できます。

• LDAPv3 ディレクトリの信頼されたバインディング： LDAPディレクトリとそのクライアントの間に相互認証された接続を確立します。クライアントは LDAP ディレクトリに自分の識別情報を証明し、ディレクトリはクライアントに自分の正統性を証明します。

• 強化されたActive Directory との統合： Mac OS Xユーザのネットワーク・ホーム・ディレクトリを Active Directory で指定した場所からマウントすることができます。複数の Mac OS X 属性（ユーザ ID、ユーザのプライマリグループ ID、およびグループ ID）を既存の Active Directory属性にマップできます。

• 強化された LDAP サーバ： Mac OS X Server v10.4 では、 OpenLDAP バージョン 2.2.19 および Berkeley DBバージョン 4.2.52 を使用します。

• 簡単になったアーカイブと復元：ボタンをクリックすれば、ディレクトリと認証のデータベースがバックアップまたは復元されます。

• 強化された認証：サーバを既存の Active Directory の Kerberos 保護領域または MIT ベースの Kerberos 保護領域に接続することができます。ローカル・ユーザ・アカウントで、さらに多くの認証方法を使用できます。

• 設定可能なパスワード保存のセキュリティ：認証方法を選択的に無効にすることによって、サーバへのパスワード保存のセキュリティを高めることができます。

• LDAPスキーマの複製： LDAPディレクトリに独自のカスタムスキーマを格納し、スキーマをオープンディレクトリのマスターからそのすべての複製に伝達することができます。

序章このガイドについて

このガイドの構成このガイドは、以下の章で構成されています： • 第 1 章「オープンディレクトリを使ったディレクトリサービス」では、ディレクトリドメインとは何か、その使いかた、およびそれらの編成について説明します。また、ネットワークサービス

の検出がどのようにディレクトリサービスと統合されるかについても説明します。 • 第 2 章「オープンディレクトリの検索方式」では、 1つ以上のディレクトリドメインを使った検索方式について説明し、自動、カスタム、およびローカルだけの検索方式について説明します。

• 第 3 章「オープンディレクトリの認証」では、オープンディレクトリによる認証、シャドウパスワードと暗号化パスワード、 Kerberos、 LDAP バインド、およびシングルサインオンについて説明します。

• 第 4 章「オープンディレクトリの計画」は、ディレクトリドメインが必要かどうかの判断、ディレクトリおよび認証要件の見積もり、管理する共有ドメインの識別、パフォーマンスと冗長性の

向上、複数の建物があるキャンパスでの複製の取り扱い、およびオープンディレクトリ・サービ

スを安全なものにする際に役立ちます。この章では、オープンディレクトリ・サービスの管理に

使用するツールも紹介しています。 • 第 5 章「オープンディレクトリ・サービスを設定する」では、ディレクトリシステム、オープンディレクトリのマスター、またはオープンディレクトリの複製に接続されたスタンドアロンサー

バなど、 Mac OS X Server のオープンディレクトリの役割を設定する方法について説明します。この章では、オープンディレクトリのマスターまたは複製の LDAP サービスのオプションの設定方法、および NetInfoから LDAP へのディレクトリドメインの移行方法についても説明します。さらに、オープンディレクトリのマスターにシングルサインオンの Kerberos認証を設定する方法についても説明します。

• 第 6 章「ユーザ認証を管理する」では、パスワード方式の設定、ユーザのパスワードタイプの変更、オープンディレクトリによる認証のための管理権限の割り当て、読み込まれたユーザアカウ

ントのパスワードのリセット、およびオープンディレクトリによる認証へのパスワードの移行の

方法について説明します。 • 第 7 章「ディレクトリアクセスを管理する」では、「ディレクトリアクセス」アプリケーションを使用して、サービス検出プロトコルを有効または無効にしたり、設定したりする方法について説

明します。認証検索方式およびコンタクト検索方式を設定する方法についても説明します。また、 LDAP、 Active Directory、 NIS、 BSD設定ファイル、 NetInfoなど、さまざまなディレクトリドメインへのアクセスの設定方法についても説明します。

• 第 8 章「保守と問題の解決」では、オープンディレクトリ・サービスの監視方法、インスペクタを使ってディレクトリデータを直接表示し編集する方法、オープンディレクトリのマスターを

アーカイブする方法、およびその他のディレクトリの保守を実行する方法について説明します。ま

た、起こりうる問題の解決策についても説明します。 • 付録の「 Mac OS X のディレクトリデータ」では、 LDAPスキーマへのオープンディレクトリの拡張のリストを示し、 Mac OS Xの標準のレコードタイプおよび属性を明示します。

• 用語集には、このマニュアルで使用されている用語の定義が記載されています。

参考：アップルではソフトウェアの新しいバージョンやアップデートを頻繁にリリースするため、このガイドに示されている図は、画面の表示と異なる場合があります。

序章このガイドについて 13

14

このマニュアルを使うこのガイドの章は、サーバにオープンディレクトリを設定し管理するときに必要と思われる順番で

編成されています。 • ディレクトリサービス、検索方式、認証など、オープンディレクトリの概念を理解したいときは、第 1 章～第 3 章を読んでください。

• ネットワーク用にディレクトリサービスとパスワード認証を計画する準備ができたら、第 4 章を読んでください。

• 計画が終わったら、第 5 章の手順に従ってオープンディレクトリ・サービスを設定してください。 • パスワード方式の設定やユーザアカウント内のパスワード設定の変更の必要があるときは、必ず第 6 章の手順を確認してください。

•

Mac OS X または Mac OS X Serverコンピュータがディレクトリドメインにアクセスする方法を設定または変更する必要がある場合は、第 7 章の手順に従ってください。

• ディレクトリおよび認証サービスの現行の保守については、第 8 章を参照してください。

オンスクリーンヘルプを使用するオンスクリーンヘルプを使用すると、サーバマニュアル一式に含まれるガイドに記載されている、手

順やその他の役立つ情報を参照できます。

Mac OS X Serverが動作するコンピュータでは、「ワークグループマネージャ」または「サーバ管理」を開くと、オンスクリーンヘルプを利用できます。「ヘルプ」メニューから、次のいずれかのオプ

ションを選びます： •「ワークグループマネージャヘルプ」または「サーバ管理ヘルプ」を選ぶと、アプリケーションに関する情報が表示されます。

•「Mac OS X Server ヘルプ」を選ぶと、サーバヘルプのメインページが表示されます。ここから、サーバ情報を検索またはブラウズできます。

•「マニュアル」を選ぶと、 www.apple.com/jp/server/documentationにアクセスして、サーバのマニュアルをダウンロードできます。

サーバまたは管理用コンピュータの「 Finder」またはその他のアプリケーションからオンスクリーンヘルプを利用することもできます。（管理用コンピュータとは、サーバ管理ソフトウェアがインス

トールされている Mac OS X コンピュータのことです。）「ヘルプ」メニューを使用して「ヘルプビューア」を開き、「ライブラリ」＞「 Mac OS X Serverヘルプ」と選択します。

サーバの最新のヘルプトピックを参照するには、「ヘルプビューア」を使用している間、サーバまた

は管理用コンピュータがインターネットに接続されていることを確認してください。「ヘルプビュー

ア」は、サーバの最新のヘルプトピックをインターネットから自動的に取得してキャッシュします。

インターネットに接続されていないときは、「ヘルプビューア」は、キャッシュされているヘルプト

ピックを表示します。


Mac OS X Serverマニュアル Mac OS X Serverのマニュアルには、各サービスについて解説し、それらのサービスの設定、管理、および問題を解決する手順を説明しているガイドが含まれています。これらのガイドはすべて、次

の場所から PDF形式で入手できます： www.apple.com/jp/server/documentation/

ガイド名ガイドの内容：Mac OS X Serverお使いになる前にバージョン 10.4 以降用

Mac OS X Serverをインストールし、はじめて設定する方法について説明します。

Mac OS X Serverアップグレードおよび移行バージョン 10.4 以降用

古いバージョンのサーバで現在使用されているデータとサービス設定を使

用する方法について説明します。

Mac OS X Serverユーザの管理バージョン 10.4以降用

ユーザ、グループ、およびコンピュータのリストを作成および管理する方

法について説明します。また、 Mac OS X クライアントの管理された環境設定を設定する方法について説明します。

Mac OS X Serverファイルサービスの管理バージョン 10.4 以降用

AFP、 NFS、 FTP、および SMB/CIFS プロトコルを使って、選択したサーバのボリュームまたはフォルダを複数のサーバクライアントの間で共有する

方法について説明します。

Mac OS X Serverプリントサービスの管理バージョン 10.4 以降用

共有プリンタを管理する方法と、共有プリンタに関連付けられたキューと

プリントジョブを管理する方法について説明します。

Mac OS X Serverシステムイメー

ジおよびソフトウェア・アップデートの管理バージョン 10.4 以降用

NetBootとネットワークインストールを使用して、 Macintoshコンピュータがネットワーク経由で起動できるディスクイメージを作成する方法について説明します。また、クライアントコンピュータをネットワーク経由で

アップデートするためのソフトウェア・アップデート・サーバを設定する方法について説明します。

Mac OS X Serverメールサービスの管理バージョン 10.4 以降用

メールサービスをサーバ上で設定、構成、および管理する方法について説明します。

Mac OS X Server Webテクノロジーの管理バージョン 10.4 以降用

WebDAV、 WebMail、および Webモジュールを含めて、 Webサーバを設定および管理する方法について説明します。

Mac OS X Serverネットワークサービスの管理バージョン 10.4以降用

DHCP、 DNS、 VPN、 NTP、 IPファイアウォール、および NATの各サービスをサーバ上で設定、構成、および管理する方法について説明します。

Mac OS X Serverオープンディ

レクトリの管理バージョン 10.4以降用

ディレクトリサービスと認証サービスを管理する方法について説明します。

Mac OS X Server QuickTimeStreaming Server の管理バージョン 10.4以降用

QuickTimeストリーミングサービスを設定および管理する方法について説明します。

Mac OS X Server Windows サービスの管理バージョン 10.4 以降用

PDC、 BDC、ファイル、 Windows コンピュータユーザ用のプリントなどのサービスを設定および管理する方法について説明します。

Mac OS X Server Windows NT からの移行バージョン 10.4 以降用

アカウント、共有フォルダ、およびサービスを Windows NT サーバから Mac OS X Serverに移動する方法について説明します。

Mac OS X Server Javaアプリケー

ションサーバの管理バージョン10.4 以降用

Mac OS X Server上で JBossアプリケーションサーバを設定および管理する方法について説明します。

Mac OS X Serverコマンドライン管理バージョン 10.4 以降用

コマンドと設定ファイルを使って、サーバ管理タスクを UNIXコマンドシェル内で実行する方法について説明します。


16

マニュアルのアップデートを入手するアップルでは必要に応じて、オンスクリーンヘルプの新しいトピック、改訂されたガイド、および

ソリューションに関する書類を公開しています。新しいヘルプトピックには、最新のガイドの改訂

分が含まれます。 • オンスクリーンヘルプの新しいトピックを表示するときは、サーバまたは管理用コンピュータがインターネットに接続されていることを確認し、 Mac OS X Server ヘルプのメインページにある「最新情報」のリンクをクリックします。

•

PDF形式の最新のガイドおよびソリューションに関する書類をダウンロードするときは、 Mac OS X Serverのマニュアルの Webページ（ www.apple.com/jp/server/documentation）にアクセスしてください。

その他の情報さらに詳しい情報が必要な場合は、次の資料を参照してください：

大切な情報 —重要なアップデートや特別な情報を記載しています。この書類はサーバディスクにあ

ります。

Mac OS X Server のWeb サイト（ www.apple.com/jp/server/macosx/） —製品およびテクノロ

ジーに関するさまざまな情報を入手できます。

AppleCare のサービス＆サポート Web サイト（ www.apple.com/jp/support/） — アップルのサ

ポート部門から寄せられた数多くの記事を利用できます。

アップルのカスタマートレーニング（ www.apple.com/jp/training/） —サーバ管理のスキルアップ

のための、インストラクターの指導による、自分のペースに合わせて進められるコースです。

アップルのディスカッショングループ（ discussions.info.apple.com/jp） — 質問、知識、およびア

ドバイスをほかの管理者と共有できる場です。

アップルのメーリング・リスト・ディレクトリ（ www.lists.apple.com/） —メーリングリストに登

録して、メールを使ってほかの管理者と意見の交換ができます。

Mac OS X Serverコラボレーショ

ンサービスの管理バージョン 10.4以降用

ユーザ間で簡単に対話できるようにするウェブログ、チャット、およびそ

の他のサービスを設定および管理する方法について説明します。

Mac OS X Server高可用性の管理バージョン 10.4以降用

Mac OS X Server サービスの高い可用性を確保するようにフェイルオーバー、リンクアグリゲーション、負荷分散、その他のハードウェアおよび

ソフトウェア設定を管理する方法について説明します。

Mac OS X Server Xgrid の管理バージョン 10.4以降用

Xgridアプリケーションを使用して Xserveの計算クラスタを管理する方法について説明します。

Mac OS X Server用語集：Mac

OS X Server、Xserve、XserveRAID、およびXsan の用語

サーバおよび記憶装置製品で使用される用語の意味について説明します。

ガイド名ガイドの内容：


OpenLDAP のWeb サイト（ www.openldap.org） —LDAPディレクトリサービスを提供するためにオープンディレクトリで使用するオープン・ソース・ソフトウェアについて知ることができます。

MIT Kerberos のWebサイト（ web.mit.edu/kerberos/www/） —堅牢なシングルサインオン認

証を提供するためにオープンディレクトリで使用するプロトコルの背景情報と仕様が公開されてい

ます。

Berkeley DB の Web サイト（ www.sleepycat.com/） —オープンディレクトリで LDAPディレクトリデータの保存に使用するオープン・ソース・データベースについての解説や技術マニュアルが

あります。

RFC3377、Lightweight Directory Access Protocol（v3）：技術仕様

（ www.rfc-editor.org/rfc/rfc3377.txt） —RFC（ Request for Comment）に関するその他の 8つの書類のセットがリストされているほか、 LDAPv3プロトコルの概要と詳細な仕様が載っています。


1
1 オープンディレクトリを使ったディレクトリサービス
ディレクトリサービスは、組織内のコンピュータユーザとネットワークリソースに関する情報の中央リポジトリを提供します。

中央リポジトリに管理データを保存することには、次のようなさまざまな利点があります： • データ入力の手間が減ります。 • すべてのネットワークサービスおよびクライアントに、ユーザとリソースに関する一貫した情報を持たせることができます。

• ユーザとリソースの管理を簡素化できます。 • ほかのネットワークサービスに識別、認証、および認可情報を提供できます。

ディレクトリサービスは、教育機関や大企業の環境でユーザやコンピュータリソースを管理する方

法として最適です。 10人程度の組織にも、ディレクトリサービスの導入は効果的です。

ディレクトリサービスには、二重の利点があります。ディレクトリサービスによって、システムと

ネットワークの管理が簡単になり、ユーザが簡単にネットワークを利用できるようになります。ディ

レクトリサービスを使えば、管理者はすべてのユーザに関する情報（名前、パスワード、およびネッ

トワークのホームディレクトリの場所など）を、各コンピュータで管理するのではなく、一元管理

できます。ディレクトリサービスは、プリンタ、コンピュータ、およびその他のネットワークリソー

スに関する情報も集中管理できます。ユーザとリソースに関する情報を集中化させることで、シス

テム管理者の情報管理にかかる負担を削減できます。また、各ユーザには、ネットワーク上の認証

されたどのコンピュータにでもログインできる、集中管理されたユーザアカウントが用意されます。

集中管理されたディレクトリサービスとファイルサービスがホストネットワークのホームディレク

トリに設定されていれば、ユーザがどこでログインしても、ユーザは同じホームディレクトリ、個

人用デスクトップ、および個人設定を取得できます。ユーザは、いつでも自分のファイルにアクセ

スし、認証されているネットワークリソースを簡単に探して使用できます。

19

20

ディレクトリサービスとディレクトリドメインディレクトリサービスは、ユーザやリソースに関する情報を必要とするアプリケーションやシステ

ムソフトウェアのプロセスと、そうした情報を格納するディレクトリドメインとの間を仲介します。 Mac OS X および Mac OS X Server では、オープンディレクトリがディレクトリサービスを提供します。オープンディレクトリは、 1つのディレクトリドメインまたは複数のディレクトリドメイン内の情報にアクセスできます。

ディレクトリドメインは、専用のデータベースに情報を保存します。このデータベースは、多数の

情報要求の処理および迅速な情報の検索と取得を実行できるように最適化されています。

Mac OS X コンピュータで実行されるプロセスは、オープンディレクトリ・サービスを使用して、ディレクトリドメインに情報を保存できます。たとえば、「ワークグループマネージャ」を使って

ユーザアカウントを作成すると、オープンディレクトリがユーザ名とその他のアカウント情報を

ディレクトリドメイン内に格納します。もちろん、その後で「ワークグループマネージャ」を使っ

てユーザアカウント情報を確認することができます。その場合、オープンディレクトリはユーザ情

報をディレクトリドメインから取得します。

プリンタ

グループ

コンピュータ

ユーザ

アプリケーション

およびシステム

ソフトウェアのプロセス

マウントディレクトリ

ドメイン

オープン

ディレクトリ

第 1章オープンディレクトリを使ったディレクトリサービス

ほかのアプリケーションとシステムソフトウェアのプロセスも、ディレクトリドメインに格納され

たユーザアカウント情報を使用できます。ユーザが Mac OS X コンピュータにログインしようとすると、ログインプロセスがオープンディレクトリ・サービスを使ってユーザ名とパスワードを検証

します。

歴史的な背景 Mac OS Xと同様、オープンディレクトリは UNIXの特性を継承しています。 UNIXシステムでは一般的に、煩雑な管理作業を必要とする設定ファイル内に管理データが保存されており、オープンディ

レクトリはそれらのデータへのアクセスを提供します。（一部の UNIXシステムは現在でも設定ファイルのみを利用しています。）オープンディレクトリは、データを統合し、容易にアクセスおよび管

理できるように分散させます。

ワークグループマネージャオープン

ディレクトリ

ディレクトリドメイン

第 1章オープンディレクトリを使ったディレクトリサービス 21

22

データの統合長年にわたり、 UNIX システムは、「 /etc」ディレクトリに置かれた一連のファイルに管理情報を保存してきました。この方式では、各 UNIXコンピュータが固有のファイルのセットを保存する必要があり、 UNIXコンピュータ上で実行されるプロセスは、管理情報が必要なときに、そのコンピュータのファイルを読み取ります。 UNIXの使用経験があれば、「 /etc」ディレクトリ内に置かれた「 group」、「 hosts」、「 hosts.equiv」、「 master.passwd」などのファイルについてはご存知でしょう。たとえば、ユーザのパスワードを必要とする UNIXのプロセスは、「 /etc/master.passwd」ファイルを参照します。「 /etc/master.passwd」ファイルには、各ユーザアカウントのレコードが含まれています。また、グループ情報を必要とする UNIXプロセスは「 /etc/group」ファイルを参照します。

オープンディレクトリは、管理情報を統合し、プロセスが、管理データを簡単に作成および使用で

きるようにします。

UNIXプロセス

/etc/master.passwd

/etc/hosts

/etc/group

Mac OS Xプロセス

オープン

ディレクトリ


プロセスは、管理データの保存方法と保存場所を知っている必要がなくなります。オープンディレ

クトリが、プロセスのためにデータを取得します。プロセスがユーザのホームディレクトリの場所

を必要とする場合、プロセスは単純にオープンディレクトリに情報の取得を要求します。オープン

ディレクトリが要求された情報を探して返すので、プロセスは情報の詳しい保存方法を知っている

必要がありません。複数のディレクトリドメインに保存された管理データにアクセスするように

オープンディレクトリを設定した場合、オープンディレクトリは、必要に応じて自動的にそれらの

ディレクトリドメインを参照します。

ディレクトリドメインに保存されるデータの一部は、 UNIX設定ファイルに保存されるデータと同じものです。たとえば、ホームディレクトリの場所、実際の名前、ユーザ ID、グループ IDなどは、標準の「 /etc/passwd」ファイルではなく、ディレクトリドメインのユーザレコードに保存されます。ただし、ディレクトリドメインは大量の追加データを保存して、 Mac OS Xクライアントコンピュータ管理のサポートなど、 Mac OS Xに固有の機能をサポートします。

データの分散 UNIX設定ファイルのもう 1つの特徴として、設定ファイルに保存された管理データはファイルが置かれているコンピュータでのみ利用できることが挙げられます。各コンピュータは、専用の UNIX設定ファイルを保持します。 UNIX 設定ファイルを使用する場合、ユーザが使用する各コンピュータにそのユーザのアカウント設定が保存されている必要があり、さらに各コンピュータにそのコン

ピュータを使用できるすべてのユーザのアカウント設定が保存されている必要があります。コン

ピュータのネットワーク構成を設定する場合、管理者は、そのコンピュータに移動し、ネットワー

クでコンピュータを識別する IPアドレスやその他の情報を直接入力する必要があります。

同様に、 UNIX設定ファイル内のユーザ情報またはネットワーク情報を変更する場合、管理者は、設定ファイルが置かれているコンピュータ上で情報を変更する必要があります。ネットワーク設定な

ど、変更内容によっては、管理者が複数のコンピュータで同じ変更を加える必要があります。ネッ

トワークのサイズが大きくなり、より複雑になると、この方法は困難になります。

Mac OS Xプロセス



オープン

ディレクトリ


24

オープンディレクトリでは、ネットワーク管理者が 1 カ所から管理できるディレクトリドメインに管理データを保存できるので、この問題が解決します。オープンディレクトリを使用すると情報を

分散できるので、情報を必要とするコンピュータや情報を管理する管理者がネットワークで情報を

見ることができます。

ディレクトリデータの使用オープンディレクトリによって、ディレクトリドメイン内でネットワーク情報を簡単に統合して管理

できるようになりますが、これらの情報が価値を持つのは、ネットワークコンピュータ上で実行され

るアプリケーションやシステムソフトウェアが実際にそれらの情報にアクセスする場合のみです。

Mac OS X システムやアプリケーションソフトウェアがディレクトリデータを使用するケースについて次に示します： • ログイン：すでに述べた通り、「ワークグループマネージャ」でディレクトリドメイン内にユーザレコードを作成でき、それらのレコードは、 Mac OS Xコンピュータおよび Windowsコンピュータにログインするユーザの認証に使用できます。ユーザが Mac OS X のログインウインドウで名前とパスワードを指定すると、ログインプロセスがオープンディレクトリに、名前とパスワード

を認証するよう要求します。オープンディレクトリは、その名前を使ってディレクトリドメイン

でユーザのアカウントレコードを検索し、ユーザレコード内の追加データを使ってパスワードを

検証します。 • フォルダやファイルへのアクセス：ログインが正常に完了すると、ユーザはファイルやフォルダにアクセスできるようになります。 Mac OS Xでは、ユーザレコードの別のデータを使用して、各ファイルまたはフォルダに対するユーザのアクセス権を判別します。

システム管理者

ユーザ


オープン

ディレクトリ


• ホームディレクトリ：ディレクトリドメイン内の各ユーザレコードにはユーザのホームディレクトリの場所が保存されています。ホームディレクトリはホームフォルダとも呼ばれます。ホーム

ディレクトリは、ユーザが個人用のファイル、フォルダ、環境設定を保存する場所です。ユーザ

のホームディレクトリは、ユーザが通常使用する特定のコンピュータまたはネットワーク・ファ

イル・サーバに置くことができます。 • 自動マウント共有ポイント：共有ポイントは、クライアントコンピュータの Finderウインドウの「 / ネットワーク」フォルダ（ネットワークアイコン）に自動マウントされる（自動的に表示される）ように設定できます。これらの自動マウント共有ポイントに関する情報はディレクトリドメ

インに保存されます。共有ポイントとは、ネットワーク経由でアクセスできるように設定したフォ

ルダ、ディスク、またはディスクパーティションです。 • メールアカウント設定：ディレクトリドメイン内の各ユーザレコードでは、ユーザがメールサービスを使用できるかどうか、使用するメールプロトコル、受信メールの表示方法、メール到着時

に警告をユーザに表示するかどうかなどを指定します。 • リソースの利用：ディスク、プリント、およびメールのクオータをディレクトリドメインの各ユーザレコードに保存できます。

• 管理されたクライアントの情報：管理者は、アカウントレコードがディレクトリドメイン内に保存されているユーザの Mac OS X 環境を管理できます。管理者は、ディレクトリドメイン内に保存されている必須の環境設定の設定を行い、ユーザの個人設定を無効にします。

• グループの管理：ディレクトリドメインには、ユーザレコードに加えて、グループレコードも保存されます。各グループレコードは、グループに所属するすべてのユーザに影響します。グルー

プレコード内の情報は、グループメンバーの環境設定を指定します。グループレコードによって、

ファイル、フォルダ、およびコンピュータへのアクセス権も決まります。 • 管理対象ネットワーク表示：管理者は、ユーザが Finderウインドウのサイドバーで「ネットワーク」アイコンを選択したときに表示されるカスタム表示を設定できます。これらの管理対象ネッ

トワーク表示は、ディレクトリドメインに保存されるため、ユーザのログイン時に自動的に利用

できるようになります。

ディレクトリアクセスへのアクセスオープンディレクトリは、次の種類のディレクトリサービス内のディレクトリドメインにアクセス

できます： •

LDAP（ Lightweight Directory Access Protocol）。 Macintosh、 UNIX、および Windowsシステムが混在する環境でよく使われるオープンスタンダードの 1つ。 LDAP は、 Mac OS X Server の共有ディレクトリ用のネイティブ・ディレクトリ・サービスです。

•

NetInfo。すべての Mac OS X システムのローカル・ディレクトリドメイン用のディレクトリサービス。 Mac OS X Serverのレガシー・ディレクトリ・サービスです。

•

Active Directory。 Microsoft Windows 2000および 2003サーバのディレクトリサービス •

NIS（ Network Information System）。多くの UNIXサーバのディレクトリサービス

•

BSDフラットファイル。 UNIXシステムのレガシー・ディレクトリ・サービス


26

ネットワークサービスの検出オープンディレクトリは、ディレクトリから取得する管理データ以外の情報も提供できます。つま

り、オープンディレクトリは、ネットワークで使用可能なサービスに関する情報も提供できます。た

とえば、オープンディレクトリは、現在使用可能なファイルサーバに関する情報を提供できます。

オープンディレクトリは、存在と場所を公開しているネットワークサービスを検出できます。サー

ビスは、標準のプロトコルを使用して公開されます。オープンディレクトリは、次のサービス検出

プロトコルをサポートしています： •

Bonjour。ファイル、プリント、チャット、音楽の共有、および IPネットワーク上のその他のサービスを検出するために、マルチキャスト DNSを使用する Appleプロトコル

•

AppleTalk。ファイル、プリント、およびその他のネットワークサービスを検出するためのレガシープロトコル

•

SLP（ Service Location Protocol）。 IP ネットワークでファイルサービスやプリントサービスの検出に使用されるオープンスタンダードのプロトコル

•

SMB/CIFS（ Server Message Block/Common Internet File System）。 Microsoft Windowsでファイル、プリント、およびその他のサービスに使用されるプロトコル

実際には、オープンディレクトリは、サービス検出プロトコルとディレクトリドメインの両方から

取得したネットワークサービスに関する情報を提供できます。この処理を実現するために、オープ

ンディレクトリは、単純に、 Mac OS Xのプロセスから要求された情報の種類に対応するすべての情報ソースに問い合わせます。要求された種類の情報を保管している情報ソースは、その情報をオー

プンディレクトリに提供します。オープンディレクトリは、提供されたすべての情報を集めて、要

求元の Mac OS Xのプロセスに渡します。

ファイルサーバ


オープン

ディレクトリ


たとえば、オープンディレクトリがファイルサーバに関する情報を要求した場合、ネットワークの

ファイルサーバが、サービス検出プロトコルを使用して応答し、サービスの情報を提供します。一

部のファイルサーバに関する比較的静的な情報を含んでいるディレクトリドメインもこの要求に答

えます。オープンディレクトリは、サービス検出プロトコルとディレクトリドメインから情報を収

集します。

オープンディレクトリが、ユーザに関する情報を要求した場合、サービス検出プロトコルは、ユー

ザ情報を保管していないため応答しません。（理論的には、 AppleTalk、 Bonjour、 SMB/CIFS、および SLP はユーザ情報を提供できますが、実際には、提供できるユーザ情報を格納していません。）オープンディレクトリが収集するユーザ情報は、その情報を格納しているすべてのソース、すなわちディ

レクトリドメインから提供されます。



オープン

ディレクトリ



28

ディレクトリドメインの内側ディレクトリドメイン内の情報は、レコードタイプごとに整理されます。レコードタイプは、ユー

ザ、グループ、コンピュータなど、特定の情報カテゴリです。ドメインディレクトリで、レコード

タイプごとに保存できるレコード数に制限はありません。各レコードは属性の集まりであり、各属

性は 1つ以上の値を含んでいます。各レコードタイプを 1つのカテゴリの情報を含むスプレッドシートと考えた場合、レコードはスプレッドシートの行と考えることができ、属性はスプレッドシート

の列と考えることができます。そして、スプレッドシートの各セルが 1つ以上の値を含みます。

たとえば、「ワークグループマネージャ」を使用してユーザアカウントを定義する場合は、ユーザレ

コード（レコードタイプが「ユーザ」のレコード）を作成します。ユーザ名（ショートネーム）、フ

ルネーム、ホームディレクトリの場所など、ユーザアカウントに対して設定する値が、ユーザレコー

ド内の属性の値になります。ユーザレコードとその属性値は、ディレクトリドメインに保存されます。

LDAPや Active Directoryなどの一部のディレクトリサービスでは、ディレクトリ情報は、オブジェクトクラスごとに整理されます。レコードタイプと同様に、オブジェクトクラスは、情報のカテゴ

リを定義します。オブジェクトクラスでは、エントリーと呼ばれる、類似の情報オブジェクトを定

義します。エントリーは、エントリーに含める必要がある、または含めることができる属性を指定

することで定義されます。特定のオブジェクトクラスの場合は、ディレクトリドメインに複数のエ

ントリーを含めることができ、各エントリーには複数の属性を含めることができます。属性によっ

ては、単一の値を持つ場合と、複数の値を持つ場合があります。たとえば、 inetOrgPersonオブジェクトクラスでは、ユーザ属性を含むエントリーを定義します。 inetOrgPersonクラスは、 RFC 2798で定義された標準 LDAP クラスです。その他の標準 LDAP オブジェクトクラスおよび属性は、 RFC2307で定義されています。オープンディレクトリのデフォルトのオブジェクトクラスおよび属性は、これらの RFC に基づいています。

属性とレコードタイプまたはオブジェクトクラスの集まりは、ディレクトリドメイン内の情報の青

写真を提供します。この青写真は、ディレクトリドメインのスキーマと呼ばれています。


LDAPディレクトリ情報の構造 LDAP ディレクトリでは、エントリーは、階層構造のツリー状構造に配置されます。一部の LDAPディレクトリでは、この構造は、地理的境界や組織的境界に基づいています。さらに、この構造は

通常、インターネットドメイン名に基づいています。

簡単なディレクトリ構造では、ユーザ、グループ、コンピュータ、およびその他のオブジェクトク

ラスを表すエントリーは、階層のルートレベルの直下にあります。

エントリーは、その識別名（ DN）で参照されます。 DN は、相対識別名（ RDN）と呼ばれるエントリー自体の名前と、そのエントリーの上位エントリーの名前を連結して構成されます。たとえば、 Anne Johnsonのエントリーの場合、「 uid=anne」という RDNと「 uid=anne, cn=users, dc=example, dc=com」という DNがあります。

LDAPサービスでは、エントリーの階層を検索することによってデータを取得します。検索は、どのエントリーからでも開始できます。検索を開始するエントリーは、検索ベースと呼ばれます。検索

ベースを指定するには、 LDAPディレクトリ内のエントリーの識別名を指定します。たとえば、検索ベース「 cn=users, dc=example, dc=com」では、「 cn」属性の値が「 users」であるエントリーから LDAPサービスが検索を開始するように指定されます。

また、 LDAP階層で検索ベースより下のどのレベルまで検索するかを指定することもできます。検索範囲には、検索ベースより下のすべてのサブツリーを含めることも、検索ベースより下の最初のレ

ベルのエントリーだけを含めることもできます。コマンドラインツールを使用して LDAP ディレクトリを検索する場合は、検索範囲を検索ベースのエントリーだけに制限することもできます。

dc=comdc=example

cn=users cn=groups cn=computers

uid=annecn=Anne Johnson

uid=juancn=Juan Chavez


30

ローカル・ディレクトリドメインと共有ディレクトリドメインサーバのユーザ情報とほかの管理データを保存する場所は、データを共有する必要があるかどうか

に応じて決定します。この情報は、サーバのローカル・ディレクトリドメインまたは共有ディレク

トリドメイン内に保存することもできます。

ローカル・ディレクトリドメインについてすべての Mac OS X コンピュータには、ローカル・ディレクトリドメインがあります。ローカルドメインの管理データにアクセスできるのは、そのドメインが置かれたコンピュータ上で実行される

アプリケーションやシステムソフトウェアのみです。ローカルドメインは、ユーザが、ログインす

る場合や、ディレクトリドメインに保存されたデータを必要とするほかの操作を実行する場合に最

初に参照されるドメインです。

ユーザが Mac OS X コンピュータにログインすると、オープンディレクトリによって、コンピュータのローカル・ディレクトリドメインでユーザのレコードが検索されます。ローカル・ディレクト

リドメインにユーザのレコードが含まれている場合でユーザが正しいパスワードを入力した場合、

ログインプロセスが続行され、ユーザはコンピュータにアクセスできるようになります。

ログイン後、ユーザは、「移動」メニューから「サーバへ接続」を選び、ファイルサービスを使用す

るために Mac OS X Server に接続できます。この場合は、サーバのオープンディレクトリが、サーバのローカル・ディレクトリドメイン内でユーザのレコードを検索します。サーバのローカル・ディ

レクトリドメインにユーザのレコードが保存されていて、ユーザが正しいパスワードを入力した場

合、サーバはファイルサービスへのアクセス権をユーザに与えます。

Mac OS Xコンピュータをはじめて設定する場合は、コンピュータのローカル・ディレクトリドメインが自動的に作成され、ドメインにレコードが格納されます。たとえば、インストールを実行した

ユーザのユーザレコードが作成されます。ユーザレコードには、設定中に入力されたユーザ名とパ

スワード、およびユーザの一意の IDやユーザのホームディレクトリの場所などの情報が含まれます。

ローカル・

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

Mac OS X にログイン Mac OS X Serverの

ファイルサービスに接続


共有ディレクトリドメインについてすべての Mac OS X コンピュータ上のオープンディレクトリは、コンピュータのローカル・ディレクトリドメイン内に管理データを保存できますが、オープンディレクトリの真の効果は、共有ディ

レクトリドメイン内にデータを保存することによって、複数の Mac OS X コンピュータが管理データを共有できる点にあります。コンピュータが共有ドメインを使用するように設定されている場合、そのコンピュータ上で実行されるアプリケーションやシステムソフトウェアも共有ドメイン内のす

べての管理データにアクセスできます。

オープンディレクトリが Mac OS X コンピュータのローカルドメイン内でユーザのレコードを見つけることができない場合、オープンディレクトリは、そのコンピュータがアクセスできるすべての

共有ドメイン内でユーザのレコードを検索できます。次の例では、両方のコンピュータからアクセ

スできる共有ドメイン内にユーザのレコードが含まれているので、ユーザは両方のコンピュータに

アクセスできます。

共有ドメインは通常、サーバ上に置かれています。これは、ディレクトリドメインが認証するユー

ザのデータなどの極めて重要なデータを保管するためです。通常、サーバへのアクセスは、そこに

あるデータを保護するために厳しく制限されます。さらに、ディレクトリデータは常に利用可能で

ある必要があります。多くの場合、サーバには信頼性を高めるための特別なハードウェアが用意さ

れています。また、サーバは無停電電源に接続することができます。

共有

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

Mac OS Xにログイン Mac OS X Serverの



32

既存のディレクトリドメイン内の共有データ大学や世界的規模の企業など、一部の組織では、 UNIXサーバや Windowsサーバのディレクトリドメイン内にユーザ情報やその他の管理データを保存します。オープンディレクトリは、 Mac OS XServer システムの共有オープンディレクトリのドメインと同様に、アップル以外のドメインも検索するように設定できます。

Mac OS X がディレクトリドメインを検索する順序を設定することができます。検索方式は、 Mac OS Xがディレクトリドメインを検索する順序を決定します。検索方式については、次の章で説明します。

Mac OS 9ユーザ Mac OS Xユーザ Windowsユーザ

Mac OS X Server

共有

ディレクトリ

Windowsサーバ

ローカル

ディレクトリ ActiveDirectoryドメイン

ローカル

ディレクトリ


2
2 オープンディレクトリの検索方式
各コンピュータには検索方式があり、 1つまたは複数のディレクトリドメインと、オープンディレクトリがそれらを検索する順序を指定します。

それぞれの Mac OS X コンピュータには、コンピュータのローカルディレクトリや特定の共有ディレクトリなど、オープンディレクトリがどのディレクトリドメインにアクセスできるかを指定する

検索方式があります。検索方式は、オープンディレクトリがディレクトリドメインにアクセスする

順序も指定します。オープンディレクトリは各ディレクトリドメインを順番に検索し、一致が見つ

かると検索を停止します。たとえば、オープンディレクトリは、探している名前と一致するユーザ

名を持つレコードが見つかると、ユーザレコードの検索を停止します。

検索方式は「検索パス」とも呼ばれます。

検索方式のレベル検索方式には、ローカルディレクトリのみ、ローカルディレクトリと共有ディレクトリ、またはロー

カルディレクトリと複数の共有ディレクトリを含めることができます。共有ディレクトリを含む

ネットワークでは、通常は複数のコンピュータが共有ディレクトリにアクセスします。この配置は、

一番上に共有ディレクトリがあり一番下にローカルディレクトリがある、ツリーのような構造とし

て表現できます。

33

34

ローカルディレクトリの検索方式最も単純な検索方式は、コンピュータのローカルディレクトリのみで構成されます。この場合、オー

プンディレクトリは、ユーザ情報とその他の管理データを各コンピュータのローカル・ディレクト

リドメイン内のみで検索します。ネットワーク上のサーバが共有ディレクトリを管理する場合、オー

プンディレクトリはユーザ情報や管理データをそこで検索しません。これは、共有ディレクトリが

コンピュータの検索方式の一部ではないためです。

2レベルの検索方式ネットワーク上のサーバのいずれかが共有ディレクトリを管理する場合は、ネットワーク上のすべ

てのコンピュータの検索方式に共有ディレクトリを含めることができます。この場合、オープンディ

レクトリはユーザ情報とその他の管理データを最初にローカルディレクトリで検索します。必要な

情報がローカルディレクトリで見つからない場合、オープンディレクトリは共有ディレクトリを確

認します。

2レベルの検索方式を使用できるケースについて、次に説明します：

ローカル・ディレクトリドメインローカル・ディレクトリドメイン

1検索方式

ローカル・ディレクトリドメインローカル・ディレクトリドメイン

共有ディレクトリドメイン

12

検索方式

英語クラスのコンピュータ数学クラスのコンピュータ理科クラスのコンピュータ

ローカル・ディレクトリドメインローカル・ディレクトリドメインローカル・ディレクトリドメイン

共有ディレクトリドメイン

12

検索方式

第 2章オープンディレクトリの検索方式

各学科（英語、数学、理科）には、専用のコンピュータがあります。各学科の学生は、その学科の

コンピュータのローカルドメインでユーザとして定義されています。これらの 3 つのローカルドメインは同じ共有ドメインを使用し、すべての教師はその共有ドメインに定義されています。教師は、

共有ドメインのメンバーとして、すべての学科のコンピュータにログインできます。各ローカルド

メインの学生は、自分のローカルアカウントが置かれているコンピュータにのみログインできます。

ローカルドメインは、各部門のコンピュータに置かれますが、共有ドメインは、ローカルドメイン

のコンピュータからアクセスできるサーバ上に置くことができます。教師が 3 つの学科コンピュータのいずれかにログインしたときに、ローカルドメインでその教師が見つからない場合は、オープ

ンディレクトリは共有ドメインを検索します。この例では、共有ドメインは 1 つのみですが、より複雑なネットワークではより多くの共有ドメインが含まれる場合があります。

複数レベルの検索方式ネットワーク上の複数のサーバが共有ディレクトリを管理する場合は、ネットワーク上のコン

ピュータの検索方式に 2 つ以上の共有ディレクトリを含めることができます。より単純な検索方式の場合、オープンディレクトリは常に、ユーザ情報とその他の管理データを最初にローカルディレ

クトリで検索します。必要な情報がローカルディレクトリで見つからないと、オープンディレクト

リは、各共有ディレクトリを検索方式で指定されている順序で検索します。

学校のMac OS XServer

英語クラスの

コンピュータ

数学クラスの

コンピュータ

理科クラスの

コンピュータ

共有

ディレクトリ

ローカル

ディレクトリローカル

ディレクトリ

ローカル

ディレクトリ

ローカル

ディレクトリ

第 2章オープンディレクトリの検索方式 35

36

複数の共有ディレクトリを使用できるケースについて、次に説明します：

各学科（英語、数学、理科）には、共有ディレクトリドメインを管理するサーバがあります。各教

室のコンピュータの検索方式は、コンピュータのローカルドメイン、学科の共有ドメイン、および

学校の共有ドメインを指定します。各学科の学生は、学科のどのコンピュータにもログインできるように、その学科のサーバの共有ドメインのユーザとして定義されています。教師は、どの教室の

コンピュータにもログインできるように、学校のサーバの共有ドメインに定義されています。

管理データを定義するドメインを選択することによって、ネットワーク全体を対象とすることも、特

定のコンピュータのグループを対象とすることもできます。検索方式内の高いレベルに管理データ

を置くほど、ユーザやシステムリソースの変更時に変更する必要がある個所が少なくなります。ディ

レクトリサービスに関する局面のうち、管理者にとって最も重要なのは、ディレクトリドメインと

検索方式の計画だと言えます。この計画は、共有するリソース、それらを共有するユーザ、さらに

はディレクトリデータの管理方法も反映している必要があります。

自動検索方式 Mac OS Xコンピュータは、検索方式を自動的に設定するように設定できます。自動検索方式は 3つの部分で構成され、そのうちの 2つはオプションです： • ローカル・ディレクトリドメイン • 共有 NetInfoドメイン（オプション） • 共有 LDAPディレクトリ（オプション）

Active Directoryドメイン

1234

検索方式学校のディレクトリドメイン

理科クラスのディレクトリドメイン数学クラスのディレクトリドメイン英語クラスのディレクトリドメイン


コンピュータの自動検索方式では、常に、コンピュータのローカル・ディレクトリドメインが最初

に検索されます。 Mac OS X コンピュータがネットワークに接続されていない場合、コンピュータはユーザアカウントとその他の管理データを、そのローカル・ディレクトリドメインのみで検索し

ます。

次に、自動検索方式では、コンピュータが共有 NetInfo ドメインにバインドするように設定されているかどうかを判断します。コンピュータは、共有 NetInfo ドメインにバインドされている場合があり、そのドメインが別の共有 NetInfo ドメインにバインドされ、さらにバインドが続いている場合もあります。 NetInfo バインディングがある場合は、自動検索方式の 2番目の部分を構成します。詳しくは、 153 ページの「 NetInfoバインディングについて」を参照してください。

最後に、自動検索方式を持つコンピュータは、共有 LDAP ディレクトリにバインドすることができます。コンピュータは起動時に、 DHCP サービスから LDAP ディレクトリサーバのアドレスを取得できます。 Mac OS X Serverの DHCPサービスは、 DNSサーバおよびルーターのアドレスを提供するのと同様に、 LDAP サーバアドレスを提供できます。（アップル以外の DHCP サービスも LDAPサーバアドレスを提供できる場合があります。この機能は DHCP Option 95と呼ばれます。）

Mac OS X Server の DHCPサービスで、クライアントに自動検索方式のために特定の LDAPサーバのアドレスを提供する場合は、 DHCP サービスの LDAP オプションを設定する必要があります。手順については、ネットワークサービス管理ガイドの DHCPの章を参照してください。

Mac OS X コンピュータで DHCP サービスから LDAP サーバのアドレスを取得する場合は、以下の点に注意してください： • コンピュータが自動検索方式を使用するように設定されている必要があります。これには、 DHCPから提供される LDAPディレクトリを追加するオプションの選択も含まれます。詳しくは、 114 ページの「検索方式を設定する」および 118 ページの「 DHCP によって提供される LDAP ディレクトリを有効にする／無効にする」を参照してください。

• コンピュータの「ネットワーク」環境設定が、「 DHCP」または「 DHCPを使って IPアドレスを手入力」に設定されている必要があります。 Mac OS Xは、最初は「 DHCP」を使用するように設定されています。「ネットワーク」環境設定の設定について詳しくは、「 Mac ヘルプ」を検索してください。

自動検索方式は、特にモバイルコンピュータの場合に、利便性と柔軟性に優れています。自動検索

方式を持つコンピュータがネットワークから接続を解除されている場合や、別のネットワークに接

続されている場合、または別のサブネットに移動された場合、自動検索方式が変わることがありま

す。コンピュータがネットワークから接続を解除されている場合は、そのローカル・ディレクトリ

ドメインを使用します。コンピュータが別のネットワークまたはサブネットに接続されている場合

は、その NetInfo バインディングを自動的に変更し、現在のサブネット上の DHCP サービスから LDAPのアドレスを取得できます。自動検索方式では、新しい場所でディレクトリおよび認証サービスを取得するために、コンピュータを再設定する必要はありません。

第 2章オープンディレクトリの検索方式 37

38

重要：自動の認証検索方式を使用し、 DHCPから提供される LDAPサーバまたは DHCPから提供される NetInfo ドメインを使用するように Mac OS X を設定すると、攻撃者にコンピュータの制御を奪われる危険性が増します。コンピュータがワイヤレスネットワークに接続するように設定されて

いる場合、この危険性はさらに高くなります。詳しくは、 117 ページの「コンピュータを不当な DHCPサーバから保護する」を参照してください。

カスタム検索方式 Mac OS Xコンピュータで、 DCHPが提供する自動検索方式を使用しない場合は、コンピュータにカスタム検索方式を定義できます。たとえば、カスタム検索方式では、オープンディレクトリ・サー

バの共有ディレクトリドメインの前に Active Directoryドメインを検索するように指定できます。これにより、ユーザは、 Active Directory ドメインからユーザレコードを使用してログインしたり、オープンディレクトリドメインからグループレコードおよびコンピュータレコードで環境設定を管

理したりできます。

一般に、カスタム検索方式は、複数のネットワークでは、またはネットワークに接続されていないと

きは、機能しません。これは、カスタム検索方式が特定のネットワークの特定のディレクトリドメ

インの可用性に依存しているためです。ポータブルコンピュータが通常のネットワークから接続を

解除されている場合、そのポータブルコンピュータは、カスタム検索方式で共有ディレクトリドメ

インにアクセスすることはできなくなります。接続を解除されたコンピュータでも、それ自体のロー

カル・ディレクトリドメインにはアクセスできます。これは、そのドメインがすべての検索方式で

最初のディレクトリドメインであるためです。ポータブルコンピュータのユーザは、ローカル・ディ

レクトリドメインからユーザレコードを使用してログインできます。これには、モバイル・ユーザ・

アカウントが含まれることもあります。ユーザアカウントは、ポータブルコンピュータが通常のネッ

トワークに接続したときにアクセスする共有ディレクトリドメインからミラーリングされます。

認証およびコンタクトの検索方式 Mac OS Xコンピュータは、実際には複数の検索方式を持ちます。認証情報を検索するための検索方式を持ち、コンタクト情報を検索するための別の検索方式を持ちます。オープンディレクトリは、認

証検索方式を使って、ディレクトリドメインからユーザ認証情報やその他の管理データを検索して

取得します。オープンディレクトリは、コンタクト検索方式を使って、ディレクトリドメインから

名前、アドレス、その他のコンタクト情報を検索して取得します。 Mac OS X の「アドレスブック」はこのコンタクト情報を使用しますが、その他のアプリケーションも同様にこれを使うように設計

できます。

それぞれの検索方式は、自動、カスタム、またはローカルディレクトリのみにすることができます。


3
3 オープンディレクトリの認証
オープンディレクトリは、 Mac OS X Serverのディレクトリドメインにアカウントが保存されているユーザを認証するためのさまざまなオプションを提供します。オプションには、 Kerberosのほかに、ネットワークサービスで要求される従来の認証方法が含まれます。

オープンディレクトリは、次のようにしてユーザを認証できます： • シングルサインオンに Kerberos認証を使用する • 従来の認証方法と、オープンディレクトリ・パスワード・サーバに安全に格納されているパスワードを使用する

• 従来の認証方法と、ユーザごとに安全なシャドウ・パスワード・ファイルに格納されているシャドウパスワードを使用する

• レガシーシステムとの後方互換性のために、ユーザのアカウントに直接保存されている暗号化パスワードを使用する

•

LDAPバインド認証のため、アップル以外の LDAP サーバを使用する

また、オープンディレクトリを使用すると、パスワードの有効期限や最小長などについて、すべて

のユーザのためのパスワード方式やユーザごとに固有のパスワード方式を設定できます。（パスワー

ド方式は、管理者、暗号化パスワード認証、または LDAPバインド認証には適用されません。）

パスワードタイプ各ユーザアカウントには、そのユーザアカウントの認証方法を決定するパスワードタイプがありま

す。ローカル・ディレクトリドメインの場合、標準のパスワードタイプはシャドウパスワードです。 Mac OS X Server バージョン 10.3からアップグレードされたサーバでは、ローカル・ディレクトリドメイン内のユーザアカウントにオープンディレクトリのパスワードタイプを設定することもでき

ます。

Mac OS X Server の LDAP ディレクトリ内のユーザアカウントの場合、標準のパスワードタイプはオープンディレクトリです。 LDAPディレクトリ内のユーザアカウントには、暗号化パスワードのパスワードタイプを設定することもできます。

39

40

オープンディレクトリのパスワードユーザのアカウントにオープンディレクトリのパスワードタイプがある場合、ユーザは、 Kerberosまたはオープンディレクトリ・パスワード・サーバによって認証されます。 Kerberosは、信頼されたサーバが発行した資格情報を使用するネットワーク認証システムです。オープンディレクトリ・パ

スワード・サーバでは、ネットワークサービスの一部のクライアントで要求される、従来のパスワー

ド認証方法をサポートしています。（ Kerberosは、 LDAPディレクトリではなく共有 NetInfoディレクトリでアップグレードされたサーバなど、一部のオープンディレクトリ・サーバでは利用できま

せん。）

Kerberos もオープンディレクトリ・パスワード・サーバも、ユーザのアカウントにはパスワードを保存しません。 Kerberosとオープンディレクトリ・パスワード・サーバは、両方ともディレクトリドメインとは別の所にある安全なデータベースにパスワードを保存し、パスワードの読み出しは一

切できません。パスワードは設定と検証のみ行うことができます。悪意のあるユーザは、 Kerberosやオープンディレクトリ・パスワード・サーバへのアクセスを得るために、ネットワーク上でログ

インを試みることがあります。オープンディレクトリのログは、失敗したログイン試行をユーザに

警告することができます。詳しくは、 160 ページの「オープンディレクトリの状況とログを表示する」を参照してください。

認証と認可ログインウインドウや Apple ファイルサービスのようなサービスは、オープンディレクトリからのユーザ認証を必要とします。認証は、サービスがリソースへのユーザによるアクセスを許可する

かどうかを決定するプロセスの一部です。通常、このプロセスには認可も必要です。認証はユーザ

の身元を証明し、認可は認証されたユーザが何を行うことができるかを決定します。一般的にユー

ザは、有効な名前とパスワードを入力することによって認証を行います。その後でサービスが、認

証されたユーザに特定のリソースへのアクセスを認可します。たとえば、ファイルサービスは、認

証されたユーザが所有するフォルダとファイルへの完全アクセスを認可します。

クレジットカードを使用するときは、認証と認可が行われます。販売店は、売上伝票の署名をクレ

ジットカードの署名と比較することによって認証を行います。次に、認証済みのクレジットカード

の口座番号を銀行に提出します。これにより、口座残高と信用限度額に基づいて支払いが認可され

ます。

オープンディレクトリでユーザアカウントを認証し、サービスアクセス制御リスト（ SACL）でサービスの使用を認可します。オープンディレクトリでユーザを認証すると、ログインウインドウ用の SACLでそのユーザがログイン可能かどうかを判別します。 AFPサービス用の SACLではファイルサービスに接続可能かどうかを判別し、その他同様に判別を行います。一部のサービスでは、ユー

ザが特定のリソースへのアクセスを認可されているかどうかも判別します。この認可では、ディレ

クトリドメインから追加のユーザアカウント情報を取得する必要がある場合があります。たとえ

ば、 AFP サービスでは、ユーザが読み出しや書き込みを認可されているフォルダやファイルを判別するために、ユーザ IDとグループのメンバーシップ情報が必要です。

第 3章オープンディレクトリの認証

次のディレクトリドメイン内のユーザアカウントには、オープンディレクトリのパスワードを設定

できます： •

Mac OS X Serverの LDAPディレクトリ

• バージョン 10.2～ 10.3からアップグレードされた Mac OS X Serverのローカル・ディレクトリドメイン

•

Mac OS X Serverバージョン 10.2からアップグレードされたサーバ、またはまだ 10.2が動作しているサーバの共有 NetInfoディレクトリ

参考：オープンディレクトリのパスワードを使用して Mac OS Xバージョン 10.1 以前にログインすることはできません。 Mac OS X バージョン 10.1 以前のログインウインドウを使ってログインする必要があるユーザは、暗号化パスワードを使用するように設定する必要があります。このパスワー

ドタイプは、ほかのサービスの問題にはなりません。たとえば、 Mac OS X バージョン 10.1 のユーザは、オープンディレクトリのパスワードを使って Appleファイルサービス用に認証できます。

シャドウパスワードシャドウパスワードでは、オープンディレクトリ・パスワード・サーバと同じ従来の認証方法をサ

ポートしています。これらの認証方法は、ネットワークを介してスクランブル形式、つまりハッシュ

で、シャドウパスワードを送信するために使用されます。

シャドウパスワードは、ユーザアカウントが置かれているディレクトリドメインと同じコンピュー

タ上のファイルに、複数のハッシュとして保存されます。パスワードはユーザアカウントに保存さ

れないため、ネットワークを介してパスワードを取得するのは簡単ではありません。各ユーザのシャ

ドウパスワードは、シャドウパスワードファイルと呼ばれる別々のファイルに保存され、これらの

ファイルは、ルート・ユーザ・アカウントによってのみ読み出せるように保護されます。

コンピュータのローカルディレクトリに保存されているユーザアカウントだけが、シャドウパス

ワードを持つことができます。共有ディレクトリに保存されたユーザアカウントは、シャドウパス

ワードを持つことができません。

シャドウパスワードは、モバイル・ユーザ・アカウントのキャッシュされた認証も提供します。モ

バイル・ユーザ・アカウントについて詳しくは、ユーザ管理ガイドを参照してください。

暗号化パスワード暗号化パスワードは、暗号化された値、つまりハッシュとして、ユーザアカウント内に保存されま

す。この方法は、従来より基本認証と呼ばれており、ユーザレコードに直接アクセスする必要があ

るソフトウェアと最も互換性があります。たとえば、 Mac OS X バージョン 10.1 以前では、ユーザアカウントに保存された暗号化パスワードを探すことが求められます。

暗号化による認証は、最大で 8バイト（ 8文字の ASCII文字）の長さのパスワードのみをサポートします。これより長いパスワードをユーザアカウントに入力した場合、暗号化パスワードの検証には

最初の 8 バイトのみが使用されます。シャドウパスワードとオープンディレクトリのパスワードでは、この長さの制限はありません。

ネットワーク上で安全にパスワードを送信するため、暗号化は DHXによる認証方法をサポートしています。

第 3章オープンディレクトリの認証 41

42

暗号化パスワードは安全であると考えることはできません。暗号化パスワードは、暗号化パスワー

ドが要求される UNIXクライアントや、 Mac OS Xバージョン 10.1クライアントとの互換性が必要なユーザアカウントでのみ使用するようにしてください。暗号化パスワードはユーザアカウントに保

存されるためアクセスが容易であり、そのためオフライン攻撃を受けやすくなります（「パスワード

に対するオフライン攻撃」を参照）。エンコードされた形式で保存されていますが、デコードは比較

的容易です。

パスワードに対するオフライン攻撃暗号化パスワードはユーザアカウントに直接保存されるため、解読される可能性があります。共有

ディレクトリドメイン内のユーザアカウントは、ネットワーク上でアクセスできます。「ワークグ

ループマネージャ」を持っているユーザや、コマンドラインツールの使いかたを知っているユーザ

はだれでも、保存されているパスワードなどのユーザアカウントの内容をネットワーク上で読み出

すことができます。オープンディレクトリのパスワードとシャドウパスワードは、ユーザアカウン

トに保存されません。そのため、これらのパスワードはディレクトリドメインから読み出すことは

できません。

悪意のある攻撃者、つまりクラッカーにより、「ワークグループマネージャ」や UNIXコマンドを使って、ユーザレコードをファイルにコピーされる可能性があります。クラッカーはこのファイル

をシステムに転送し、さまざまな技術を使って、ユーザレコードに保存されている暗号化パスワー

ドをデコードします。暗号化パスワードをデコードすれば、クラッカーは、正当なユーザ名と暗号

化パスワードを使って気付かれずにログインできます。

この攻撃は、オフライン攻撃と呼ばれています。システムにアクセスするためにログインに成功す

る必要がないためです。

パスワードの暗号解読を阻止する非常に効果的な方法は、適切なパスワードを使用することです。

パスワードは、権限がないユーザが簡単に推測できないように、英数字と記号を組み合わせて指定

します。パスワードは実在の言葉で構成しないようにします。適切なパスワードには、数字と記号

（ #や $など）を含める場合があります。また、特定のフレーズのすべての単語の、最初の文字で構成する場合もあります。大文字と小文字を両方とも使用するようにします。

重要：シャドウパスワードとオープンディレクトリ・パスワードはユーザレコードに保存されないため、オフライン攻撃を受ける可能性は低くなります。シャドウパスワードは別のファイルに保管

され、このファイルは、ルートユーザ（システム管理者とも呼ばれます）のパスワードを知ってい

るユーザだけが読み出すことができます。オープンディレクトリのパスワードは、 Kerberos KDC内とオープンディレクトリ・パスワード・サーバのデータベース内に、安全に保管されます。ユー

ザのオープンディレクトリのパスワードは、オープンディレクトリによる認証の管理権限を持つ

ユーザであっても、ほかのユーザが読み出すことはできません。（この管理者が変更できるのは、

オープンディレクトリのパスワードとパスワード方式だけです。）


暗号化パスワードの暗号化のしくみ暗号化パスワードはクリアテキストでは保存されません。これらのパスワードは隠蔽され、暗号化

により判読不能になります。暗号化パスワードは、クリアテキストのパスワードを乱数と共に数学

関数（一方向ハッシュ関数と呼ばれます）に提供することによって、暗号化されます。一方向ハッ

シュ関数は常に、特定の入力から暗号化された同じ値を生成しますが、生成した暗号化された値か

らオリジナルのパスワードを再生成するために使用することはできません。

暗号化された値を使ってパスワードを検証する際、 Mac OS Xは関数をユーザが入力したパスワードに適用し、それをユーザアカウントまたはシャドウファイルに保管されている値と比較します。値

が一致した場合、パスワードは有効とみなされます。

使用する認証オプションを決定するユーザを認証するため、オープンディレクトリでは、使用する認証オプションを決定する必要があ

ります。認証オプションには、 Kerberos、オープンディレクトリ・パスワード・サーバ、シャドウパスワード、または暗号化パスワードがあります。ユーザのアカウントには、使用する認証オプショ

ンを指定する情報が含まれています。この情報は、認証機関属性と呼ばれています。このため、オー

プンディレクトリは、ユーザが提供する名前を使ってディレクトリドメイン内のユーザのアカウン

トを探します。次に、オープンディレクトリはユーザのアカウントの認証機関属性を調べて使用す

る認証オプションを確認します。

ユーザの認証機関属性は、次の表に示すように、「ワークグループマネージャ」の「詳細」パネルで

パスワードタイプを変更することによって変更できます。詳しくは、 96 ページの「ユーザのパスワードタイプを変更する」を参照してください。

認証機関属性では、複数の認証オプションを指定できます。たとえば、オープンディレクトリのパ

スワードタイプを持つユーザアカウントには、通常 Kerberos とオープンディレクトリ・パスワード・サーバの両方を指定する認証機関属性が設定されています。

パスワードタイプ認証機関ユーザレコード内の属性

オープンディレクトリオープンディレクトリ・パスワー

ド・サーバや Kerberos 1

いずれか、または両方： •

;ApplePasswordServer;

•

;Kerberosv5;

シャドウパスワード各ユーザのパスワードファイル、ルートユーザのみ読み出し可能

いずれか： •

;ShadowHash;

2

•

;ShadowHash;<有効な認証方法のリスト >

暗号化パスワードユーザレコード内のエンコードされ

たパスワード

いずれか： •

;basic;

• 属性なし

1

Mac OS X Serverバージョン 10.2のユーザアカウントは、 Kerberos認証機関属性を含むように再設定する必要があります。 99 ページの「ユーザのシングルサインオン Kerberos認証を有効にする」を参照してください。

2

ユーザレコード内の属性が「 ;ShadowHash;」で、有効な認証方法のリストがない場合は、デフォルトの認証方法が有効になります。デフォルトの認証方法のリストは、 Mac OS X Serverと Mac OS Xとで異なります。


44

ユーザアカウントに認証機関属性が含まれている必要は、まったくありません。ユーザのアカウン

トに認証機関属性が含まれていない場合、 Mac OS X Server は、ユーザのアカウントに暗号化パスワードが保存されているとみなします。たとえば、バージョン 10.1 以前の Mac OS X を使って作成されたユーザアカウントには暗号化パスワードが含まれていますが、認証機関属性は含まれていま

せん。

パスワード方式オープンディレクトリでは、パスワードタイプがオープンディレクトリまたはシャドウパスワード

のユーザのパスワード方式を強化します。たとえば、ユーザのパスワード方式でパスワードの有効

期限の間隔を指定できます。ユーザがログインしたときに、オープンディレクトリがユーザのパス

ワードの有効期限が切れていることを検出した場合、ユーザは有効期限が切れたパスワードを差し

替える必要があります。その後オープンディレクトリはユーザを認証できます。

パスワード方式により、特定の日付、数日後、待機状態の期間の後、または何回かのログイン試行

の失敗の後に、ユーザアカウントを使用不可にすることができます。パスワード方式は、パスワー

ドが最小の長さを満たすこと、少なくとも 1 つの英字を含むこと、少なくとも 1 つの数値を含むこと、アカウント名とは異なること、最新のパスワードとは異なること、または定期的に変更するこ

とを必要とする場合もあります。

モバイル・ユーザ・アカウントのパスワード方式は、ネットワークから接続解除されている場合も

接続されている場合も、そのアカウントが使用されているときに適用されます。モバイル・ユーザ・

アカウントのパスワード方式は、オフライン時に使用できるようにキャッシュされています。モバ

イル・ユーザ・アカウントについて詳しくは、ユーザ管理ガイドを参照してください。

パスワード方式は、管理者アカウントには影響しません。管理者はパスワード方式を自由に変更で

きるため、管理者にはパスワード方式は適用されません。また、管理者にパスワード方式を適用す

ると、サービス拒否攻撃を受ける可能性があります。

Kerberos とオープンディレクトリ・パスワード・サーバは、パスワード方式を別々に管理します。オープンディレクトリ・サーバは、 Kerberos のパスワード方式のルールとオープンディレクトリ・パスワード・サーバのパスワード方式のルールを同期させます。

シングルサインオン認証 Mac OS X Serverは、シングルサインオン認証のために Kerberosを使用します。これによりユーザは、すべてのサービスに対して名前とパスワードを別々に入力する手間を軽減できます。シングル

サインオンでは、ユーザは常にログインウインドウに名前とパスワードを入力します。その後、ユー

ザは、 Kerberos認証を使用する Appleファイルサービスやメールサービスなどのサービスに対して名前とパスワードを入力する必要がなくなります。シングルサインオン機能を活用するには、ユー

ザとサービスを Kerberos 対応にし、つまり Kerberos認証用に設定し、それらが同じ Kerberos KDC（ Key Distribution Center）サーバを使用する必要があります。


Mac OS X Server の LDAP ディレクトリ内にあり、オープンディレクトリのパスワードタイプを持つユーザアカウントは、サーバの組み込み KDC を使用します。これらのユーザアカウントは、 Kerberos およびシングルサインオン用に自動的に設定されます。このサーバの Kerberos に対応したサービスもサーバの組み込み KDCを使用し、自動的にシングルサインオン用に設定されます。この Mac OS X Server KDCでは、その他のサーバによって提供されるサービスでもユーザを認証できます。 Mac OS X Serverが搭載された追加のサーバで Mac OS X Server KDCを使用するときは、最小限の設定だけで済みます。

Kerberos認証Kerberos は、インターネットなどの開かれたネットワークでの安全な認証と通信を提供するため

に、 MIT が開発しました。この名前は、ギリシア神話の、冥府への入口を守る 3 つの頭を持つ番犬にちなんで付けられました。

Kerberos は、 2 者に対して身元証明書を提示します。使用したいネットワークサービスに対して、自分の身元を証明できます。また、アプリケーションに対して、ネットワークサービスが正統で、詐

称されていないことも証明します。ほかの認証システムと同様、 Kerberosでは認可は提供しません。証明された身元に基づいて、それぞれのネットワークサービスで独自に許可内容を決定します。

Kerberos を使えば、クライアントとサーバは、従来展開されてきた通常のチャレンジ／レスポンス型のパスワード認証方法よりも格段に安全に、相互に明瞭に識別できます。また、 Kerberos では、シングルサインオン環境を提供します。シングルサインオン環境では、ユーザが 1日、 1週間、または一定の期間に 1回だけ認証すれば済むため、ユーザにかかる認証の負担が軽減されます。

Mac OS X Serverでは、実質的にだれでも展開可能な、統合された Kerberosサポートを提供しています。実際、 Kerberos の展開は自動化されているため、ユーザや管理者はその展開に気付かないこともあります。 Mac OS X バージョン 10.3 以降では、ユーザがオープンディレクトリ認証に設定されたアカウントを使用してログインすると、自動的に Kerberosが使用されます。これは、 Mac OS XServer LDAPディレクトリのユーザアカウントのデフォルト設定です。 AFPやメールサービスなど、 LDAP ディレクトリサーバが提供するその他のサービスでも、 Kerberos が自動的に使用されます。ネットワークに Mac OS X Server バージョン 10.4が搭載された追加のサーバがある場合、それらのサーバは簡単に Kerberos サーバに接続することができ、それらのサーバのほとんどのサービスで Kerberos が自動的に使用されます。また、 Microsoft Active Directoryなどの Kerberosシステムがすでにネットワークにある場合は、認証にそれを使うように Mac OS X Serverおよび Mac OS Xコンピュータを設定することもできます。

Mac OS X Server および Mac OS Xのバージョン 10.3および 10.4は、 Kerberosバージョン 5をサポートします。


46

シングルサインオン環境 Kerberos は、資格情報またはチケットベースのシステムです。ユーザが Kerberos システムに 1回ログインすると、有効期限のあるチケットが発行されます。このチケットの有効期限内であれば、

ユーザは、 Kerberos 対応のサービスにアクセスするために再度認証を受ける必要はまったくありません。 Mac OS Xの「 Mail」アプリケーションなど、ユーザの Kerberos対応ソフトウェアでは、有効な Kerberos チケットを自動的に提示してユーザを認証し、 Kerberos 対応のサービスを利用できるようにします。これにより、シングルサインオン環境を実現します。

Kerberos展開の障壁をなくす最近まで、 Kerberos は大学や一部の官公庁サイト向けのテクノロジーにすぎませんでした。 Kerberos がそれほど優れているなら、なぜもっと広く展開されないのでしょうか。それは、採用時の障壁をなくす必要があったのです。

Mac OS Xおよび Mac OS X Serverのバージョン 10.3以降では、 Kerberosを採用する際の歴史的な障壁が取り除かれています。 • 管理者は、 Kerberos KDC（ Key Distribution Center）を設定する必要がありました。これは、展開と管理において重要なプロセスであり、覚悟がなければできませんでした。

• ディレクトリシステムとの標準的な統合方法はありませんでした。 Kerberosでは認証だけを行います。ユーザ ID（ UID）、ホームディレクトリの場所、グループのメンバーシップなどのユーザアカウントのデータは保存されません。管理者は、 Kerberosとディレクトリシステムを統合する方法を解明する必要がありました。

• すべてのサーバは、 Kerberos KDCに登録する必要がありました。このため、サーバの設定プロセスに追加の作業が必要でした。

•

Kerberosサーバを設定したら、管理者はすべてのクライアントコンピュータの前に来て、 Kerberosを使用するようにそれぞれのコンピュータを設定する必要がありました。この作業は難しくはありませんが、時間がかかる上に、設定ファイルを編集したり、コマンドラインツー

ルを使用したりする必要がありました。 • 一連の Kerberos対応アプリケーション（サーバソフトウェアとクライアントソフトウェア）が必要でした。基本的なアプリケーションの中には利用可能なものもありますが、移植して自分

の環境で使用できるように変更することは簡単ではありませんでした。 • クライアント／サーバ型の認証に使用されるすべてのネットワークプロトコルが Kerberosに対応しているわけではありません。一部のネットワークプロトコルでは、依然として従来のチャ

レンジ／レスポンス型の認証方法が必要です。また、 Kerberosとこれらの従来型のネットワーク認証方法を統合する標準的な方法はありません。

•

Kerberosクライアントはフェイルオーバーをサポートしているので、ある KDCがオフラインの場合でも複製を使用できます。しかし、管理者は、 Kerberosの複製を設定する方法を解明する必要がありました。

• 管理ツールは、統合されていませんでした。ディレクトリドメインのユーザアカウントを作成および編集するためのツールは、 Kerberosについて何も認識しませんでした。また、 Kerberosのツールは、ディレクトリのユーザアカウントについて何も認識しませんでした。ユーザレコー

ドの設定は、 KDC とディレクトリシステムを統合した方法に基づく操作で、サイトごとに異なりました。


Kerberos チケットは、たとえば、週末の 3日間複数のナイトクラブで開催されるジャズフェスティバルのプレスパスのようなものです。パスを入手するには、自分の身元を 1 回証明します。パスの有効期限が切れるまでは、どのナイトクラブでもパスを示せば、公演のチケットを入手できます。参

加しているナイトクラブはすべて、再度身元証明書を確認することなく、パスを受け入れます。

安全な認証インターネットは本質的に安全ではありません。多くの認証プロトコルでは、依然として本当のセ

キュリティを提供していません。悪意のあるハッカーは、簡単に入手可能なソフトウェアツールを

使用して、ネットワークを介して送信されるパスワードを傍受できます。多くのアプリケーション

ではパスワードを暗号化せずに送信するため、傍受したパスワードはすぐに使えます。暗号化され

たパスワードであっても、完全に安全ではありません。十分な時間と計算能力があれば、暗号化さ

れたパスワードを破ることができます。

ファイアウォールを使用してプライベートネットワーク上のパスワードを隔離することができます

が、それも万能薬というわけではありません。ファイアウォールでは、不満や悪意を持つ内部関係

者に対するセキュリティは提供されません。

Kerberos は、ネットワークセキュリティの問題を解決するために設計されました。 Kerberosでは、ユーザのパスワードをネットワーク上に送信したり、ユーザのコンピュータのメモリやディスクに

保存したりすることはありません。そのため、 Kerberosの資格情報が破られたり危険にさらされたりしても、攻撃者が元のパスワードを知ることはなく、危険にさらされるとしても、それはネット

ワーク全体ではなく、ネットワークのごく一部に限られます。

Kerberos では、優れたパスワード管理だけでなく相互認証も行います。クライアントはサービスへの認証を受け、サービスはクライアントへの認証を受けます。 Kerberos対応のサービスを使用しているときは、 Man-in-the-Middle 攻撃、つまりなりすまし攻撃は不可能です。つまり、ユーザはアクセスしているサービスを信頼できます。

パスワードの次の段階へネットワーク認証は扱いにくい分野です。新しいネットワーク認証方法を展開するには、クライア

ントとサーバの両方で認証方法に関する合意がなければなりません。また、任意のクライアント／

サーバプロセスでカスタムの認証方法に合意することは可能ですが、一連のネットワークプロトコ

ル、プラットフォーム、およびクライアントで広く採用することは事実上不可能です。

たとえば、ネットワーク認証方法としてスマートカードを展開するとします。 Kerberosを使用しないと、新しい方法に対応するために、クライアント／サーバのすべてのプロトコルを変更する必要

があります。そのプロトコルのリストには、 SMTP、 POP、 IMAP、 AFP、 SMB、 HTTP、 FTP、 IPP、 SSH、 QuickTime Streaming、 DNS、 LDAP、 Netinfo、 RPC、 NFS、 AFS、 WebDAV、 LPRなどが含まれ、ほかにもまだまだあります。ネットワーク認証を行うすべてのソフトウェアのことを考える

と、新しい認証方法を一連のネットワークプロトコルすべてに展開することはやっかいな作業です。

この作業は 1 つの製造元のソフトウェアでは実行可能かもしれませんが、新しいスマートカードの方法を使用するために、すべての製造元のクライアントソフトウェアを変更しようとは思わないで

しょう。さらに、スマートカード認証を Mac OS X、 Windows、および UNIX の複数のプラットフォームで使用したい場合もあります。


48

Kerberos の設計により、 Kerberosをサポートするクライアント／サーバ型のバイナリやプロトコルでは、ユーザが身元（ユーザ名とパスワードのペア、スマートカードと PIN など）を証明する方法を認識することはありません。そのため、 Kerberos クライアントと Kerberos サーバを変更するだけでスマートカードなどの新しい身元証明書を受け入れることができ、クライアントとサーバの新

しいバージョンのソフトウェアを展開せずに、 Kerberosネットワーク全体で新しい身元証明書の方法を採用できます。

マルチプラットフォーム認証 Kerberos は、 Mac OS X、 Windows、 Linux、各種の UNIXなど、すべての主要プラットフォームで使用できます。

集中管理された認証 Kerberos では、ネットワークの中央認証機関を提供します。ネットワーク上の Kerberos対応のサービスとクライアントはすべて、この中央機関を使用します。管理者は、認証方式と操作を集中的に

監査および制御できます。

Kerberosに対応しているサービス Kerberos は、 Mac OS X Serverの次のサービス用にユーザを認証できます： • ログインウインドウ • メールサービス •

AFPファイルサービス

•

FTPファイルサービス •

SMB/CIFSファイルサービス（ Active Directoryの Kerberos保護領域のメンバーとして）

•

VPNサービス •

Apache Webサービス

•

LDAPディレクトリサービス

これらのサービスは、実行していてもいなくても、 Kerberosに対応しています。 Kerberosを使ってユーザを認証できるのは、 Kerberos に対応しているサービスだけです。 Mac OS X Serverには、 MITベースの Kerberosと互換性のある追加のサービスを Kerberosに対応させるためのコマンドラインツールが含まれています。詳しくは、コマンドライン管理ガイドのオープンディレクトリの章を参

照してください。

Kerberosのプリンシパルと保護領域 Kerberos に対応したサービスは、特定の Kerberos 保護領域で認識されるプリンシパルを認証するように設定されています。保護領域は、 Kerberos 固有のデータベースまたは認証ドメインとみなすことができます。ここには、ユーザとサービス（「プリンシパル」と呼ばれます）を検証するための

データが保管されています。サーバの検証データが保管されることもあります。たとえば、保護領

域にはプリンシパルの秘密鍵が含まれています。これは、パスワードに適用される一方向関数の結

果です。通常、サービスのプリンシパルは、パスワードではなくランダムに生成される秘密に基づ

いています。

保護領域とプリンシパル名の例を挙げます。保護領域名は、 DNS ドメイン名と区別するために、名前付け規則により大文字で記述します： • 保護領域： MYREALM.EXAMPLE.COM


• ユーザプリンシパル： [email protected] • サービスプリンシパル： afpserver/[email protected]

Kerberos認証プロセス Kerberos 認証には、いくつかのフェーズがあります。最初のフェーズで、クライアントは、 Kerberosに対応したサービスへのアクセスを要求するために使用する資格を取得します。次のフェーズで、ク

ライアントは、特定のサービスに対する認証を要求します。最後のフェーズで、クライアントは、そ

れらの資格をサービスに示します。

次の図で、この状況の概略を示します。この図の中のサービスとクライアントは、同じエンティティ

（ログインウインドウなど）である場合も、 2 つの別のエンティティ（メールクライアントとメールサーバなど）である場合もあることに注意してください。

1 クライアントは Kerberos KDC（ Key Distribution Center）に認証します。 Kerberos KDCは、保護領域を操作して認証データにアクセスします。パスワードとそれに関連するパスワード方式情報の

チェックが必要となるのは、この手順のみです。

2

KDCはクライアントに、クライアントが Kerberosに対応したサービスを使用するときに必要な資格情報である身分証明書を発行します。身分証明書は、設定可能な期間中は有効です。ただし、期限

切れの前に取り消すことができます。身分証明書は、期限切れになるまで、クライアントのキャッ

シュに保存されます。

3 クライアントは、特定の Kerberosに対応したサービスを使いたいときに、身分証明書によって KDCと連絡します。

4

KDCは該当のサービスに対してチケットを発行します。

5 クライアントは、サービスにチケットを示します。

6 サービスは、チケットが有効であることを検証して、クライアントを認証します。

サービスは、クライアントを認証すると、クライアントがサービスを使用する権限が認証されてい

るかどうかを判別します。 Kerberosは、クライアントを認証するだけで、クライアントがサービスを使用する権限は認証しません。たとえば、多くのサービスでは、 Mac OS X Server のサービスアクセス制御リストを使用して、クライアントがサービスを使用する権限が認証されているかどうか

を判別します。

Kerberos はパスワードやパスワード方式の情報をどのサービスにも送信しないことに注意してください。いったん身分証明書を取得した後は、パスワード情報を入力する必要はありません。

KDC （Key Distribution Center）

Kerberosに対応したサービス

1

2

3

4

5

6

クライアント


50

Kerberos では時間が非常に重要です。クライアントと KDC が数分以上同期しない場合、クライアントは KDCを使って認証を得ることができなくなります。日付、時刻、および時間帯の情報は、 KDCサーバおよびクライアント上で正確である必要があります。これらはすべて、同じネットワーク・タ

イム・サービスを使用してそれぞれの時計を同期させる必要があります。

Kerberos について詳しくは、 MIT Kerberosの Web サイトを参照してください：

web.mit.edu/kerberos/www/index.html

オープンディレクトリ・パスワード・サーバとシャドウパスワードの認証方法さまざまなサービスとの互換性を持たせるため、 Mac OS X Server では、さまざまな認証方法を使用して、オープンディレクトリのパスワードとシャドウパスワードを検証します。オープンディレ

クトリのパスワードの場合、 Mac OS X Server では、標準の SASL（ Simple Authentication andSecurity Layer）方法を使用してクライアントとサービス間で認証方法をネゴシエートします。シャドウパスワードの場合、 SASLを使用するかどうかは、ネットワークプロトコルによって決まります。

認証を必要とする各サービスが使用する方法と使用しない方法があるため、オープンディレクトリ

は、多数のさまざまな認証方法をサポートする必要があります。ファイルサービスはある認証方法

のセットを使用し、 Web サービスは別の認証方法のセットを使用し、さらにメールサービスはまた別のセットを使用します。

認証方法ネットワークのセキュリティ記憶域のセキュリティ使用するもの APOP 暗号化、クリアテキストの

フォールバックを使用

クリアテキスト POPメールサービス

CRAM-MD5 暗号化、クリアテキストの

フォールバックを使用

暗号化 IMAPメールサービス、 LDAPサービス

DHX 暗号化暗号化 AFPファイルサービス、オープンディレクトリの管理

Digest-MD5 暗号化暗号化ログインウインドウ、メールサービス

MS-CHAPv2 暗号化暗号化 VPNサービス

NTLMv1と NTLMv2 暗号化暗号化 SMB/CIFS サービス（ Windows NT ／ 98以降）

LAN Manager 暗号化暗号化 SMB/CIFS サービス（ Windows 95）

WebDAV-Digest 暗号化クリアテキスト WebDAVファイルサービス（ iDisk）


ほかの認証方法よりも安全な認証方法もあります。より安全な方法は、より強固なアルゴリズムを

使用してクライアントとサーバ間で送信する情報をエンコードします。また、より安全な認証方法

は、サーバから容易に回復できないハッシュと呼ばれる暗号化パスワードを保存します。安全性の

低い方法は、回復可能なクリアテキストのパスワードを保存します。

管理者やルートユーザを含み、暗号化パスワードをデータベースから読み出して回復できるユーザ

はいません。管理者は「ワークグループマネージャ」を使ってユーザのパスワードを設定できます

が、ユーザのパスワードを読み出すことはできません。

参考： Mac OS X Serverバージョン 10.4以降を Mac OS X Server10.3以前のディレクトリドメインに接続する場合は、古いディレクトリドメインに定義されているユーザは NTLMv2方法で認証できないことを認識しておいてください。この方法では、 Mac OS X Server バージョン 10.4 以降の Windowsサービスのために、一部の Windowsユーザを安全に認証する必要があります。 Mac OS XServer バージョン 10.4 以降のオープンディレクトリ・パスワード・サーバは NTLMv2 による認証をサポートしますが、 Mac OS X Server バージョン 10.3 以前のパスワードサーバは NTLMv2 をサポートしません。

同様に、 Mac OS X Server バージョン 10.3 以降を Mac OS X Serverバージョン 10.2 以前のディレクトリドメインに接続する場合は、古いディレクトリドメインに定義されているユーザは MS-CHAPv2 方法で認証できません。この方法では、 Mac OS X Serverバージョン 10.3以降の VPNサービスのために、ユーザを安全に認証する必要があります。 Mac OS X Serverバージョン 10.3以降のオープンディレクトリ・パスワード・サーバは MS-CHAPv2 による認証をサポートしますが、 Mac OS X Serverバージョン 10.2 のパスワードサーバは MS-CHAPv2をサポートしません。

オープンディレクトリの認証方法を無効にする認証方法を選択的に無効にすることによって、サーバでのオープンディレクトリ・パスワードの保

存のセキュリティを高めることができます。たとえば、 Windowsサービスを使用するクライアントがない場合は、 NTLMv1、 NTLMv2、および LAN Managerの認証方法を無効にして、これらの方法を使用してパスワードをサーバに保存できないようにできます。そうすれば、だれかが何らかの方

法でサーバのパスワードデータベースにアクセスしても、これらの認証方法の脆弱性を悪用してパ

スワードを破ることはできません。

重要：認証方法を無効にすると、次回ユーザが認証を行うときにそのハッシュがパスワードデータベースから削除されます。無効にされていた認証方法を有効にする場合は、オープンディレクトリ

のパスワードをすべて再設定して、新しく有効にされた認証方法のハッシュをパスワードデータ

ベースに追加する必要があります。ユーザは自分のパスワードを再設定でき、ディレクトリ管理者

がその再設定を行うこともできます。


52

認証方法を無効にすると、悪意のあるユーザがオープンディレクトリのサーバ（マスターまたは複

製）、またはオープンディレクトリのマスターのバックアップが保存されたメディアに物理的にアク

セスできる場合に、オープンディレクトリ・パスワード・サーバのデータベースのセキュリティが

強化されます。パスワードデータベースにアクセスできるユーザは、どの認証方法によってパスワー

ドデータベースに保存されたハッシュまたは回復可能なテキストでも攻撃して、ユーザのパスワー

ド破りを試みることができます。無効にした認証方法では、パスワードデータベースに何も保存さ

れないため、オープンディレクトリのサーバまたはそのバックアップに物理的にアクセスできる攻

撃者が利用できる攻撃方法が 1つ減ります。

一部の認証方法によってパスワードデータベースに保存されたハッシュは、ほかのハッシュよりも

簡単に破ることができます。回復可能な認証方法は実際に、（そのままで判読可能な）クリアテキス

トを保存します。クリアテキストまたは弱いハッシュを保存する認証方法を無効にすると、強いハッ

シュを保存する認証方法を無効にする場合よりもさらに、パスワードデータベースのセキュリティ

が強化されます。

オープンディレクトリのマスター、複製、およびバックアップが安全であると確信している場合は、

すべての認証方法を選択できます。オープンディレクトリのサーバまたはそのバックアップメディ

アのいずれかの物理的セキュリティに懸念がある場合は、一部の認証方法を無効にします。

参考：認証方法を無効にしても、ネットワークを介して伝送される間のパスワードのセキュリティが向上するわけではありません。効果があるのはパスワードデータベースのセキュリティだけです。

実際には、一部の認証方法を無効にすると、クライアントではクリアテキストのパスワードをネッ

トワーク経由で送信するようにソフトウェアを設定しなければならなくなる場合があり、それに

よって逆にパスワードのセキュリティが低下する可能性があります。

シャドウパスワードの認証方法を無効にする認証方法を選択的に無効にすることによって、シャドウパスワードのファイルに保存したパスワー

ドのセキュリティを高めることができます。たとえば、ユーザがメールサービスまたは Webサービスを使用しない場合は、そのユーザの WebDAV-Digestおよび APOP の認証方法を無効にすることができます。こうすると、だれかが何らかの方法でサーバ上のシャドウパスワードのファイルにア

クセスしても、ユーザのパスワードを回復することはできません。

重要：シャドウパスワードの認証方法を無効にすると、次回ユーザが認証を行うときにそのハッシュがユーザのシャドウパスワードのファイルから削除されます。無効になっていた認証方法を有効に

すると、ログインウインドウや AFP などのクリアテキストのパスワードを使用できるサービスを利用するためにユーザが次回認証を行うときに、新しく有効にした方法のハッシュがユーザのシャド

ウパスワードのファイルに追加されます。または、ユーザのパスワードを再設定して、新しく有効

にした方法のハッシュを追加することもできます。ユーザはパスワードを再設定でき、ディレクト

リ管理者がその再設定を行うこともできます。


認証方法を無効にすると、悪意のあるユーザがサーバのシャドウパスワードのファイル、またはシャ

ドウパスワードのファイルのバックアップが保存されたメディアに物理的にアクセスできる場合

に、シャドウパスワードのセキュリティが強化されます。パスワードのファイルにアクセスできる

ユーザは、どの認証方法によって保存されたハッシュまたは回復可能なテキストでも攻撃して、ユー

ザのパスワード破りを試みることができます。無効にした認証方法では何も保存されないため、サー

バのシャドウパスワードのファイルまたはそのバックアップに物理的にアクセスできる攻撃者が利

用できる攻撃方法が 1つ減ります。

一部の認証方法によって保存されたハッシュは、ほかのハッシュよりも簡単に破ることができます。

回復可能な認証方法を使用すると、元のクリアテキストのパスワードは、ファイルに保存されてい

る内容から再構築できます。回復可能なハッシュまたは弱いハッシュを保存する認証方法を無効に

すると、強いハッシュを保存する認証方法を無効にする場合よりもさらに、シャドウパスワードの

ファイルのセキュリティが強化されます。

サーバのシャドウパスワードのファイルおよびバックアップが安全であると確信している場合は、

すべての認証方法を選択できます。サーバまたはそのバックアップメディアのいずれかの物理的セ

キュリティに懸念がある場合は、一部の認証方法を無効にします。

参考：認証方法を無効にしても、ネットワークを介して伝送される間のパスワードのセキュリティが向上するわけではありません。効果があるのはパスワードの記憶域のセキュリティだけです。実

際には、一部の認証方法を無効にすると、クライアントではクリアテキストのパスワードをネット

ワーク経由で送信するようにソフトウェアを設定しなければならなくなる場合があり、それによっ

て逆にパスワードのセキュリティが低下する可能性があります。

オープンディレクトリ・パスワード・サーバのデータベースの内容オープンディレクトリ・パスワード・サーバは、認証データベースをディレクトリドメインとは別

に管理します。オープンディレクトリでは、認証データベースへのアクセスを厳しく制限します。

オープンディレクトリ・パスワード・サーバは、オープンディレクトリのパスワードタイプを持っ

ているユーザアカウントごとに、次の情報をその認証データベースに保存します： • ユーザのパスワード ID。パスワードが作成されたときに割り当てられた 128ビット値。これはディレクトリドメイン内のユーザのレコードにも保存され、オープンディレクトリ・パスワード・サー

バのデータベースでユーザのレコードを検索するためのキーとして使われます。 • 回復可能な（クリアテキスト）形式またはハッシュされた（暗号化された）形式で保存されたパスワード。形式は認証方法によって異なります。 APOPおよび WebDAV 認証方法の場合、復元可能なパスワードが保存されます。ほかのすべての方法の場合、レコードにはハッシュされた（暗

号化された）パスワードが保存されます。クリアテキストパスワードを必要とする認証方法が使

用できない場合、オープンディレクトリの認証データベースはパスワードのハッシュのみを保存

します。


54

•「サーバ管理」で表示可能なログメッセージで使用するユーザ名（ショートネーム）。 • パスワード方式のデータ。 • タイムスタンプおよび使用状況に関するその他の情報。最後のログイン時刻、最後に失敗した検証の時刻、失敗した検証の回数、複製の情報など。

LDAPバインド認証アップル以外のサーバ上の LDAP ディレクトリにあるユーザアカウントの場合、オープンディレクトリは LDAPバインド認証を使用しようとします。オープンディレクトリは LDAPディレクトリサーバに、認証するユーザが提供する名前とパスワードを送信します。 LDAPサーバが一致するユーザレコードとパスワードを見つけると、認証が成功します。

LDAPディレクトリサービスとクライアントコンピュータからそのサービスへの接続が、ネットワークを介してクリアテキストのパスワードを送信できるように設定されている場合、 LDAPバインド認証は安全でないことがあります。オープンディレクトリは、 LDAPディレクトリで安全な認証方法を使用しようとします。ディレクトリが安全な LDAP バインドをサポートしておらず、クライアントの LDAPv3 接続でクリアテキストのパスワードを送信できる場合、オープンディレクトリは単純な LDAP バインドに切り替えられます。この場合、 SSL（ Secure Sockets Layer）プロトコル経由で LDAPディレクトリにアクセスするよう設定することで、単純な LDAPバインド認証を安全なものにすることができます。 SSL は、 LDAPディレクトリとのすべての通信を暗号化することによって、アクセスを安全なものにします。詳しくは、 128 ページの「 LDAP接続のセキュリティポリシーを変更する」および 127 ページの「 LDAPディレクトリの接続設定を変更する」を参照してください。

Authentication Manager

Mac OS X Server は、 Mac OS X Server v 10.0 ～ 10.2 で従来の「 Authentication Manager」の技術を使用するように設定されていたユーザをサポートしています。

「 Authentication Manager」は、次のようなユーザのパスワードを安全に検証するための、従来の技術です： •

Windowsサービスのユーザ（ SMB-NT、 SMB-LM、および CRAM-MD5のサポートを含む）

•

Mac OS 8コンピュータが AFPクライアントソフトウェア v3.8.3以降でアップグレードされなかった Appleファイルサービスのユーザ

•

APOPまたは CRAM-MD5を使用してメールサービスの認証を行う必要があるユーザ

「 Authentication Manager」は、 Mac OS X Server バージョン 10.0～ 10.2の NetInfoドメインで作成されたユーザアカウントでのみ機能します。「 Authentication Manager」が NetInfo ドメインに対して有効になっていた必要があります。


サーバを、「 Authentication Manager」が有効になっていた以前のバージョンから Mac OS X Serverバージョン 10.4にアップグレードした場合、「 Authentication Manager」は有効なままになります。既存のユーザは、引き続き同じパスワードを使用することができます。既存のユーザアカウントが

「 Authentication Manager」が有効になっていた NetInfo ドメイン内にあり、暗号化パスワードを使用するように設定されている場合、そのアカウントは「 Authentication Manager」を使用します。ユーザまたは管理者が回復可能な認証方法を使用できるサービスのパスワードまたはユーザ認証を

変更すると、サーバのローカル・ディレクトリドメイン（ NetInfo ドメイン）の既存の各ユーザアカウントは、暗号化パスワードからシャドウパスワードに自動的に変換されます。

サーバを Mac OS X Server バージョン 10.4 にアップグレードした後は、オープンディレクトリを使って認証するように既存のユーザアカウントを変更できます。アップグレードされたサーバに共

有 NetInfo ドメインがあり、そのドメインを LDAP ディレクトリに移行する場合、すべてのユーザアカウントは、オープンディレクトリのパスワードに自動的に変換されます。

オープンディレクトリのパスワードとシャドウパスワードでは、暗号化パスワードよりセキュリ

ティが強化されています。オープンディレクトリのパスワードとシャドウパスワードの両方とも、 Windowsファイルサービスで使用できます。オープンディレクトリのパスワードは、 Windowsワークステーションから Mac OS X Server のプライマリ・ドメイン・コントローラへのドメインログインに必要です。 Mac OS X Serverバージョン 10.4の LDAPディレクトリで作成した新しいユーザアカウントは、オープンディレクトリ認証を使用するように設定されます。


4
4 オープンディレクトリの計画
建物の配管工事や配線工事と同様に、ネットワークのディレクトリサービスは、場当たり的にではなく、事前に計画を立てる必要があります。

共有ディレクトリドメイン内に情報を保存すると、ネットワークの管理効率が向上し、情報にアク

セスできるユーザを増やすことができ、さらに情報をより簡単に管理できるようになります。ただ

し、管理効率と利便性が向上する度合は、共有ドメインの計画段階での努力に比例します。ディレ

クトリドメインを計画する際の目標は、 Mac OS Xユーザが必要なネットワークリソースに簡単にアクセスすることができ、さらに最小限の時間でユーザレコードとその他の管理データを管理できる

ような最も単純な共有ドメインの配置を設計することです。

この章では、オープンディレクトリ・サービスの計画のガイドラインを示し、それらを管理するた

めのツールについて説明します。

一般的な計画のガイドラインユーザ情報やリソース情報を複数の Mac OS X コンピュータで共有する必要がない場合、ディレクトリドメインの計画はほとんど必要ありません。ローカル・ディレクトリドメインからすべての情

報にアクセスできます。特定の Mac OS Xコンピュータを使用する必要があるすべてのユーザが、そのコンピュータにユーザアカウントを持っているだけで済みます。これらのユーザアカウントは、そ

のコンピュータのローカル・ディレクトリドメインにあります。また、 Mac OS X Server のファイルサービス、メールサービス、または認証が必要なその他のサービスを使用する必要のあるユーザ

はすべて、そのサーバのローカル・ディレクトリドメインにユーザアカウントが必要です。この方

法では、各ユーザは 2つのアカウントを持ちます。 1つはコンピュータへのログイン用で、もう 1つは Mac OS X Serverのサービスへのアクセス用です。

ローカル・

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

Mac OS X にログイン Mac OS X Serverの


57

58

複数の Mac OS X コンピュータおよびサーバで情報を共有する場合は、少なくとも 1 つの共有ディレクトリドメインを設定する必要があります。この方法では、各ユーザは、共有ディレクトリドメ

インにアカウントを 1つ持つだけで済みます。ユーザは、この 1つのアカウントを使って、共有ディレクトリドメインにアクセスするように設定されているどのコンピュータの Mac OS X にでもログインできます。このユーザは、この同じアカウントを使用して、共有ディレクトリドメインにアクセ

スするように設定されているどの Mac OS X Serverのサービスにでもアクセスすることができます。

多くの組織では、単一の共有ディレクトリドメインで十分です。幾十万ものユーザや幾千ものコン

ピュータが、プリンタキュー、ホームディレクトリの共有ポイント、アプリケーションの共有ポイ

ント、書類の共有ポイントなどの同じリソースを共有することができます。共有ディレクトリドメ

インを複製して、複数のサーバでディレクトリシステムのネットワーク負荷を処理できるようにす

ることで、ディレクトリシステムの容量やパフォーマンスを向上させることができます。

より大規模で複雑な組織では、共有ディレクトリドメインを追加することで、作業効率を上げるこ

とができます。

共有

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

ローカル・

ディレクトリ

ドメイン

Mac OS Xにログイン Mac OS X Serverの


学校のディレクトリドメイン

理科クラスのディレクトリドメイン数学クラスのディレクトリドメイン英語クラスのディレクトリドメイン

123

検索方式

第 4章オープンディレクトリの計画

データへのアクセス可能度を制御する単一の共有ディレクトリドメインの場合は、クライアントの環境設定およびネットワーク表示を管

理して、特定のネットワークサービスを隔離し、ほかのサービスはすべてのユーザが利用できるよ

うにすることができます。たとえば、会計のアプリケーションとファイルを含む共有ポイントは会

計部門のコンピュータだけに表示されるように、管理対象ネットワーク表示を設定できます。また、

パブリッシングのソフトウェアや書類ファイルを含む共有ポイントはテクニカルライターだけに表

示されるように別の管理対象ネットワーク表示を設定できます。すべての従業員が互いのドロップ・

ボックス・フォルダにアクセスできるようにするには、ドロップ・ボックス・フォルダを含む共有

ポイントをすべての管理対象ネットワーク表示に含めます。管理対象のクライアントおよび管理対

象ネットワーク表示について詳しくは、ユーザ管理ガイドを参照してください。

ネットワークに複数の共有ディレクトリドメインがある場合は、ネットワークのコンピュータのサ

ブセットだけが各ディレクトリの情報を利用できるようにすることができます。たとえば、科学の

ディレクトリドメインのユーザアカウントを持つ学生は、検索方式に科学のドメインを含むコン

ピュータにのみログインすることができます。

すべてのコンピュータが特定の管理データにアクセスできるようにする場合は、すべてのコン

ピュータの検索方式にある共有ディレクトリドメイン内にそのデータを保存します。データをある

コンピュータのサブセットにのみアクセスできるようにする場合は、それらのコンピュータの検索

方式だけにある共有ディレクトリドメイン内にそのデータを保存します。

ディレクトリ内のデータへの変更を簡素化する複数の共有ディレクトリドメインが必要な場合は、時間の経過と共にデータ変更が必要になる場所

の数が最小になるように検索方式を編成する必要があります。さらに、次のような継続的に発生す

るイベントに必要な管理方法を実現する計画を工夫する必要があります： • 組織への新規ユーザの参加と組織からのユーザの脱退 • ファイルサーバの追加、機能拡張、交換 • プリンタの場所の移動

ディレクトリドメインを使用するすべてのコンピュータに対して、それぞれが使用するディレクト

リドメインを有効にすると、複数のドメインで情報を変更または追加する必要がなくなります。マ

ルチレベルの共有ドメインを示す前述の図では、クラスの共有ドメインに新しい学生を追加するこ

とで、その学生がクラスのコンピュータのいずれかにログインできるようになります。教師が雇用

されたり退職するとき、管理者は、学校の共有の共有ドメインを編集することによって、ユーザ情

報を簡単に調整できます。

複数の管理者が管理する、広く分散した複雑なディレクトリドメインの階層構造がネットワーク内

にある場合は、矛盾を最小限に抑えるために方法を工夫する必要があります。たとえば、不注意な

ファイルアクセスを防ぐために、ユーザ ID（ UID）の範囲を事前に定義しておくことができます。（詳しくは、ユーザ管理ガイドのアカウントの設定の章を参照してください。）

第 4章オープンディレクトリの計画 59

60

ディレクトリおよび認証要件を検討する複数のディレクトリドメインにディレクトリデータを分配する方法を考慮するほかに、各ディレク

トリドメインの許容量についても考慮する必要があります。ディレクトリドメインをどの程度大き

くすることができるかには、多数の要因が影響します。 1つの要因は、ディレクトリ情報を保管するデータベースのパフォーマンスです。 Mac OS X Serverの LDAP ディレクトリドメインは、 BerkeleyDBデータベースを使用します。これは、 200,000レコードでも効率を保ちます。もちろん、このサイズのディレクトリドメインを管理するサーバには、すべてのレコードを保管するための十分な

ハードディスク容量が必要になります。

ディレクトリサービスの接続はサーバが提供するすべてのサービスの接続状況に応じて起こるた

め、ディレクトリサービスが処理できる接続の数を測定することは困難です。 Mac OS X Server では、オープンディレクトリ専用のサーバは、同時クライアントコンピュータの接続数が 1000に制限されています。

実際には、オープンディレクトリ・サーバはこれより多くのクライアントコンピュータに LDAP および認証サービスを提供できる場合があります。これは、すべてのクライアントコンピュータがこ

れらのサービスを一度に必要とするわけではないためです。各クライアントコンピュータは LDAPディレクトリに最大 2 分間接続し、オープンディレクトリ・パスワード・サーバへの接続はさらに短時間です。オープンディレクトリ・サーバは優に 1000台を超えるクライアントコンピュータをサポートできる場合があります。これは、確率として、オープンディレクトリに接続しているクライ

アントコンピュータのうち、実際に同時に接続するのはその一部だけであるためです。その割合、つ

まり、同時に接続を行う可能性のあるクライアントコンピュータのパーセンテージを判断すること

は、難しい場合があります。たとえば、複数のクライアントコンピュータがあり、それぞれに 1 日中グラフィックファイルで作業する 1 人のユーザがいる場合、オープンディレクトリ・サービスが必要になることは比較的まれです。反対に、コンピュータ室にあるコンピュータには、 1日を通して多数のユーザがログインし、それぞれが異なるセットの管理されたクライアント環境設定を持つた

め、これらのコンピュータには相対的に、オープンディレクトリに高い負荷がかかります。

通常、オープンディレクトリの使用は、ログインおよびログアウトと相関させることができます。こ

れらのアクティビティは、一般に、あらゆるシステムでディレクトリおよび認証サービスを制御し

ます。ユーザがログインとログアウトを頻繁に行うほど、オープンディレクトリ・サーバ（または

ディレクトリおよび認証サーバ）がサポートできるクライアントコンピュータの数が少なくなりま

す。ユーザが頻繁にログインする場合は、より多くのオープンディレクトリ・サーバが必要です。作

業セッションの時間が長く、ログインが頻繁に発生しない場合は、より少ないオープンディレクト

リ・サーバで済む場合があります。

共有ドメインを管理するサーバを決定する複数の共有ドメインが必要な場合は、共有ドメインを置く場所に適したサーバを識別する必要があ

ります。 Mac OS X Server 共有ドメインは多くのユーザに影響するため、次のような特徴を持つ Mac OS X Server上に置く必要があります： • 物理アクセスが制限されている • ネットワークアクセスが制限されている • 無停電電源など可用性を高めるテクノロジーを備えている


交換される頻度が少なく、またディレクトリドメインの拡大に対応できる適切な容量を備えたコン

ピュータを選択する必要があります。共有ドメインは設定後に移動できますが、ユーザが引き続き

ログインできるようにするために、共有ドメインにバインドするコンピュータの検索方式の再設定

が必要になる場合があります。

オープンディレクトリ・サービスを複製する Mac OS X Server は、 LDAP ディレクトリサービス、オープンディレクトリ・パスワード・サーバ、および Kerberos KDCの複製をサポートしています。

ディレクトリおよび認証サービスを複製することによって、次のことが可能になります： • 地理的に分散したネットワークのユーザの集団に対するディレクトリおよび認証サービスのパフォーマンスを向上させて、ディレクトリ情報をそれらのユーザのより近くに移動します。

• 冗長性をもたらして、ディレクトリシステムにエラーが発生したり、アクセスできなくなった場合に、サービスの混乱によるユーザへの影響をわずかなものにすることができます。

1 つのサーバには、共有 LDAP ディレクトリドメイン、オープンディレクトリ・パスワード・サーバ、および Kerberos KDC（ Key Distribution Center）の 1つの主要コピーがあります。このサーバは、オープンディレクトリのマスターと呼ばれています。各オープンディレクトリの複製は、マス

ターの LDAP ディレクトリ、オープンディレクトリ・パスワード・サーバ、および Kerberos KDCのコピーとは別のサーバです。

複製上の LDAP ディレクトリへのアクセスは読み出し専用です。 LDAP ディレクトリ内のユーザレコードおよびその他のアカウント情報に対するすべての変更は、オープンディレクトリのマスター

上でのみ行うことができます。

オープンディレクトリのマスターは、その複製を、 LDAPディレクトリに対する変更と共に自動的に更新します。マスターは変更があるたびに複製を更新できますが、更新が一定の間隔でのみ行われ

るようにスケジュールを設定することもできます。複製が低速のネットワークリンクによってマス

ターに接続されている場合は、固定スケジュールのオプションが最適です。

パスワードおよびパスワード方式は、どの複製でも変更できます。ユーザのパスワードまたはパス

ワード方式が複数の複製で変更された場合は、最も新しい変更が優先されます。

複製の更新は、マスターおよびすべての複製の同期された時計に基づいて行われます。複製とマス

ターの時間の概念が大幅に異なっていると、更新がやや不定になることがあります。日付、時刻、お

よび時間帯の情報は、マスターおよび複製上で正確である必要があります。これらはすべて、同じ

ネットワーク・タイム・サービスを使用してそれぞれの時計を同期させる必要があります。

低速のネットワークリンクのどちらの側に配置する複製も 1 つだけにしないでください。ある 1 つの複製が低速のネットワークリンクによってほかのすべての複製と分離されている場合に、その 1つの複製に障害が発生すると、その複製のクライアントは、低速のネットワークリンクのもう一方

の側の複製にフェイルオーバーします。そのため、ディレクトリサービスが著しく低下する可能性

があります。


62

ネットワークに Mac OS X Server バージョン 10.3 と 10.4 が混在している場合は、一方のバージョンをもう一方のバージョンのマスターの複製にすることはできません。バージョン 10.4 のオープンディレクトリのマスターは、 Mac OS X Serverバージョン 10.3に複製されません。また、 Mac OS XServerバージョン 10.3のオープンディレクトリのマスターは、 Mac OS X Serverバージョン 10.4に複製されません。

小規模、中規模、および大規模な環境における負荷分散

他社製のサービス負荷分散ソフトウェアをオープンディレクトリ・サーバで使用しないでください。

負荷分散ソフトウェアが原因で、オープンディレクトリ・クライアントに予期しない問題が起こる

場合があります。また、 Mac OS X および Mac OS X Server のオープンディレクトリの自動負荷分散およびフェイルオーバーの動作と干渉することがあります。 Mac OS Xクライアントは、利用可能な最も近いオープンディレクトリ・サーバ（マスターまたは複製）を自動的に探します。クライア

ントに最も近いオープンディレクトリのマスターまたは複製が、クライアントのオープンディレク

トリ接続要求に最もすばやく応答します。

複数の建物があるキャンパスにおける複製複数の建物にまたがるネットワークリンクは、建物間のネットワークがそれぞれの建物の中での

ネットワークリンクよりも遅くなることがあります。また、建物間のネットワークリンクは、オー

バーロードになることもあります。このような状態は、別の建物にあるサーバからオープンディレ

クトリ・サービスを取得するコンピュータのパフォーマンスに悪影響を与えます。これに対応する

ため、それぞれの建物にオープンディレクトリの複製を設定できます。また必要に応じて、高層ビ

ルの各フロアにオープンディレクトリの複製を設定することもできます。各複製は、その近くにあ

るクライアントコンピュータに、効果的なディレクトリおよび認証サービスを提供します。クライ

アントコンピュータは、オープンディレクトリ・サーバとの接続を、建物間の低速で混雑したネッ

トワークリンクを経由して行う必要はありません。

より多くの複製があると、不都合が生じます。複製は、ネットワークを経由してほかの複製やマス

ターと通信します。複製を追加すると、このネットワーク通信のオーバーヘッドが増加します。複

製を追加しすぎると、建物間のネットワークトラフィックが、オープンディレクトリのクライアン

ト通信という形で減少しても、複製の更新という形で実際には増加する場合があります。

このため、配備する複製の数を決定するときは、クライアントコンピュータがオープンディレクト

リ・サービスをどの程度使用するかを考慮する必要があります。平均して、クライアントコンピュー

タが比較的オープンディレクトリ・サービスのライトユーザであり、建物がかなり高速なネットワー

クリンク（ 100 Mbit/s Ethernetなど）に接続されている場合は、おそらく各建物に複製を配備する必要はありません。

Mac OS X Server バージョン 10.4のマスター

Mac OS X Serverバージョン 10.3のマスター

Mac OS X Serverバージョン 10.4の複製

はいいいえ

Mac OS X Serverバージョン 10.3の複製

いいえはい


オープンディレクトリの複製とマスター間の通信のオーバーヘッドは、オープンディレクトリのマ

スターが複製を更新する頻度をスケジュールすることによって削減できます。マスターで変更があ

るたびに複製を更新する必要はありません。複製の更新頻度を少なくしてスケジュールすると、ネッ

トワークのパフォーマンスが向上します。

NATでオープンディレクトリのマスターまたは複製を使用する Mac OS X Serverの NATルーターなどの NATルーター（またはゲートウェイ）のプライベートネットワーク側にオープンディレクトリ・サーバがある場合は、 NATルーターのプライベートネットワーク側にあるコンピュータだけが、オープンディレクトリ・サーバの LDAP ディレクトリドメインに接続できます。 NAT ルーターのパブリックネットワーク側にあるコンピュータは、プライベートネットワーク側にあるオープンディレクトリのマスターまたは複製の LDAP ディレクトリドメインに接続できません。

オープンディレクトリ・サーバが NATルーターのパブリックネットワーク側にある場合、 NATルーターのプライベートネットワークとパブリックネットワークの両方の側にあるコンピュータは、

オープンディレクトリ・サーバの LDAPディレクトリに接続できます。

Kerberosが複数のディレクトリと競合しないようにするすでに Active Directory ドメインがあるネットワークにオープンディレクトリのマスターを設定すると、ネットワークに 2つの Kerberos保護領域が存在することになります。オープンディレクトリの Kerberos 保護領域と Active Directory の Kerberos保護領域です。実際の目的では、ネットワーク上のほかのサーバが使用できるのは一方の Kerberos保護領域だけです。ファイルサーバ、メールサーバ、または Kerberos認証を使用できるほかのサーバを設定するときに、一方の Kerberos保護領域を選択する必要があります。

Mac OS X Serverは、そのクライアントユーザと同じ Kerberos保護領域に属している必要があります。 Kerberos 保護領域には、正統な Kerberos サーバが 1 つだけあります。この Kerberos サーバは、保護領域内の Kerberos 認証に対するすべての責任を負います。 Kerberos サーバは、その保護領域内のクライアントとサーバだけを認証できます。別の保護領域にあるクライアントまたはサー

バを認証することはできません。

選択した Kerberos 保護領域内のユーザアカウントだけが、シングルサインオンを利用できます。ほかの保護領域内のユーザアカウントも認証を行うことができますが、シングルサインオンは利用で

きません。

それぞれが 1つの Kerberos保護領域を持つ複数のディレクトリシステムにアクセスするようにサーバを設定している場合は、 Kerberos対応サービスを使用するユーザアカウントを慎重に検討する必要があります。 2 つのディレクトリサービスにアクセスする目的を認識する必要があります。 Kerberos とシングルサインオンを利用できるようにするユーザアカウントを含むディレクトリドメインに関連する保護領域にサーバを接続する必要があります。


64

たとえば、 Active Directoryの保護領域へのアクセス権をそのユーザレコード用に設定し、オープンディレクトリの LDAPディレクトリへのアクセス権を、 Active Directoryにないグループレコードやコンピュータレコードなどの Mac OS X のレコードおよび属性用に設定することができます。ほかのサーバは、 Active Directoryの Kerberos 保護領域またはオープンディレクトリの Kerberos保護領域のいずれかに接続することができます。この場合、ほかのサーバは Active Directoryの Kerberos保護領域に接続して、 Active Directoryのユーザアカウントでシングルサインオンを利用できるようにします。オープンディレクトリ・サーバの LDAP ディレクトリにもユーザアカウントがある場合は、ユーザはそのユーザアカウントを使用して認証を行うこともできます。ただし、オープンディ

レクトリのユーザアカウントでは、 Kerberosやシングルサインオンは使用せず、オープンディレクトリ・パスワード・サーバの認証方法を使用します。 Mac ユーザはすべてオープンディレクトリドメインに配置し、 Windowsユーザはすべて Active Directoryドメインに配置すると、すべてのユーザが認証を行うことができます。ただし、 Kerberosを使用できるのは、どちらか一方のユーザだけです。

重要： Active Directoryドメインにもアクセスするようにオープンディレクトリのマスターまたは複製を設定すると、重大な問題が起こります。この場合、オープンディレクトリの Kerberos保護領域と Active Directory の Kerberos 保護領域の両方で、オープンディレクトリ・サーバ上の同じ設定ファイルを使用しようとします。このとき、オープンディレクトリの Kerberos認証が混乱する可能性があります。したがって、 Active Directoryドメインや Kerberos保護領域を持つその他のディレクトリドメインにもアクセスするようにオープンディレクトリのマスターまたは複製を設定しない

でください。

Kerberos 設定ファイルの競合を避けるには、 Active Directory ドメインなど、別の Kerberos サーバのディレクトリドメイン内のユーザを管理するためのワークステーションとしてオープンディレ

クトリ・サーバを使用しないでください。代わりに、対象となるすべてのディレクトリドメインに

アクセスするように設定されている管理用コンピュータ（サーバ管理ツールがインストールされた Mac OS Xコンピュータ）を使用してください。オープンディレクトリ・サーバを使用して別のサーバのディレクトリドメイン内のユーザを管理する必要がある場合は、そのディレクトリドメインが

オープンディレクトリ・サーバの認証検索方式の一部でないことを確認してください。

Kerberos 設定ファイルの競合をさらに避けるには、別の Kerberos サーバのディレクトリドメインにアクセスする必要があるサービスを提供するためにオープンディレクトリ・サーバを使用しない

でください。たとえば、オープンディレクトリと Active Directoryの両方にアクセスするように AFPファイルサービスを設定する必要がある場合は、ファイルサービスを提供するためにオープンディ

レクトリ・サーバを使用しないでください。別のサーバを使用して、一方のディレクトリサービス

の Kerberos 保護領域に接続するようにします。

理論的には、サーバまたはクライアントは、 2つの Kerberos保護領域、たとえばオープンディレクトリの保護領域と Active Directoryの保護領域に属することができます。複数の保護領域の Kerberos認証には、非常に高度な設定が必要です。たとえば、 Kerberosサーバとクライアントを相互保護領域認証用に設定し、 Kerberos対応のサービスソフトウェアを複数の保護領域に属することができるように変更します。これらの高度な手順について説明することは、このガイドの範囲外です。


パフォーマンスと冗長性を向上させるサーバにメモリを追加し、サーバが提供するサービスを少なくすることで、オープンディレクトリ・

サービスのパフォーマンスを向上させることができます。この方法は、 Mac OS X Server のその他のすべてのサービスと同様に適用されます。個々のサーバを特定の作業専用にする割合が増えると、

それだけそのパフォーマンスも良くなります。

一般的な方法に加えて、 LDAPデータベースをそれ自体のディスクに方向付けし、オープンディレクトリのログを別のディスクに方向付けすることで、オープンディレクトリ・サーバのパフォーマン

スを向上させることもできます。

ネットワークにオープンディレクトリのマスターの複製を含める場合は、複製の更新頻度を少なく

してスケジュールすることで、ネットワークのパフォーマンスを向上させることができます。少ない

頻度で更新することは、複製のディレクトリデータが必ずしも最新ではないことを意味します。ネッ

トワークのパフォーマンスの高さと複製の正確さの低さの間でバランスをとる必要があります。

オープンディレクトリの複製として追加のサーバを設定すると、オープンディレクトリ・サービス

の冗長性を高めることができます。冗長性を高めるもう 1つの方法は、オープンディレクトリ・サービス用の RAIDセットを備えたサーバを使用することです。

オープンディレクトリのセキュリティ Mac OS X Server では、共有 LDAP ディレクトリドメインを持つサーバがオープンディレクトリによる認証も提供します。オープンディレクトリによって保管される認証データは、特に機密性が高

いものです。この認証データにはオープンディレクトリ・パスワード・サーバのデータベースと Kerberos データベースが含まれるため、極めて取り扱いに注意が必要です。このため、オープンディレクトリのマスターとすべてのオープンディレクトリの複製は、次のようにして必ず安全性を確保

する必要があります： • オープンディレクトリのマスターまたは複製であるサーバの物理的なセキュリティは、最優先事項です。部屋のドアには必ず鍵をかけ、常にログアウトした状態にしておいてください。

• オープンディレクトリ・パスワード・サーバのデータベースと Kerberosデータベースのバックアップに使用するメディアを保護します。オープンディレクトリ・サーバのある部屋のドアに鍵をか

けても、バックアップテープを毎晩デスク上に置いたままにしていては、保護されていることに

はなりません。 • 可能であれば、オープンディレクトリのマスターや複製であるサーバは、ほかのサービスには使用しないでください。サーバをオープンディレクトリのマスターや複製専用にすることができな

い場合は、少なくとも、サーバが提供するその他のサービスの数を最小限にしてください。その

他のサービスによって、だれかが不注意で Kerberosまたはオープンディレクトリ・パスワード・サーバのデータベースにアクセスできてしまうという、セキュリティ侵害が起きる場合がありま

す。サーバをオープンディレクトリ・サービスの提供専用にすることが最良の方法ですが、必須

ではありません。 • ログインウインドウおよび SSHのサービスアクセス制御リスト（ SACL）を設定して、オープンディレクトリのマスターまたは複製にログインできるユーザを制限します。


66

• オープンディレクトリのマスターや複製であるサーバの起動ボリュームとして、ほかのコンピュータと共有している RAID ボリュームは使用しないでください。ほかのコンピュータのいずれかでセキュリティ侵害があると、オープンディレクトリの認証情報のセキュリティが脅かされ

る危険性があります。 •

IP ファイアウォールサービスを設定して、ディレクトリ、認証、および管理プロトコルに使用するポート以外のポートをすべてブロックします。 • オープンディレクトリ・パスワード・サーバは、ポート 106および 3659を使用します。 •

Kerberos KDCは TCP/UDPポート 88を使用し、 Kerberosの管理には TCP/UDPポート 749を使用します。

• 共有 LDAPディレクトリは、通常接続の場合は TCPポート 389、 SSL接続の場合は TCPポート 636を使用します。

• オープンディレクトリの複製を作成している間は、マスターと予定されている複製との間でポート 22が開いている必要があります。これは、 SSH（ Secure Shell）データの転送に使用するポートです。 SSH データ転送は、 LDAP データベースの完全な最新のコピーを転送するために使用します。複製を初期設定した後は、 LDAP ポート（ 389 または 636）だけを複製の作成に使用します。

•「ワークグループマネージャ」は、 TCPポート 311および 625を使用します。 •「サーバ管理」は TCPポート 311を使用します。 •

SMB/CIFSは、 TCP/UDPポート 137、 138、 139、および 445を使用します。

• オープンディレクトリのマスター用コンピュータに無停電電源装置を備え付けます。

要約すれば、最も安全で最良の方法は、オープンディレクトリのマスターや複製である各サーバを、

オープンディレクトリ・サービス専用にすることです。 LDAP、パスワードサーバ、 Kerberos、「ワークグループマネージャ」、「サーバマネージャ」などのサーバのそれぞれにファイアウォールを設定

して、ディレクトリアクセス、認証、および管理プロトコルのみを許可します。それぞれのオープ

ンディレクトリ・サーバおよび一緒に使用するすべてのバックアップメディアは、物理的にも安全

に管理してください。

ディレクトリと認証のデータをネットワークを介して複製すると、セキュリティ上のリスクは最小

限になります。パスワードデータは、各複製セッション中に、ネゴシエートされたランダムキーを

使って安全に複製されます。複製のトラフィックの認証部分（オープンディレクトリ・パスワード・

サーバと Kerberos KDC）は、完全に暗号化されます。付加的なセキュリティとして、オープンディレクトリ・サーバ間のネットワーク接続を、ハブではなくネットワークスイッチを使うように設定

できます。この設定により、信頼できるネットワークセグメントへの認証の複製のトラフィックが

隔離されます。


オープンディレクトリ・サービスの管理用ツール「サーバ管理」、「ディレクトリアクセス」、および「ワークグループマネージャ」アプリケーション

は、 Mac OS X Server のオープンディレクトリ・サービスを管理するためのグラフィカルインターフェイスを備えています。また、「ターミナル」を使用することによって、オープンディレクトリ・

サービスをコマンドラインから管理することもできます。「 NetInfo マネージャ」も従来の NetInfoドメインに利用できます（または、「ワークグループマネージャ」のインスペクタを使用することも

できます）。

これらのアプリケーションはすべて Mac OS X Server に組み込まれており、 Mac OS X バージョン 10.4 以降を搭載した別のコンピュータにインストールして、そのコンピュータを管理用コンピュータにすることができます。管理用コンピュータの設定について詳しくは、「お使いになる前に」ガイ

ドのサーバ管理の章を参照してください。

サーバ管理「サーバ管理」アプリケーションを使って、オープンディレクトリ・サービスやその他のサービスの

設定、管理、および監視に使用するツールにアクセスできます。「サーバ管理」を使用して、次のこ

とを実行します： •

Mac OS X Serverを、オープンディレクトリのマスター、オープンディレクトリの複製、ディレクトリシステムに接続されたサーバ、またはローカルディレクトリのみを持つスタンドアロンサー

バとして設定します。手順については、第 5 章「オープンディレクトリ・サービスを設定する」を参照してください。

• 追加の Mac OS X Server システムを、オープンディレクトリのマスターまたは複製の KerberosKDCを使用するように設定します。手順については、第 5 章を参照してください。

• アップグレードされたサーバの共有ディレクトリドメインを NetInfoから LDAPに移行します。手順については、第 5 章を参照してください。

• オープンディレクトリのマスター上に LDAPオプションを設定します。手順については、第 5 章を参照してください。

•

DHCPサービスを設定して、自動検索方式を含む Mac OS Xコンピュータに LDAPサーバアドレスを提供します。手順については、ネットワークサービス管理ガイドの DHCPの章を参照してください。

• 個々のパスワード方式を無効にしていないすべてのユーザに適用される、パスワード方式を設定します。手順については、第 6 章「ユーザ認証を管理する」を参照してください。（個々のパスワード方式を設定するには、「ワークグループマネージャ」を使用します。第 6 章を参照してください。）

• オープンディレクトリ・サービスを監視します。手順については、第 8 章「保守と問題の解決」を参照してください。

「サーバ管理」の使いかたの基本情報については、「お使いになる前に」ガイドのサーバ管理の章を

参照してください： • サーバ管理を開く／サーバ管理で認証する • 特定のサーバを操作する • サービスを管理する • サービスへのアクセスを制御する • リモートサーバ管理に SSLを使用する


68

•「サーバ管理」環境をカスタマイズする

「サーバ管理」は「 /アプリケーション / サーバ /」にインストールされています。

ディレクトリアクセス「ディレクトリアクセス」では、 Mac OS X コンピュータでディレクトリサービスを使用する方法、ネットワークサービスを検出する方法、およびディレクトリサービスの認証とコンタクトの情報を

検索する方法を決定します。「ディレクトリアクセス」を使用して、次のことを実行します： •

LDAPディレクトリ、 Active Directoryドメイン、 NISドメイン、および NetInfoドメインへのアクセスを設定します。

•

LDAPディレクトリのデータマッピングを設定します。 • 複数のディレクトリサービスの認証とコンタクトの情報を検索する方式を定義します。 • 各種ディレクトリサービスおよび各種ネットワークサービス検出を有効または無効にします。

「ディレクトリアクセス」はネットワーク上のほかのサーバに接続できるため、それらをリモートで

設定できます。

「ディレクトリアクセス」の使いかたについては、第 7 章「ディレクトリアクセスを管理する」を参照してください。

「ディレクトリアクセス」は、すべての Mac OS X コンピュータの「 /アプリケーション / ユーティリティ /」にインストールされています。

ワークグループマネージャ「ワークグループマネージャ」アプリケーションを使用すると、 Mac OS X Serverのクライアントを包括的に管理できます。「ワークグループマネージャ」を使用して、次のことを実行します： • ユーザアカウント、グループアカウント、およびコンピュータリストを設定して管理します。ユーザ認証の管理については、第 6 章「ユーザ認証を管理する」を参照してください。ユーザ、グループ、およびコンピュータの管理に関するその他のトピックについては、ユーザ管理ガイドおよび Windowsサービス管理ガイドを参照してください。

• ファイルサービスの共有ポイントとユーザのホームディレクトリを管理します。手順については、ファイルサービス管理ガイドの共有ポイントの章、ユーザ管理ガイドのホームディレクトリの章、

および Windowsサービス管理ガイドの Windowsサービスの管理の章を参照してください。 •「 Finder」のサイドバーでネットワークアイコンを選択したときに、 Mac OS X ユーザに表示される内容を制御することができます。手順については、ユーザ管理ガイドのネットワーク表示の管

理の章を参照してください。 • インスペクタを使用して、ディレクトリのエントリーをそのまま表示します。手順については、

161 ページの「ディレクトリデータを直接表示して編集する」を参照してください。

「ワークグループマネージャ」の使いかたの基本情報については、「お使いになる前に」ガイドのサー

バ管理の章を参照してください： • ワークグループマネージャを開く／ワークグループマネージャで認証する • アカウントを管理する •「ワークグループマネージャ」環境をカスタマイズする

「ワークグループマネージャ」は「 /アプリケーション /サーバ /」にインストールされています。


コマンドラインツールコマンド駆動型サーバ管理の使用を好む管理者のために、完全な機能を備えたコマンドラインツー

ルが用意されています。リモートサーバ管理の場合は、 SSH（ Secure Shell）セッションでコマンドを実行します。「ターミナル」アプリケーション（「 / アプリケーション / ユーティリティ /」にあります）を使用して、 Mac OS X サーバおよびコンピュータでコマンドを入力することができます。手順については、コマンドライン管理ガイドを参照してください。

NetInfoマネージャ「 NetInfoマネージャ」は、 Mac OS X Server v 10.2以前を使用しているコンピュータや v 10.2以前からアップグレードしたコンピュータの従来の NetInfo ドメインのレコード、属性、および値の表示や変更に使用します。「ワークグループマネージャ」のインスペクタを使用すると、これらと同じ

作業を実行できます。また、「 NetInfo マネージャ」を使って、従来の NetInfo 階層を管理したり、従来の NetInfoドメインをバックアップおよび復元したりすることもできます。

「 NetInfoマネージャ」は「 /アプリケーション /ユーティリティ /」にあります。


5
5 オープンディレクトリ・サービスを設定する
「サーバ管理」を使って、サーバのオープンディレクトリの役割の設定、シングルサインオン Kerberos 認証サービスの設定、 LDAP オプションの設定、および NetInfoから LDAPへの移行を行うことができます。

オープンディレクトリ・サービス（ディレクトリサービスと認証サービス）は、ネットワークのイ

ンフラストラクチャの重要な部分です。これらのサービスは、ほかのネットワークサービスやユー

ザに重大な影響を及ぼします。このため、オープンディレクトリは最初から正しく設定する必要が

あります。

設定の概要次に、オープンディレクトリ・サービスを設定するために実行する主要な作業の概要を示します。各

手順について詳しくは、示されているページを参照してください。

手順 1：計画を立てる Mac OS X Server でオープンディレクトリを設定する前に検討する項目のリストについては、 72 ページの「設定する前に」を参照してください。

手順 2：スタンドアロンサーバを設定するディレクトリサービスから認証やその他の管理情報を取得しないようにサーバを設定する場合は、 73 ページの「スタンドアロンサーバを設定する」を参照してください。

手順 3：オープンディレクトリのマスターを設定するディレクトリサービスと認証サービスを提供するようにサーバを設定する場合は、 74 ページの「オープンディレクトリのマスターと複製の互換性」および 75 ページの「オープンディレクトリのマスターを設定する」を参照してください。

手順 4：オープンディレクトリのマスターの複製を設定する分散ネットワークですばやくクライアント対話を行うために、フェイルオーバーのディレクトリ

サービスと認証サービス、またはリモートのディレクトリサービスと認証サービスを提供するよう

に 1つ以上のサーバを設定する場合は、 77 ページの「オープンディレクトリの複製を設定する」を参照してください。

71

72

手順 5：ほかのディレクトリシステムに接続するサーバを設定するディレクトリサービスと認証サービスにアクセスする必要があるファイルサーバまたはその他の

サーバがある場合は、 80 ページの「ディレクトリシステムへの接続を設定する」を参照してください。

手順 6：シングルサインオン Kerberos認証を設定するオープンディレクトリのマスターを設定済みの場合は、その Kerberos保護領域に接続するようにほかのサーバを設定できます。 Kerberos なしでオープンディレクトリのマスターを設定する場合は、後で Kerberos を設定できます。手順については、 81 ページの「シングルサインオン Kerberos認証を設定する」を参照してください。

手順 7：アップグレードしたサーバを NetInfoから LDAPに移行する Mac OS X Serverバージョン 10.2 からアップグレードされたサーバがあり、共有 NetInfoディレクトリドメインをまだ使用している場合は、これらのサーバを LDAP に移行することができます。 90 ページの「ディレクトリドメインを Netinfoから LDAPに移行する」および 92 ページの「 LDAPに移行した後で NetInfoを無効にする」を参照してください。

手順 8：クライアントコンピュータ上にディレクトリアクセスを設定するオープンディレクトリのマスターを設定済みの場合は、そのディレクトリドメインにアクセスする

ようにクライアントコンピュータを設定する必要があります。 Microsoft Active Directoryなどのその他のディレクトリサービスにアクセスするようにクライアントコンピュータを設定することもで

きます。第 7 章「ディレクトリアクセスを管理する」を参照してください。

手順 9：ユーザにログイン方法を指示する 76 ページの「ユーザにログイン方法を指示する」を参照してください。

設定する前にオープンディレクトリ・サービスをはじめて設定するときは、事前に次の作業を行います： • ディレクトリデータの用途を理解し、ディレクトリが必要かどうかを判断します。ディレクトリドメインからのデータを必要とするサービスを識別し、これらのサービスへのアク

セスを必要とするユーザを特定します。

サーバ上で情報を最も簡単に管理できるユーザは、オープンディレクトリのマスターである Mac OS X Server の共有 LDAP ディレクトリに定義されている必要があります。これらのユーザの一部は、代わりに、 Windowsサーバ上の Active Directoryのドメインなど、ほかのサーバ上のディレクトリドメインに定義することもできます。

これらの概念については、第 1 章「オープンディレクトリを使ったディレクトリサービス」で説明しています。

• 複数の共有ドメインが必要かどうかを判断します。必要な場合は、各共有ドメインに定義するユーザを決定します。詳しくは、 35 ページの「複数レベルの検索方式」および 59 ページの「ディレクトリ内のデータへの変更を簡素化する」を参照してください。

• ユーザに必要な認証オプションを決定します。利用できるオプションについては、第 3 章「オープンディレクトリの認証」を参照してください。

第 5章オープンディレクトリ・サービスを設定する

• オープンディレクトリのマスターの複製を用意するかどうかを決定します。ガイドラインについては第 4 章「オープンディレクトリの計画」で説明しています。

• サーバ管理者を慎重に選びます。信頼できるユーザにのみ管理者のパスワードを与えます。管理者の数はできるだけ少なくします。ユーザレコードの設定変更などの細かい作業に対する管理者

のアクセス権を委任しないようにします。

重要：ディレクトリ情報には力があります。ディレクトリ情報は、この情報を使用するコンピュータを持つすべてのユーザに重大な影響を与えます。

サーバアシスタントを使ってオープンディレクトリを設定するオープンディレクトリの初期設定は、 Mac OS X Serverのインストール中に「サーバアシスタント」を使用するときに行います。「サーバアシスタント」の使いかたについては、「お使いになる前に」ガ

イドを参照してください。

オープンディレクトリをリモートサーバで管理する「サーバ管理」は Mac OS X バージョン 10.4以降を搭載したコンピュータにインストールでき、これを使って任意のサーバ上のオープンディレクトリを、ローカルネットワークで、またはその範囲を

超えて管理できます。また、 Mac OS X コンピュータまたは Macintosh 以外のコンピュータからコマンドラインツールを使って、オープンディレクトリをリモートで管理することもできます。詳し

くは、「お使いになる前に」ガイドのサーバ管理の章を参照してください。

スタンドアロンサーバを設定する「サーバ管理」を使って、サーバのローカル・ディレクトリドメインのみを使用するように Mac OS XServer を設定できます。このサーバは、ほかのコンピュータにディレクトリ情報を提供せず、既存のシステムからもディレクトリ情報を取得しません。（ローカル・ディレクトリドメインは共有され

ません。）

重要： Mac OS X Server をそのローカル・ディレクトリドメインからのみディレクトリ情報を取得するよう変更すると、サーバが以前に共有ディレクトリドメインから取得したユーザレコードやそ

の他の情報は利用できなくなります： • 共有ディレクトリドメイン内のユーザレコードやその他の情報は、削除されます。 • サーバ上のファイルやフォルダは、アカウントが共有ディレクトリドメインにあるユーザには利用できなくなります。

• サーバがオープンディレクトリのマスターであり、その他のサーバがそれに接続していた場合： • 共有ディレクトリドメイン内のユーザアカウントやその他の情報が利用できなくなると、接続されているサーバ上でサービスが正常に使用できなくなることがあります。

• アカウントが共有ディレクトリドメイン内にあるユーザは、オープンディレクトリのマスター上のファイルやフォルダ、およびその共有 LDAP ディレクトリドメインに接続されていたその他のサーバ上のファイルやフォルダに、アクセスできなくなることがあります。

第 5章オープンディレクトリ・サービスを設定する 73

74

• オープンディレクトリのマスターをスタンドアロンサーバに変更する前に、オープンディレクトリのマスターのディレクトリと認証データのコピーをアーカイブすることができます。手順

については、 167 ページの「オープンディレクトリのマスターをアーカイブする」を参照してください。オープンディレクトリのマスターをスタンドアロンサーバに変更する前に、オープ

ンディレクトリのマスターからユーザ、グループ、およびコンピュータリストを書き出すこと

もできます。詳しくは、ユーザ管理ガイドを参照してください。

共有されていないサーバ自身のローカル・ディレクトリドメインのみを使用するようサーバを設定するには：

1 「サーバ管理」を開き、「コンピュータとサービス」リストでサーバのオープンディレクトリを選択します。

2 「設定」（ウインドウの一番下付近にあります）をクリックし、「一般」（一番上付近にあります）をクリックします。

3 「役割」ポップアップメニューから「スタンドアロンサーバ」を選びます。

4 ユーザやサービスが、サーバが管理または接続している共有ディレクトリドメインに保存された

ディレクトリデータにアクセスする必要がないことが確かな場合は、「保存」をクリックします。

オープンディレクトリのマスターと複製の互換性オープンディレクトリのマスターとその複製の両方で、同じバージョンの Mac OS X Server を使用する必要があります。 •

Mac OS X Server バージョン 10.4 を使用するオープンディレクトリのマスターは、 Mac OS XServer バージョン 10.3に複製されません。

•

Mac OS X Serverバージョン 10.4は、 Mac OS X Serverバージョン 10.3を使用するオープンディレクトリのマスターの複製にすることはできません。

•

Mac OS X Server バージョン 10.4 を使用するオープンディレクトリのマスターは、 Mac OS XServer バージョン 10.4を使用するオープンディレクトリの複製に複製することができます。

オープンディレクトリのマスターと複製で Mac OS X Serverバージョン 10.3を使用している場合は、それらを一緒にバージョン 10.4にアップグレードする必要があります。まずマスターをアップグレードし、次に複製をアップグレードします。マスターと複製のクライアントは、アップグレード処理

中も引き続きディレクトリサービスと認証サービスを受け付けます。マスターをアップグレードし

ている間、そのクライアントは最も近い複製に自動的にフェイルオーバーします。複製を 1 つずつアップグレードするときは、クライアントはアップグレード済みのマスターにフェイルオーバーし

ます。

オープンディレクトリのマスターを Mac OS X Server バージョン 10.3 からバージョン 10.4 にアップグレードすると、サーバはそのサーバの既存の複製に結びつけられます。オープンディレクトリ

の各複製を Mac OS X Server バージョン 10.4 にアップグレードすると、各複製はスタンドアロンサーバになります。そのため、もう一度複製にする必要があります。 Mac OS X Server バージョン 10.4にアップグレードする手順については、アップグレードおよび移行ガイドを参照してください。


オープンディレクトリのマスターを設定する「サーバ管理」を使って、 Mac OS X Serverをオープンディレクトリのマスターとして設定して、ほかのシステムにディレクトリ情報と認証情報を提供できるようにすることができます。 Mac OS XServerは、共有 LDAP ディレクトリドメインを管理することによってディレクトリ情報を提供します。さらに、サーバは、アカウントが共有 LDAP ディレクトリドメインに保存されているユーザを認証します。

オープンディレクトリのマスターには、オープンディレクトリ・パスワード・サーバがあります。こ

のパスワードサーバは、 Mac OS X Server のサービスに必要な従来の認証方法をすべてサポートしています。さらに、オープンディレクトリのマスターでは、シングルサインオン用に Kerberos認証を提供することができます。

オープンディレクトリのマスターでシングルサインオン用に Kerberos認証を提供する場合は、 DNSがネットワーク上で利用可能になっていて、オープンディレクトリのマスターサーバの完全修飾 DNS 名を IP アドレスに解決するように正しく設定されている必要があります。また、 DNS は、 IPアドレスをサーバの完全修飾 DNS名に解決するように設定されている必要もあります。

重要：オープンディレクトリの複製をオープンディレクトリのマスターに変更している場合、従う手順は、複製でマスターを置き換えるか、または複製を追加のマスターにするかによって異なります。 • 複製を昇格して、機能しなくなったマスターを置き換えるには、ここに示した手順ではなく、

165 ページの「オープンディレクトリの複製を昇格する」の手順に従ってください。 • 複製を追加のマスターに変更する場合は、 166 ページの「オープンディレクトリの複製をデコミッションする」で説明されているように、まず複製をデコミッションします。次に、このトピック

の手順に従ってマスターにします。

参考：あるディレクトリシステムに接続されていた Mac OS X Server をオープンディレクトリのマスターにする場合は、そのサーバはほかのディレクトリシステムに接続されたままになります。サー

バは、ユーザレコードとその他の情報を、接続されたほかのディレクトリシステムで検索する前に、

共有 LDAPディレクトリドメインで検索します。

オープンディレクトリのマスターになるようにサーバを設定するには： 1 「サーバ管理」を開き、サーバに接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


3 「役割」オプションが「オープンディレクトリの複製」に設定されていて、新しくオープンディレクトリのマスターを作成する場合は、「役割」を「スタンドアロンサーバ」に変更して「保存」をク

リックする必要があります。

オープンディレクトリの複製をマスターにする前にスタンドアロンサーバに変更しないと、新しい

マスターは作成されず、複製をマスターに昇格する操作は終了します。詳しくは、 165 ページの「オープンディレクトリの複製を昇格する」を参照してください。


76

4 「役割」ポップアップメニューから「オープンディレクトリのマスター」を選び、必要な情報を入力します。

「名前」、「ユーザ名」、「ユーザ ID」、「パスワード」： LDAPディレクトリの主要な管理者のための新しいユーザアカウントを作成する必要があります。このアカウントは、サーバのローカル・ディレ

クトリドメイン内の管理者アカウントのコピーではありません。 LDAPディレクトリ管理者の名前とユーザ ID は、ローカル・ディレクトリドメイン内のユーザアカウントの名前とユーザ ID と別にする必要があります。

「Kerberos 領域」：このフィールドは、大文字に変換されたサーバの DNS名と同じものにあらかじめ設定されています。これは、 Kerberos保護領域の命名規則です。必要に応じて、別の名前を入力できます。

「検索ベース」：このフィールドは、新しい LDAPディレクトリの検索ベースのサフィックスにあらかじめ設定されています。検索ベースのサフィックスは、サーバの DNS名のドメイン部分に由来します。別の検索ベースのサフィックスを入力することも、空欄にすることもできます。このフィール

ドを空欄にすると、 LDAPディレクトリのデフォルトの検索ベースのサフィックスが使用されます。

5 「 OK」をクリックし、「保存」をクリックします。

オープンディレクトリのマスターが正しく機能していることを確認するには、「概要」（「コンピュー

タとサービス」リストでオープンディレクトリを選択した場合に、「サーバ管理」ウインドウの一番

下付近にあります）をクリックします。オープンディレクトリの概要のパネルにリストされている

すべての項目の状況が「実行中」になっている必要があります。停止したままの Kerberosを実行したい場合は、 169 ページの「 Kerberos がオープンディレクトリのマスターまたは複製で停止する」を参照してください。

Mac OS X Server コンピュータをオープンディレクトリのマスターとして設定したら、そのバインド方式、セキュリティポリシー、パスワード方式、複製の頻度、および LDAP プロトコルの各オプションを変更できます。手順については、 86 ページの「オープンディレクトリのマスターまたは複製のオプションを設定する」を参照してください。

Mac OS X または Mac OS X Serverを搭載したほかのコンピュータを、サーバの共有 LDAP ディレクトリドメインにアクセスするように設定できます。手順については、 117 ページの「 LDAPディレクトリにアクセスする」を参照してください。

ユーザにログイン方法を指示する Mac OS Xコンピュータがディレクトリドメインに接続されていて、ユーザのリストを Mac OS Xのログインウインドウに表示するように設定されている場合、そのリストには「その他」が含まれて

いる場合があります。ネットワークアカウントを使用してログインしたことのないユーザには、「そ

の他」をクリックしてからアカウント名とパスワードを入力する必要があることを伝える必要があ

る場合があります。

ユーザは、ユーザのリストをログインウインドウに表示しないように自分のコンピュータを設定で

きます。ユーザがこの設定を変更するには、「システム環境設定」の「アカウント」パネルで「ログ

インオプション」をクリックします。


コンピュータの環境設定を管理することで、コンピュータのログインウインドウでリストにネット

ワークユーザを表示したり、リストをまったく表示しないようにしたりできます。そのコンピュー

タを含むコンピュータ・リスト・アカウントのログイン環境設定を設定するには、「ワークグループ

マネージャ」を使用します。特定のコンピュータ・リスト・アカウントに含まれていないコンピュー

タを管理するには、「ゲストコンピュータ」アカウントのログイン環境設定を設定します。手順につ

いては、ユーザ管理ガイドを参照してください。

オープンディレクトリの複製を設定する「サーバ管理」を使って、 Mac OS X Serverをオープンディレクトリのマスターの複製として設定して、マスターと同じディレクトリ情報と認証情報をほかのシステムに提供できるようにすることが

できます。複製サーバは、マスターの LDAP ディレクトリドメインの読み出し専用コピーを管理します。複製サーバは、オープンディレクトリ・パスワード・サーバおよび Kerberos KDC（ KeyDistribution Center）の読み出し／書き込みコピーも管理します。

オープンディレクトリの複製には、次のような利点があります： • 低速リンクによって相互接続されているローカル・エリア・ネットワーク（ LAN）の広域ネットワーク（ WAN）で、 LAN上の複製は、サーバとクライアントコンピュータにユーザアカウントおよびその他のディレクトリ情報への高速アクセスを提供します。

• 複製は冗長性を提供します。オープンディレクトリのマスターに支障が生じた場合、接続されているコンピュータは近くの複製に自動的に切り替えます。この自動フェイルオーバーの動作は、 Mac OS Xおよび Mac OS X Serverのバージョン 10.3～ 10.4の機能です。

参考：ネットワークに Mac OS X Serverバージョン 10.3と 10.4が混在している場合は、一方のバージョンをもう一方のバージョンのマスターの複製にすることはできません。バージョン 10.4 のオープンディレクトリのマスターは、 Mac OS X Server バージョン 10.3 に複製されません。また、 Mac OS X Server バージョン 10.3 のオープンディレクトリのマスターは、 Mac OS X Server バージョン 10.4に複製されません。

重要：オープンディレクトリの複製を最初に設定するときは、すべてのディレクトリおよび認証データをオープンディレクトリのマスターから複製にコピーする必要があります。ディレクトリドメイ

ンの大きさによって、複製には数秒から数分かかることがあります。低速ネットワークリンクを介

した複製には、非常に時間がかかることがあります。複製中は、マスターはディレクトリまたは認

証サービスを提供できません。マスター LDAP ディレクトリ内のユーザアカウントは、複製が完了するまではログインやサービスの認証には使用できません。ディレクトリサービスの混乱を最小限

にするには、マスター LDAP ディレクトリが完全に取り込まれる前か、 1 日のうちでディレクトリサービスが必要にならない時間に複製を設定します。別の複製がすでに設定されていると、ディレ

クトリサービスのクライアントが、利用できなくなっているマスターから分離されます。

重要：ほかのディレクトリシステムに接続された Mac OS X Server コンピュータをオープンディレクトリの複製に変更する場合、サーバはほかのディレクトリシステムに接続されたままになります。

サーバは、ユーザレコードとその他の情報を、接続されたほかのディレクトリシステムで検索する

前に、共有 LDAPディレクトリドメインで検索します。


78

オープンディレクトリのマスターの複製を管理するようにサーバを設定するには： 1 マスター、予定されている複製、およびそれらの間のすべてのファイアウォールが、 SSH通信（ポート 22）を許可するように設定されていることを確認します。

Mac OS X Server の SSH を有効にするには、「サーバ管理」を使用します。「コンピュータとサービス」リストからサーバを選択し、「設定」をクリックし、「一般」をクリックして、 SSH のオプションを選択します。 SSHについて詳しくは、「お使いになる前に」ガイドを参照してください。

Mac OS X Server のファイアウォールを介して SSH通信を許可する手順については、ネットワークサービス管理ガイドを参照してください。



4 「役割」ポップアップメニューから「オープンディレクトリの複製」を選び、必要な情報を入力します。

「オープンディレクトリのマスターの IP アドレス」：新しいオープンディレクトリのマスターである

サーバの IPアドレスを入力します。

「オープンディレクトリのマスターのルートパスワード」：オープンディレクトリのマスターシステ

ムのルートユーザ（ユーザ名が「 System Administrator」）のパスワードを入力します。

「マスターにおけるドメイン管理者のユーザ名」： LDAPディレクトリドメインの管理者アカウントの名前を入力します。

「マスターにおけるドメイン管理者のパスワード」：入力した名前の管理者アカウントのパスワード

を入力します。


6 複製とマスターの日付、時刻、および時間帯が正しいことを確認します。

複製とマスターは同じネットワーク・タイム・サービスを使用するため、時計は常に同期されます。

オープンディレクトリの複製を設定すると、ほかのコンピュータは、必要に応じて自動的にそれに

接続します。 Mac OS Xまたは Mac OS X Serverのバージョン 10.3～ 10.4を搭載するコンピュータでは、オープンディレクトリの複製のリストを管理します。これらのコンピュータのいずれかがディ

レクトリおよび認証サービス用のオープンディレクトリのマスターに接続できない場合、そのコン

ピュータは自動的に、マスターの一番近い複製に接続します。

Mac OS Xコンピュータを、ディレクトリおよび認証サービス用のオープンディレクトリのマスターではなく、オープンディレクトリの複製に接続するように設定できます。各 Mac OS X コンピュータで、「ディレクトリアクセス」を使って、複製の LDAPディレクトリにアクセスするための LDAPv3設定を作成できます。また、 DHCP サービスから LDAP サーバのアドレスを取得する Mac OS X コンピュータに、複製の LDAPディレクトリを提供するように DCHPサービスを設定することもできます。 117 ページの「 LDAPディレクトリにアクセスする」および 114 ページの「自動検索方式を定義する」を参照してください。


オープンディレクトリのマスターは、複製を自動的に更新します。マスターは、その複製を指定し

た間隔で更新するか、マスターディレクトリが変わったときは常に更新するように設定できます。手

順については、 164 ページの「オープンディレクトリのマスターの複製をスケジュールする」を参照してください。

オープンディレクトリのマスターの複数の複製を作成する複数のサーバをオープンディレクトリのマスターの複製にするには、一度に 1 つずつ複製を作成します。 2つの複製を同時に作成しようとすると、 1つは成功しますが、もう 1 つは失敗します。その後、 2つ目の複製を作成しようとすると、成功するはずです。

オープンディレクトリのフェイルオーバーを設定するオープンディレクトリのマスターまたはその複製のいずれかが利用できなくなると、バージョン 10.3～ 10.4の Mac OS Xまたは Mac OS X Server を搭載したクライアントコンピュータは、自動的に利用可能な複製を探して接続します。

複製を使ってディレクトリ情報を読み出すことができるのは、クライアントのみです。複製にある

ディレクトリ情報は、「ワークグループマネージャ」などの管理ツールを使って変更することはでき

ません。

パスワードタイプがオープンディレクトリであるユーザは、オープンディレクトリの複製に接続さ

れているコンピュータ上のパスワードを変更できます。複製は、自動的にパスワードの変更をマス

ターと同期させます。マスターがしばらくの間利用できない場合、複製は、マスターが再度利用可

能になったときにパスワードの変更をマスターと同期させます。

オープンディレクトリのマスターに恒久的な障害が発生し、そのマスターに現在のアーカイブデー

タがある場合は、新しいマスターにデータを復元することができます。または、複製をマスターに

昇格することもできます。手順については、 168 ページの「オープンディレクトリのマスターを復元する」および 165 ページの「オープンディレクトリの複製を昇格する」を参照してください。

参考：障害が発生したオープンディレクトリのマスターまたは複製に Mac OS X または Mac OS XServer バージョン 10.2 以前を搭載したクライアントコンピュータがある場合、バージョン 10.2 のコンピュータおよびサーバは、自動的には別の複製にフェイルオーバーしません。複製をマスター

に昇格することで、障害が発生したマスターを置き換える場合は、この新しいマスターまたはその

複製の 1つに接続するようにバージョン 10.2の各コンピュータおよびサーバを手動で再設定することができます。これを行うには、バージョン 10.2 の各コンピュータまたはサーバで「ディレクトリアクセス」を使用して、コンピュータが新しいマスターまたは利用可能な複製にアクセスする方法

を指定する LDAPv3設定を作成します。手順については、 117 ページの「 LDAPディレクトリにアクセスする」を参照してください。


80

ディレクトリシステムへの接続を設定する「サーバ管理」を使って、 Mac OS X Serverがほかのサーバの共有ディレクトリドメインからユーザレコードやその他のディレクトリ情報を取得するように設定できます。ほかのサーバも、そのディ

レクトリ情報の認証を提供します。 Mac OS X Server は、それ自身のローカル・ディレクトリドメインからディレクトリ情報を取得し、そのローカルディレクトリ情報の認証を提供します。

重要： Mac OS X Server を、オープンディレクトリにするのではなく、ほかのディレクトリシステムに接続するように変更すると、その共有 LDAP ディレクトリドメインが使用できなくなり、次のような状態になります： • 共有ディレクトリドメイン内のユーザレコードやその他の情報は、削除されます。 • ほかのサーバがマスター・ディレクトリドメインに接続されていた場合は、使用できなくなったディレクトリドメイン内のユーザアカウントやその他の情報が利用できなくなったときに、その

サービスが正常に動作しなくなることがあります。 • 使用できなくなったディレクトリドメイン内にアカウントあるユーザは、オープンディレクトリのマスター上のファイルやフォルダ、およびマスター・ディレクトリドメインに接続されたその

他のサーバ上のファイルやフォルダに、アクセスできなくなることがあります。

既存のシステムからディレクトリサービスを取得するようにサーバを設定するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでサーバのオープンディレクトリを選択します。


3 「役割」ポップアップメニューから「ディレクトリシステムに接続」を選びます。

4 サーバがオープンディレクトリのマスターだった場合で、ユーザやサービスが、サーバが管理して

いる共有ディレクトリドメインに保存されたディレクトリデータにアクセスする必要がないことが

確かな場合は、「保存」をクリックします。

5 「オープンディレクトリアクセス」ボタンをクリックして、 1 つ以上のディレクトリシステムへのアクセスを設定します。

特定の種類のディレクトリサービスへのアクセスの設定手順については、第 7 章「ディレクトリアクセスを管理する」を参照してください。

参考： Mac OS X Serverバージョン 10.4以降を Mac OS X Server10.3以前のディレクトリドメインに接続する場合は、古いディレクトリドメインに定義されているユーザは NTLMv2方法で認証できないことを認識しておいてください。この方法では、 Mac OS X Server バージョン 10.4 以降の Windowsサービスのために、一部の Windowsユーザを安全に認証する必要があります。 Mac OS XServer バージョン 10.4 以降のオープンディレクトリ・パスワード・サーバは NTLMv2 による認証をサポートしますが、 Mac OS X Server バージョン 10.3 以前のパスワードサーバは NTLMv2 をサポートしません。


同様に、 Mac OS X Server バージョン 10.4 以降を Mac OS X Server バージョン 10.2 以前のディレクトリドメインにアクセスするように設定する場合は、古いディレクトリドメインに定義されてい

るユーザは MS-CHAPv2 方法で認証できません。この方法では、 Mac OS X Server バージョン 10.4以降の VPN サービスのために、ユーザを安全に認証する必要があります。 Mac OS X Server バージョン 10.4のオープンディレクトリは MS-CHAPv2による認証をサポートしていますが、 Mac OS XServerバージョン 10.2のパスワードサーバは MS-CHAPv2をサポートしていません。

6 設定対象のサーバに、 Kerberos保護領域も管理するディレクトリシステムへのアクセス権がある場合は、そのサーバをその Kerberos保護領域に接続することができます。

Kerberos 保護領域に接続するには、 Kerberos管理者、またはその保護領域に接続する権限を委任されたユーザの名前とパスワードが必要です。手順については、 85 ページの「サーバを Kerberos 保護領域に接続する」を参照してください。

シングルサインオン Kerberos認証を設定するシングルサインオン Kerberos認証を設定する手順は、以下の通りです： •

DNS がネットワーク上で利用可能になっていて、オープンディレクトリのマスターサーバ（またはほかの Kerberos サーバ）の完全修飾 DNS名を IPアドレスに解決するように正しく設定されている必要があります。また、 DNSは、 IP アドレスをサーバの完全修飾 DNS 名に解決するように設定されている必要もあります。

• 管理者は、 Kerberos保護領域を管理するようにディレクトリシステムを設定します。 Kerberos保護領域を管理するように Mac OS X Server を設定する手順については、「オープンディレクトリの Kerberos 保護領域を設定する」（次のセクション）を参照してください。

• オープンディレクトリのマスターの Kerberos 管理者は、サーバをオープンディレクトリのマスターの Kerberos 保護領域に接続する権限を委任することができます。（管理者は、委任された権限を必要としません。 Kerberos管理者は、任意のサーバを Kerberos 保護領域に接続する権限を暗黙的に持っています。） 83 ページの「オープンディレクトリの Kerberos保護領域に接続する権限を委任する」を参照してください。

•

Kerberos 管理者または権限を委任されたユーザは、サーバを Kerberos 保護領域に接続します。 Kerberos 保護領域は、接続したサーバが提供するサービスのシングルサインオン Kerberos 認証を提供します。 85 ページの「サーバを Kerberos保護領域に接続する」を参照してください。

•

Kerberos を使用するすべてのコンピュータに、正しい日付、時刻、および時間帯を設定する必要があります。これらのコンピュータはすべて、同じネットワーク・タイム・サーバを使用するよ

うに設定する必要があります。 Kerberosは、それを使用するすべてのコンピュータが同期されている時計に依存します。

Mac OS X Serverの個々のサービスには、シングルサインオンまたは Kerberos用の設定は必要ありません。オープンディレクトリのマスターまたは複製か、またはそれに接続している Mac OS XServerバージョン 10.4 以降を搭載したすべてのサーバでシングルサインオン Kerberos認証を使用できるサービスは、以下の通りです：ログインウインドウ、メールサービス、 AFP、 FTP、 SMB/CIFS（ Active Directoryの Kerberos保護領域のメンバーとして）、 VPN、 Apache Webサービス、および LDAPv3ディレクトリサービス（オープンディレクトリのマスターまたは複製上）。


82

オープンディレクトリの Kerberos保護領域を設定するオープンディレクトリのマスターを設定することによって、ネットワーク上でシングルサインオン Kerberos 認証を提供できます。オープンディレクトリのマスターは、 Mac OS X Server のインストール後の初期設定中に設定できます。ただし、別のオープンディレクトリの役割を持つように Mac OS X Serverを設定している場合は、「サーバ管理」を使用して、その役割をオープンディレクトリのマスターの役割に変更できます。手順については、 75 ページの「オープンディレクトリのマスターを設定する」および 82 ページの「オープンディレクトリのマスターを設定した後で Kerberosを起動する」を参照してください。

オープンディレクトリのマスターであるサーバには、そのサーバ自身が提供するすべての Kerberos対応サービス用のシングルサインオン Kerberos認証をサポートするために、追加の設定は必要ありません。このサーバは、ネットワーク上のほかのサーバの Kerberos対応サービス用のシングルサインオン Kerberos 認証もサポートできます。その他のサーバは、オープンディレクトリの Kerberos保護領域に接続するように設定する必要があります。手順については、 83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権限を委任する」および 85 ページの「サーバを Kerberos保護領域に接続する」を参照してください。

重要：オープンディレクトリのマスターで Kerberosとシングルサインオン認証を提供するためには、 DNSを正しく設定する必要があります。 •

DNSサービスは、オープンディレクトリのマスター自体を含むすべてのサーバの完全修飾 DNS名とそれらの IP アドレスを解決し、対応するリバース lookup を提供するように設定する必要があります。 DNS サービスの設定手順については、ネットワークサービス管理ガイドを参照してください。

• オープンディレクトリのマスターサーバの「ネットワーク」環境設定は、サーバの名前を解決する DNSサーバを使用するように設定する必要があります。（オープンディレクトリのマスターサーバで独自の DNS サービスを提供している場合は、その「ネットワーク」環境設定でマスターサーバ自体を DNS サーバとして使用するように設定する必要があります。）

オープンディレクトリのマスターを設定した後で Kerberosを起動するオープンディレクトリのマスターを設定しても Kerberos が自動的に起動しない場合は、「サーバ管理」を使用して手動で起動することができます。まず、 Kerberosが起動しない原因となった問題を解決する必要があります。通常、問題は、 DNS サービスが正しく設定されていないか、実行されていないことです。

参考： Kerberos を手動で起動した後は、アカウントにオープンディレクトリのパスワードがあり、そのアカウントが Kerberosの停止中にオープンディレクトリのマスターの LDAPディレクトリで作成されたユーザは、次回ログインするときにパスワードを再設定する必要がある場合があります。し

たがって、ユーザアカウントが影響を受けるのは、 Kerberosの停止中にオープンディレクトリのパスワードの回復可能な認証方法がすべて無効になっていた場合だけです。

オープンディレクトリのマスターで Kerberosを手動で起動するには： 1 「サーバ管理」を開き、オープンディレクトリのマスターに接続し、「コンピュータとサービス」リストで、マスターのオープンディレクトリを選択します。


2 「リフレッシュ」をクリックし（または、「表示」＞「リフレッシュ」と選択し）、「概要」パネルに報告されている Kerberosの状況をチェックします。

Kerberos が実行されている場合は、ほかにすることはありません。

3 「ネットワークユーティリティ」（「 /アプリケーション /ユーティリティ /」にあります）を使用して、オープンディレクトリのマスターの DNS名から DNS lookupを、 IPアドレスからリバース lookupを実行します。

サーバの DNS 名または IP アドレスが正しく解決されない場合： •「システム環境設定」の「ネットワーク」パネルで、サーバのプライマリ・ネットワーク・インターフェイス（通常は内蔵 Ethernet）の TCP/IP設定を調べます。リストされている 1番目の DNSサーバがオープンディレクトリ・サーバの名前を解決する DNSサーバであることを確認します。

•

DNSサービスの設定をチェックし、 DNSサービスが実行中であることを確認します。

4 「サーバ管理」で、マスターサーバのオープンディレクトリを選択し、「設定」をクリックして、「一般」をクリックします。

5 「 Kerberos 対応にする」をクリックして、求められた情報を入力します。

「管理者名」および「パスワード」：オープンディレクトリのマスターの LDAPディレクトリの管理者として認証を行う必要があります。

「保護領域名」：このフィールドは、大文字に変換されたサーバの DNS 名と同じものにあらかじめ設定されています。これは、 Kerberos保護領域の命名規則です。必要に応じて、別の名前を入力できます。

オープンディレクトリの Kerberos保護領域に接続する権限を委任する「サーバ管理」を使って、サーバをシングルサインオン Kerberos 認証用のオープンディレクトリのマスターサーバに接続する権限を委任できます。権限は、 1つ以上のユーザアカウントに委任できます。権限を委任するユーザアカウントにはオープンディレクトリのパスワードタイプが必要であり、

そのユーザアカウントはオープンディレクトリのマスターサーバの LDAP ディレクトリ内に置かれている必要があります。権限を委任する、依存するサーバには、 Mac OS X Server バージョン 10.3以降が必要です。

参考： Kerberos 権限を委任されたアカウントがオープンディレクトリのマスターサーバで削除されて再作成される場合、新しいアカウントには、依存するサーバをオープンディレクトリのマスター

の Kerberos 保護領域に接続する権限はありません。

Kerberos 管理者（つまり、オープンディレクトリの LDAPの管理者）は、依存するサーバをオープンディレクトリの Kerberos保護領域に接続する権限を委任されている必要はありません。 Kerberos管理者は、任意のサーバを Kerberos保護領域に接続する権限を暗黙的に持っています。

オープンディレクトリの Kerberos保護領域に接続する権限を委任するには： 1 「ワークグループマネージャ」で、オープンディレクトリのマスターサーバの LDAPディレクトリドメインでコンピュータリストを作成するか、このディレクトリで既存のコンピュータリストを選択

します。


84

•「ワークグループマネージャ」で既存のコンピュータリストを選択するには、「アカウント」をクリックするか、「表示」＞「アカウント」と選択して、「コンピュータ」ボタン（アカウントリス

トの上にあります）をクリックし、使用するコンピュータリストを選択します。 • 依存するサーバを追加するコンピュータリストがまだ LDAPサーバにない場合は、作成することができます。

「アカウント」をクリックしてから、「コンピュータ」ボタンをクリックします。

アカウントのリストの上にある小さい地球のアイコンをクリックし、ポップアップメニューを使

用して、オープンディレクトリのマスターの LDAPディレクトリを開きます。

カギをクリックし、 LDAPディレクトリの管理者として認証します。

「リスト」（右側）をクリックして、「新規コンピュータリスト」をクリックするか、「サーバ」＞

「新規コンピュータリスト」と選択します。

リスト名を入力します（たとえば、「 Kerberized Servers」）。

2 追加（＋）ボタンをクリックして、依存するサーバのプライマリ Ethernet アドレスを「アドレス」フィールドに、サーバの完全修飾 DNS名を「名前」フィールドに入力します。

•「アドレス」：依存するサーバのプライマリ Ethernetポートの Ethernetアドレスを入力します。プライマリ Ethernetポートは、依存するサーバの「ネットワーク」環境設定の「ネットワークの状況」パネルにリストされる最初のポートです。このポートのアドレスは、「ネットワーク」環境設

定の「 Ethernet」パネルに「 Ethernet ID」として表示されます。正しい Ethernet アドレスを入力しないと、依存するサーバは、 Kerberos認証用のオープンディレクトリのマスターに接続できません。

•「名前」：依存するサーバのホスト名だけではなく、完全修飾 DNS名を入力します。たとえば、その名前を server2.example.comとすることはできますが、単に server2とすることはできません。この名前は、 KDC で Kerberos プリンシパルを作成するために使用されます。この名前が正しくないと、ユーザは Kerberosを使用して認証することはできません。 DNS システムには、依存するサーバの名前のエントリーと、依存するサーバの IP アドレスのリバース lookup エントリーが必要です。

•「この名前をコンピュータ名として使用」： Kerberosの動作には影響しません。 •「コメント」：省略可能で、情報提供のためにのみ使用されます。

3 「保存」をクリックし、コンピュータリストの変更を保存します。

4 「環境設定」をクリックし、コンピュータリストに、管理された環境設定がないことを確認します。

環境設定カテゴリの配列内にある項目のアイコンの横に小さい矢印がある場合、その項目には管理

された環境設定があります。管理された環境設定を項目から取り除くには、項目をクリックし、「管

理」の横の「しない」を選択して、「今すぐ適用」をクリックします。項目に複数のパネルがある場

合は、各パネルで「管理」の横の「しない」を選択し、「今すぐ適用」をクリックします。

5

Kerberos 権限を 1つ以上の新しいユーザアカウントに委任する場合は、ここで作成します。

• オープンディレクトリのマスターサーバの LDAPディレクトリで作業していることを確認します。必要に応じて、小さい地球のアイコンをクリックし、ポップアップメニューを使用してこのディ

レクトリを開きます。次に、カギをクリックして、このディレクトリの管理者として認証します。


•「ユーザ」ボタン（左側）をクリックし、「新規ユーザ」をクリックするか、「サーバ」＞「新規ユーザ」と選択します。

名前、ユーザ名、およびパスワードを入力します。「アクセスアカウント」も「サーバを管理する」

も選択する必要はありません。ほかのパネルで設定を変更することもできますが、「詳細」パネル

で「ユーザのパスワードのタイプ」設定を変更しないでください。 Kerberos 権限を委任されたユーザは、オープンディレクトリのパスワードを持つ必要があります。

6 「保存」をクリックし、新しいユーザアカウントを保存します。

7 「サーバ管理」を開き、オープンディレクトリのマスターサーバに接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


9 「役割」が「オープンディレクトリのマスター」になっていることを確認してから、「 Kerberosレコードを追加」をクリックし、必要な情報を入力します。

•「管理者名」：オープンディレクトリのマスターサーバ上の LDAPディレクトリ管理者の名前を入力します。

•「管理者のパスワード」：入力した管理者アカウントのパスワードを入力します。 •「設定レコードの名前」：手順 2で依存するサーバをコンピュータリストに追加したときに入力したのと正確に同じ完全修飾 DNS名を入力します。

•「委任された管理者」：指定したサーバに対する Kerberos 権限を委任する各ユーザアカウントのユーザ名（ショートネーム）またはロングネームを入力します。将来このユーザアカウントが削

除された場合に備えて、少なくとも 2つの名前を入力することを考慮してください。

10 「保存」をクリックし、指定した通りに Kerberos権限を委任します。

複数の依存するサーバに対する権限を委任する場合は、それぞれに対してこの手順を繰り返します。

サーバをオープンディレクトリの Kerberos保護領域に接続する手順については、「サーバを Kerberos保護領域に接続する」（次のセクション）を参照してください。

サーバを Kerberos保護領域に接続する「サーバ管理」を使用すると、 Kerberos 管理者、または適切に権限を委任されたアカウントを持つユーザは、 Mac OS X Serverを Kerberos保護領域に接続することができます。サーバが接続できる Kerberos 保護領域は 1つだけです。オープンディレクトリの Kerberos保護領域、 Active Directoryの Kerberos 保護領域、または MIT Kerberosに基づく既存の保護領域のいずれかです。

オープンディレクトリの Kerberos 保護領域に接続するには、 Kerberos 管理者アカウント、または Kerberos 権限を委任されたユーザアカウントが必要です。詳しくは、 83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権限を委任する」を参照してください。

サーバを Kerberos保護領域に接続するには： 1

Kerberos保護領域に接続するサーバが Kerberosサーバの共有ディレクトリドメインにアクセスするように設定されていることを確認します。


86

確認するには、 Kerberos保護領域に接続するサーバで「ディレクトリアクセス」を開くか、別のコンピュータで「ディレクトリアクセス」を使用してサーバに接続します。「認証」をクリックし、 Kerberos サーバのディレクトリドメインがリストされていることを確認します。リストされていない場合は、第 7 章「ディレクトリアクセスを管理する」で、ディレクトリへのアクセスを設定する手順を参照してください。

2 「サーバ管理」を開き、 Kerberos保護領域に接続するサーバに接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


4 「役割」が「ディレクトリシステムに接続」になっていることを確認してから、「 Kerberos に接続」をクリックし、必要な情報を入力します。

• オープンディレクトリの Kerberos保護領域または Active Directoryの Kerberos保護領域の場合は、ポップアップメニューから保護領域を選択し、 Kerberos 管理者、またはサーバに対する Kerberos 権限を委任されたユーザの名前とパスワードを入力します。

•

MITベースの Kerberos保護領域の場合は、 Kerberos管理者の名前とパスワード、 Kerberos保護領域名、および Kerberos KDCサーバの DNS 名を入力します。

オープンディレクトリのマスターまたは複製のオプションを設定するオープンディレクトリのマスターとその複製のバインド、セキュリティ、およびパスワード方式を

設定することができます。オープンディレクトリのマスターや複製に、いくつかの LDAP オプションを設定することもできます。手順については、以下を参照してください： •「オープンディレクトリのマスターと複製のバインド方式を設定する」（次のセクション） •

87 ページの「オープンディレクトリのマスターと複製のセキュリティポリシーを設定する」

•

99 ページの「グローバルパスワード方式を変更する」 •

88 ページの「 LDAPデータベースの場所を変更する」

•

88 ページの「 LDAPサービスの検索結果を制限する」 •

89 ページの「 LDAPサービスの検索タイムアウトを変更する」

•

89 ページの「 LDAPサービスの SSLを設定する」

オープンディレクトリのマスターと複製のバインド方式を設定する「サーバ管理」を使用すると、 LDAP ディレクトリとそれにアクセスするコンピュータの間で、信頼されたバインディングを許可したり要求したりするようにオープンディレクトリのマスターを設定

できます。オープンディレクトリのマスターの複製は、自動的にそのバインド方式を継承します。

信頼された LDAPバインディングは、相互に認証されます。コンピュータは、 LDAPディレクトリの管理者の名前とパスワードを使用して識別情報を提示し、 LDAPディレクトリに対して認証を行います。 LDAPディレクトリは、信頼されたバインディングを設定するとき、ディレクトリ内に作成されている認証済みのコンピュータレコードによって、自分の正統性を提示します。


信頼された LDAPバインディングと、 DHCP から提供される LDAPサーバ（ DHCP Option 95とも呼ばれます）の両方を使用するようにクライアントを設定することはできません。信頼された LDAPバインディングは、本来静的バインディングですが、 DHCPから提供される LDAPは動的バインディングです。詳しくは、 118 ページの「 DHCPによって提供される LDAPディレクトリを有効にする／無効にする」を参照してください。

参考：信頼された LDAPバインディングをクライアントで使用するには、 Mac OS Xまたは Mac OS XServer のバージョン 10.4 以降が必要です。バージョン 10.3 以前を使用するクライアントでは、信頼されたバインディングを設定できません。

オープンディレクトリのマスターと複製のバインド方式を設定するには： 1 「サーバ管理」を開き、オープンディレクトリのマスターサーバに接続し、「コンピュータとサービス」リストで、このサーバを選択します。

2 「設定」（ウインドウの一番下付近にあります）をクリックし、「ポリシー」（一番上付近にあります）をクリックします。

3 「バインド」をクリックし、ディレクトリバインドの目的のオプションを設定します。

• 信頼されたバインディングを許可するには、「ディレクトリバインドを有効にする」を選択します。 • 信頼されたバインディングを要求するには、「ディレクトリへのバインドをクライアントに要求する」も選択します。

4 「保存」をクリックします。

オープンディレクトリのマスターと複製のセキュリティポリシーを設定する「サーバ管理」を使用すると、オープンディレクトリのマスターの LDAPディレクトリへのアクセスに対して、セキュリティポリシーを設定することができます。

オープンディレクトリのマスターの複製は、自動的にそのセキュリティポリシーを継承します。

オープンディレクトリのマスターと複製のセキュリティポリシーを設定するには： 1 「サーバ管理」を開き、オープンディレクトリのマスターサーバに接続し、「コンピュータとサービス」リストで、このサーバを選択します。


3 「バインド」をクリックし、目的のセキュリティオプションを設定します。

•「クリア・テキスト・パスワードを使用不可にする」では、暗号化されたパスワードを送信する認証方法を使用してパスワードを検証できない場合、クライアントがパスワードをクリアテキスト

で送信できるかどうかを決定します。詳しくは、 101 ページの「シャドウパスワードのユーザの認証方法を選択する」および 102 ページの「オープンディレクトリのパスワードの認証方法を選択する」を参照してください。

•「すべてのパケットをデジタル署名（Kerberosが必要）」では、 LDAPサーバのディレクトリデータがクライアントコンピュータに転送されている間にほかのコンピュータによって妨害された

り、変更されたりしないようにします。


88

•「すべてのパケットを暗号化（SSL または Kerberosが必要）」では、ディレクトリデータをクライアントコンピュータに送信する前に LDAP サーバが SSLまたは Kerberos を使用してディレクトリデータを暗号化します。

•「Man-in-the-Middle 攻撃をブロック（Kerberosが必要）」では、 LDAPサーバを装う不正なサーバから保護します。「すべてのパケットをデジタル署名」オプションと共に使用することを推奨し

ます。


セキュリティのオプションは、ここでの設定を受けて、オープンディレクトリのマスターまたは複

製のクライアントごとに個別に設定することもできます。ここで選択したオプションは、クライア

ントで選択解除することはできません。クライアントでこれらのオプションを設定する手順につい

ては、 128 ページの「 LDAP接続のセキュリティポリシーを変更する」を参照してください。

LDAPデータベースの場所を変更する「サーバ管理」を使ってオープンディレクトリのマスターや複製の、 LDAP ディレクトリドメイン内のユーザレコードやその他の情報を保管するデータベースのディスクの場所を指定できます。 LDAPデータベースは、通常は起動ボリューム上にありますが、別のローカルボリューム上に置くことも

できます。

参考：セキュリティ上の目的のため、オープンディレクトリと Kerberosの認証情報を保管するデータベースは、 LDAPデータベースの場所に関係なく、常に起動ボリューム上に置かれます。

共有 LDAPデータベースの場所を変更するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストで、オープンディレクトリのマスターまたはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。

2 「設定」（ウインドウの一番下付近にあります）をクリックし、「プロトコル」（一番上付近にあります）をクリックします。

3 「設定」ポップアップメニューから「 LDAPの設定」を選び、 LDAPデータベースを置く場所のフォルダパスを指定します。

「データベース」フィールドにフォルダのパスを入力するか、ブラウズボタン（ ...）をクリックしてフォルダの場所を選択することができます。


LDAPサービスの検索結果を制限する「サーバ管理」を使って、サーバの共有 LDAPディレクトリドメインによって返される検索結果を制限することによって、 Mac OS X Server のある種のサービス拒否攻撃を防ぐことができます。検索結果の数を制限すると、悪意のあるユーザが複数の広範の LDAP 検索リクエストを送信してサーバの動作を妨げることを防ぐことができます。

LDAP検索結果の最大数を設定するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストで、オープンディレクトリのマスターまたはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。



3 「設定」ポップアップメニューから「 LDAPの設定」を選び、検索結果の最大数を入力します。


LDAPサービスの検索タイムアウトを変更する「サーバ管理」を使って、サーバがその共有 LDAPディレクトリドメインの 1回の検索にかける時間を制限することによって、 Mac OS X Serverのある種のサービス拒否攻撃を防ぐことができます。検索タイムアウトを設定すると、悪意のあるユーザが異常なほど複雑な LDAP検索要求を送信してサーバの動作を妨げることを、防ぐことができます。

LDAP検索のタイムアウト間隔を設定するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストで、オープンディレクトリのマスターまたはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。


3 「設定」ポップアップメニューから「 LDAPの設定」を選び、検索タイムアウトの間隔を指定します。


LDAPサービスの SSLを設定する「サーバ管理」を使用すると、 SSL（ Secure Sockets Layer）を有効にして、オープンディレクトリ・サーバの LDAP ディレクトリドメインとそれにアクセスするコンピュータの間で暗号化通信を行うことができます。 SSLでは、デジタル証明書を使用して、サーバ用の証明済みの識別情報を提供します。自己署名証明書か、または認証局から取得した証明書を使用することができます。証明書の定

義、取得、サーバへのインストールについて詳しくは、メールサービス管理ガイドを参照してくだ

さい。

LDAPの SSL 通信はポート 636を使用します。 SSL が LDAP サービスで無効になっている場合、通信はポート 389でクリアテキストとして送信されます。

LDAPサービスに SSL通信を設定するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストで、オープンディレクトリのマスターまたはオープンディレクトリの複製であるサーバのオープンディレクトリを選択します。


3 「設定」ポップアップメニューから「 LDAPの設定」を選び、「 SSL（ Secure Sockets Layer）を使用する」を選択します。

4 「証明書」ポップアップメニューを使用して、 LDAPサービスで使用する SSL証明書を選択します。

メニューには、サーバにインストール済みのすべての SSL 証明書がリストされます。リストされていない証明書を使用するには、ポップアップメニューから「カスタム設定」を選択します。



90

ディレクトリドメインを Netinfoから LDAPに移行する「サーバ管理」を使用すると、 Mac OS X Serverバージョン 10.4以降へのアップグレードインストールを実行した後で、共有 NetInfo ディレクトリドメインを LDAP に移行することができます。ディレクトリドメインを移行すると、クライアントコンピュータで引き続き NetInfo を使用してディレクトリドメインにアクセスするか、 LDAPを使用してディレクトリドメインにアクセスするようにクライアントコンピュータを設定することができます。

Mac OS Xバージョン 10.3～ 10.4または Mac OS X Serverバージョン 10.3～ 10.4を搭載したクライアントコンピュータは、 LDAP を使用して移行されたディレクトリドメインにアクセスするように、自動的に切り替えることができます。移行プロセスで、ディレクトリドメイン内の自動切り替

え情報を保存できます。 Mac OS Xおよび Mac OS X Serverのバージョン 10.3～ 10.4は、 LDAPに移行されたディレクトリドメインに NetInfo を使用してアクセスするとき、ディレクトリドメインから自動切り替え情報を取り出して、それ以降は LDAP を使用してディレクトリドメインにアクセスするように再設定します。詳しくは、「ディレクトリアクセスを NetInfoから LDAPに切り替える」（次のトピック）を参照してください。

ネットワーク上のクライアントコンピュータが、 LDAP に移行されたディレクトリドメインに NetInfoでアクセスする必要がない場合は、ボタンをクリックして、このドメインへの NetInfoアクセスを無効にすることができます。 NetInfoが無効になった後、クライアントコンピュータは LDAPに自動的に切り替えることはできません。（ローカルの NetInfoディレクトリドメインへのアクセスは影響を受けません。）詳しくは、 92 ページの「 LDAPに移行した後で NetInfo を無効にする」を参照してください。

移行プロセスにより、すべての標準のレコードタイプとデータ・タイプが、 NetInfoデータベースから LDAPデータベースに移動します。 NetInfoディレクトリドメインがカスタムのレコードタイプやデータ・タイプを含むように変更されている場合、それらは LDAPデータベースには移動しません。

LDAPへの移行では、「 Authentication Manager」によって検証されるパスワードを除いて、ユーザパスワードの検証方法は変更されません。パスワードサーバによって検証されたパスワードは、引

き続き同じパスワードサーバによって検証されます。 NetInfoドメイン内の任意のユーザアカウントがパスワード検証に「 Authentication Manager」を使用した場合、それらは移行プロセスによってオープンディレクトリのパスワードタイプを持つように変換されます。もちろん、管理者は、移行

されたユーザアカウントがシングルサインオン Kerberos認証を使用できるように、そのパスワードタイプをオープンディレクトリに変更することができます。

警告：間違って「 NetInfoを無効にする」ボタンをクリックしないようにしてください。「 NetInfoを無効にする」をクリックすると、すぐにディレクトリドメインへの NetInfoのアクセスが無効になります。この変更は取り消しできません。 NetInfoを無効にした後、ディレクトリドメインに接続する必要があるすべてのコンピュータを、 LDAPを使用して接続するように設定する必要があります。


サーバの共有ディレクトリドメインを NetInfo から LDAPに移行するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでオープンディレクトリのマスターサーバのオープンディレクトリを選択します。


3 「設定」ポップアップメニューから「 NetInfoの移行」を選びます。

4 「移行」をクリックし、移行オプションを設定します。

「管理者のユーザ名」：移行された LDAP ディレクトリにコピーする、サーバのローカル・ディレクトリドメインにある管理者アカウントのユーザ名（ショートネーム）。このアカウントが LDAPディレクトリドメインの管理者になります。

「管理者のパスワード」：入力したユーザ名の管理者アカウントのパスワード。

「Kerberos 保護領域名」：規約では、 Kerberos保護領域名はサーバの DNS 名と同じです。ただし、すべて大文字です。たとえば、 DNS 名が example.com であるサーバの Kerberos 保護領域名は、 EXAMPLE.COMです。

「検索ベース（オプション）」：移行された LDAP ディレクトリの検索ベースのサフィックス。通常、検索ベースのサフィックスはサーバの DNS名に由来します。たとえば、 DNS名が server.example.com の場合、検索ベースのサフィックスは「 dc=example, dc=com」とすることができます。

「既存のNetInfo クライアントを LDAP に切り替える」： Mac OS Xまたは Mac OS X Serverのバージョン 10.3～ 10.4を搭載したクライアントコンピュータを、 NetInfoではなく LDAPを使用して移行されたディレクトリドメインにアクセスするように自動的に再設定されるようにします。

5 「 OK」をクリックして、移行を開始します。

移行プロセスには時間がかかることがあります。

移行が終わったら、 DHCP サービスを、自動検索方式を持つクライアントコンピュータに LDAPサーバのアドレスを提供するように設定できます。 Mac OS X または Mac OS X Server のバージョン 10.2～ 10.4を搭載したコンピュータは、自動検索方式を持つことができます。これらのコンピュータは、 LDAPサーバへのアクセスを個別に設定する必要はありません。これらのコンピュータは、起動時に、 DHCPサービスから LDAPサーバのアドレスを取得しようとします。 LDAPサーバのアドレスを提供するように DHCP サービスを設定する手順については、ネットワークサービス管理ガイドを参照してください。


92

ディレクトリアクセスを NetInfoから LDAPに切り替える Mac OS X Server の共有ディレクトリドメインを NetInfoから LDAP に切り替えた後、クライアントによっては自動的に LDAP に切り替わりますが、 LDAP を使用するように設定して DHCP サービスを再設定する必要があるクライアントもあります。 •

NetInfoを使用して移行されたディレクトリドメインにアクセスしていた Mac OS Xまたは Mac OS X Server のバージョン 10.3～ 10.4 を搭載したコンピュータは、自動的に LDAP に切り替えることができます。ディレクトリドメインを NetInfoから LDAP に移行するときに、自動切り替えを有効にする必要があります。 Mac OS X は、移行されたディレクトリドメインのサーバで NetInfoを無効にした後は、自動的に LDAPに切り替えることはできなくなります。 90 ページの「ディレクトリドメインを Netinfoから LDAPに移行する」を参照してください。

•

NetInfoディレクトリドメインではなく、 LDAPディレクトリにアクセスするように、各コンピュータを設定できます。詳しくは、第 7 章「ディレクトリアクセスを管理する」を参照してください。

• 自動認証検索方式を持つコンピュータは、 DHCPサービスからそのディレクトリサーバのアドレスを取得することができます。オープンディレクトリ・サーバにこのようなクライアントがある場

合は、移行された LDAP ディレクトリのサーバのアドレスを提供するように、 DHCP サービスを変更できます。

• ネットワーク上のクライアントコンピュータが、 LDAP に移行されたディレクトリドメインに NetInfoでアクセスする必要がない場合は、「サーバ管理」を使って NetInfoを無効にすることができます。「 LDAPに移行した後で NetInfoを無効にする」（次のセクション）を参照してください。

LDAPに移行した後で NetInfoを無効にするネットワーク上のクライアントコンピュータが、 LDAP に移行されたディレクトリドメインに NetInfo でアクセスする必要がない場合は、「サーバ管理」を使って、このドメインへの NetInfo アクセスを無効にすることができます。（ローカルの NetInfoディレクトリドメインへのアクセスは影響を受けません。）

重要： NetInfoはあまり早い段階で無効にしないようにしてください。 NetInfoを無効にした後、ディレクトリドメインに接続する必要があるすべてのコンピュータを、 LDAPを使用して接続するように設定する必要があります。

LDAPに移行されたディレクトリドメインへの NetInfoのアクセスを無効にするには： 1 サーバで NetInfoを無効にする前に、 DHCPが NetInfoバインディングにサーバのアドレスを提供していないことを確認してください。

2 「サーバ管理」を開き、「コンピュータとサービス」リストでオープンディレクトリのマスターサーバのオープンディレクトリを選択します。


4 「設定」ポップアップメニューから「 NetInfoの移行」を選びます。

5 「 NetInfoを無効にする」をクリックします。

「 NetInfo を無効にする」をクリックすると、すぐにディレクトリドメインへの NetInfo のアクセスが無効になります。この変更は取り消しできません。


6
6 ユーザ認証を管理する
ユーザパスワードを再設定する方法、パスワードタイプを変更する方法、パスワード方式を設定する方法、認証方法を選択する方法などについて説明します。

ディレクトリドメインに保管されているユーザ認証情報を管理することができます。作業の説明と

手順については、以下のセクションを参照してください： •

93 ページの「パスワードを作成する」

•

94 ページの「ユーザのパスワードを変更する」 •

95 ページの「複数ユーザのパスワードをリセットする」

•

96 ページの「ユーザのパスワードタイプを変更する」これには、オープンディレクトリ、シャドウパスワード、または暗号化パスワードへのパスワー

ドタイプの変更と、シングルサインオン Kerberosの有効化があります。 •

99 ページの「ユーザのシングルサインオン Kerberos認証を有効にする」

•

99 ページの「グローバルパスワード方式を変更する」 •

100 ページの「個々のユーザ用のパスワード方式を設定する」

•

101 ページの「シャドウパスワードのユーザの認証方法を選択する」 •

102 ページの「オープンディレクトリのパスワードの認証方法を選択する」

•

103 ページの「オープンディレクトリ認証の管理者権限を割り当てる」 •

104 ページの「主要な管理者のパスワードの同期を維持する」

•

104 ページの「ユーザに LDAPバインド認証を有効にする」 •

105 ページの「書き出されたユーザまたは読み込まれたユーザのパスワードを設定する」

•

105 ページの「 Mac OS X Serverバージョン 10.1以前からパスワードを移行する」

パスワードを作成するユーザのアカウントと関連付けられたパスワードは、ログインまたはその他のサービスのために認

証するユーザが入力する必要があります。パスワードでは大文字と小文字が区別されます（ SMB LANManagerのパスワードを除きます）。入力時には画面には表示されません。

ユーザに対して選択するパスワードタイプにかかわらず、 Mac OS X Server ユーザのパスワードは次の基準に準拠して設定してください：

93

94

• パスワードは、権限がないユーザが簡単に推測できないように、英数字と記号を組み合わせて指定します。パスワードは実在の言葉で構成しないようにします。適切なパスワードには、数字と

記号（ # や $ など）を含める場合があります。また、特定のフレーズのすべての単語の、最初の文字で構成する場合もあります。大文字と小文字を両方とも使用するようにします。

• 空白文字と、 Optionキーを使った文字の組み合わせは使用しないでください。 • ユーザが使用するコンピュータで入力できない文字や、別のキーボードやプラットフォームで正しく入力するために特殊なキーの組み合わせを知っている必要があるような文字は、使用しない

でください。 • ネットワークプロトコルによっては、前のスペース、中間のスペース、または後ろのスペースを含むパスワードはサポートしていません。

• 長さがゼロのパスワードは推奨されていません。オープンディレクトリやいくつかのシステム（ LDAPバインドなど）は、長さがゼロのパスワードはサポートしていません。

ユーザがアクセスするコンピュータやサービスとの互換性を最大にするためには、パスワードに ASCII 文字のみを使用してください。

ユーザのパスワードを変更する「ワークグループマネージャ」を使用すると、読み出し／書き込みアクセス権を持つ別のディレクト

リドメイン内に定義されたユーザアカウントのパスワードを変更できます。たとえば、 LDAP マスターの LDAPディレクトリ内にあるユーザアカウントのパスワードを変更することができます。

重要：コンピュータの LDAP ディレクトリ接続を認証するために使用したユーザアカウントのパスワードを変更する場合は、影響を受けるコンピュータの LDAP 接続設定も同じように変更するか、 LDAPディレクトリと LDAPディレクトリへのすべての接続を、信頼されたバインディングを使用するように設定します。手順については、 136 ページの「 LDAP接続の認証に使用されるパスワードを変更する」、 86 ページの「オープンディレクトリのマスターと複製のバインド方式を設定する」、および 132 ページの「 LDAPディレクトリへの信頼されたバインディングを設定する」を参照してください。

ユーザのパスワードを変更するには： 1 「ワークグループマネージャ」で、「アカウント」ボタンをクリックして、「ユーザ」ボタンをクリックします。

2 パスワードを変更するユーザアカウントを含むディレクトリドメインを開き、ドメインの管理者と

して認証します。

ディレクトリドメインを開くには、ユーザのリストの上にある小さい地球のアイコンをクリックし、

ポップアップメニューから選びます。

ユーザのパスワードタイプがオープンディレクトリの場合は、パスワードタイプがオープンディレ

クトリである管理者として認証する必要があります。

3 パスワードを変更する必要があるアカウントを選択します。

第 6章ユーザ認証を管理する

4 「基本」パネルでパスワードを入力し、「保存」をクリックします。

5 ユーザに、そのユーザがログインできる新しいパスワードを伝えます。

新しいパスワードを使って Mac OS Xにログインした後、ユーザは、「システム環境設定」の「アカウント」をクリックすることによってパスワードを変更できます。

パスワードタイプがオープンディレクトリであるアカウントのパスワードを変更したときに、その

アカウントがオープンディレクトリの複製やマスターの LDAPディレクトリに置かれている場合、その変更は、最終的にはマスターとそのすべての複製と同期されます。 Mac OS X Server は、マスターとその複製の間で、オープンディレクトリのパスワードに対する変更を自動的に同期させます。

複数ユーザのパスワードをリセットする「ワークグループマネージャ」を使って、複数のユーザアカウントを同時に選択し、すべてのユーザ

アカウントが同じパスワードタイプと同じ一時パスワードを持つように変更することができます。

複数のユーザアカウントのパスワードタイプとパスワードを変更するには： 1 「ワークグループマネージャ」で、「アカウント」ボタンをクリックして、「ユーザ」ボタンをクリックします。

2 リセットするパスワードタイプとパスワードを持つユーザアカウントを含むディレクトリドメイン

を開き、ドメインの管理者として認証します。



パスワードタイプをオープンディレクトリとして設定する場合は、パスワードタイプがオープン

ディレクトリである管理者として認証する必要があります。

3 ユーザアカウントを、コマンドキーを押しながらクリックするか、 Shift キーを押しながらクリックして、パスワードタイプを変更する必要があるすべてのアカウントを選択します。

4 「基本」パネルでパスワードを入力し、「詳細」パネルで「ユーザのパスワードのタイプ」を設定します。


6 ユーザに、そのユーザがログインするための一時パスワードを伝えます。

一時パスワードを使ってログインした後、ユーザは、「システム環境設定」の「アカウント」をク

リックすることによってパスワードを変更できます。

パスワードタイプがオープンディレクトリであるアカウントのパスワードを変更したときに、その

アカウントがオープンディレクトリの複製やマスターの LDAPディレクトリに置かれている場合、その変更は、最終的にはマスターとそのすべての複製と同期されます。 Mac OS X Server は、マスターとその複製の間で、オープンディレクトリのパスワードに対する変更を自動的に同期させます。

第 6章ユーザ認証を管理する 95

96

ユーザのパスワードタイプを変更する「ワークグループマネージャ」の「詳細」パネルで、パスワードタイプを次のいずれかに設定できます： • オープンディレクトリでは、ユーザのアカウントがオープンディレクトリのマスターまたは複製の LDAP ディレクトリにある場合に複数の従来の認証方法が有効になり、シングルサインオン Kerberos 認証も有効になります。オープンディレクトリのパスワードは、オープンディレクトリ・パスワード・サーバのデータベースと Kerberos KDC 内に、ディレクトリドメインとは別に保管されます。 96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。

• シャドウパスワードでは、ローカル・ディレクトリドメイン内のユーザアカウントに対して、複数の従来の認証方法が有効になります。シャドウパスワードは、ルートユーザのみが読み出し可

能なファイル内に、ディレクトリドメインとは別に保管されます。 98 ページの「パスワードのタイプをシャドウパスワードに変更する」を参照してください。

• 暗号化パスワードでは、共有ディレクトリドメイン内のユーザアカウントに対して、基本的な認証を提供します。暗号化パスワードは、ディレクトリドメイン内のユーザ・アカウント・レコード

に保管されます。暗号化パスワードは、 Mac OS X バージョン 10.1 以前にログインする場合に必要です。 97 ページの「パスワードのタイプを暗号化パスワードに変更する」を参照してください。

パスワードタイプをオープンディレクトリに変更する「ワークグループマネージャ」を使って、ユーザアカウントがディレクトリドメインとは別の所にあ

る安全なデータベースに保存されているオープンディレクトリのパスワードを持つように指定でき

ます。次のディレクトリドメイン内のユーザアカウントには、オープンディレクトリのパスワード

を設定できます： •

Mac OS X Serverバージョン 10.3 ～ 10.4上の LDAPディレクトリドメイン

•

Mac OS X Serverバージョン 10.3、または 10.3からアップグレードされたサーバのローカル・ディレクトリドメイン

• パスワードサーバを使用するように設定された Mac OS X Serverバージョン 10.2上のディレクトリドメイン

オープンディレクトリのパスワードタイプは、 Kerberos 認証を使用するシングルサインオンをサポートします。また、オープンディレクトリ・パスワード・サーバもサポートします。オープンディ

レクトリ・パスワード・サーバは、 APOP、 CRAM-MD5、 DHX、 Digest-MD5、 MS-CHAPv2、 NTLMv2、 NTLM（ Windows NTまたは SMB-NTとも呼ばれます）、 LAN Manager（ LM）、 WebDAV-Digestなどの SASL（ Simple Authentication and Security Layer）認証プロトコルを提供します。

参考：ユーザアカウントのパスワードタイプをオープンディレクトリに設定するには、そのユーザアカウントを含むディレクトリドメイン内のオープンディレクトリ認証の管理者権限を持つ必要が

あります。つまり、パスワードタイプがオープンディレクトリであるディレクトリドメイン管理者

として認証する必要があります。詳しくは、 103 ページの「オープンディレクトリ認証の管理者権限を割り当てる」を参照してください。

ユーザアカウントがオープンディレクトリのパスワードを持つように指定するには： 1 ユーザのアカウントが、オープンディレクトリ認証をサポートするディレクトリドメイン内にある

ことを確認します。


オープンディレクトリ認証をサポートするディレクトリドメインは、このトピックの前の方にリス

トされています。

2 「ワークグループマネージャ」で、対象のアカウントが開いていない場合はそのアカウントを開きます。

アカウントを開くには、「アカウント」ボタンをクリックし、次に「ユーザ」ボタンをクリックしま

す。ユーザのリストの上にある小さい地球のアイコンをクリックし、ユーザのアカウントが置かれ

ているディレクトリドメインをポップアップメニューから選択して開きます。カギをクリックし、パ

スワードタイプがオープンディレクトリであるディレクトリドメイン管理者として認証します。次

に、リスト内のユーザを選択します。

3 「詳細」をクリックし、「ユーザのパスワードのタイプ」ポップアップメニューから「オープンディレクトリ」を選びます。

4 情報の入力を要求されたら、新しいパスワードを入力および確認入力します。

パスワードは 512バイト以下にする必要があります（言語によっては、 512文字以下）。ただし、ネットワーク認証プロトコルは、 NTLMv2および NTLMの場合は 128文字、 LAN Manager の場合は 14文字というように、別の制限を課す場合があります。パスワード選択のガイドラインについては、 93 ページの「パスワードを作成する」を参照してください。

5 「詳細」パネルで、「オプション」をクリックしてユーザのパスワード方式を設定し、オプションの指定が終わったら「 OK」をクリックします。

指定日にアカウントを無効化するオプションを選択する場合は、日付を MM/DD/YYYY の形式（たとえば、 02/22/2004）で入力します。

パスワードの再設定（変更）を必要とするオプションを選択する場合は、すべてのプロトコルがパ

スワードの変更をサポートしているわけではないことに注意してください。たとえば、 IMAPメールサービスに認証するとき、ユーザはそのパスワードを変更できません。

パスワード IDは、パスワードがオープンディレクトリ・パスワード・サーバのデータベース内で作成されるときに割り当てられる、一意な 128ビットの数です。パスワード IDは問題が発生したときにパスワードサーバのログに表示されるため、問題を解決する際に便利です。詳しくは、 160 ページの「オープンディレクトリの状況とログを表示する」を参照してください。「サーバ管理」でこの

オープンディレクトリのログを表示します。


パスワードのタイプを暗号化パスワードに変更する必要に応じて、「ワークグループマネージャ」を使って、ユーザアカウント内に暗号化パスワードが

保存されるように指定できます。ユーザアカウントは、 LDAPディレクトリドメインまたは従来の共有 NetInfoドメインに属することができます。

暗号化パスワードを要求するコンピュータで使用されないユーザアカウントには、オープンディレ

クトリのパスワードまたはシャドウパスワードが必要です。暗号化パスワードは、 Mac OS X バージョン 10.1 以前を搭載したクライアントコンピュータか、一部の UNIX を搭載したクライアントコンピュータにログインする場合にのみ要求されます。


98

暗号化パスワードは、暗号化された値、つまりハッシュとして、ユーザアカウント内に保存されま

す。暗号化パスワードはディレクトリドメインから回復できるため、オフライン攻撃を受けやすく、

そのため、ほかのパスワードタイプよりも安全性が低くなります。

ユーザアカウントが暗号化パスワードを持つように指定するには： 1 「ワークグループマネージャ」で、対象のアカウントが開いていない場合はそのアカウントを開きます。



ているディレクトリドメインをポップアップメニューから選択して開きます。カギをクリックし、

ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。

2 「詳細」をクリックし、「ユーザのパスワードのタイプ」ポップアップメニューから「暗号化パスワード」を選びます。


暗号化パスワードの長さは、最大で 8バイト（ 8文字の ASCII文字）にすることができます。長いパスワードを入力する場合は、最初の 8バイトのみが使用されます。


パスワードのタイプをシャドウパスワードに変更する「ワークグループマネージャ」を使って、ユーザがディレクトリドメインとは別の所にある安全な

ファイルに保存されているシャドウパスワードを持つように指定できます。アカウントがローカル・

ディレクトリドメインに置かれているユーザのみが、シャドウパスワードを持つことができます。

ユーザアカウントがシャドウパスワードを持つように指定するには： 1 「ワークグループマネージャ」で、対象のアカウントが開いていない場合はそのアカウントを開きます。



ているローカル・ディレクトリドメインを、ポップアップメニューから選択して開きます。カギを

クリックし、ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。

2 「詳細」をクリックし、「ユーザのパスワードのタイプ」ポップアップメニューから「シャドウパスワード」を選びます。


長いパスワードは、一部の認証方法では切り詰められる場合があります。 NTLMv2 および NTLMでは最大 128文字のパスワードが使用され、最初の 14文字は LAN Manager 用に使用されます。パスワード選択のガイドラインについては、 93 ページの「パスワードを作成する」を参照してください。

4 「詳細」パネルで、「オプション」をクリックしてユーザのパスワード方式を設定し、オプションの指定が終わったら「 OK」をクリックします。

指定日にアカウントを無効化するオプションを選択する場合は、日付を MM/DD/YYYY の形式（たとえば、 02/22/2005）で入力します。


ユーザパスワードの変更を必要とする方式を使用する場合は、すべてのプロトコルがパスワードの

変更をサポートしているわけではないことに注意してください。たとえば、 IMAPメールサービスに認証するとき、ユーザはそのパスワードを変更できません。

5 「詳細」パネルで、「セキュリティ」をクリックしてユーザの認証方法を有効または無効にし、設定が終わったら「 OK」をクリックします。

詳しくは、 100 ページの「個々のユーザ用のパスワード方式を設定する」を参照してください。


ユーザのシングルサインオン Kerberos認証を有効にする「ワークグループマネージャ」の「詳細」パネルでアカウントのパスワードタイプをオープンディレ

クトリに設定することによって、シングルサインオン Kerberos 認証を Mac OS X Server の LDAPディレクトリ内のユーザアカウントに対して有効にします。

すでにオープンディレクトリのパスワードタイプを持っている Mac OS X Serverバージョン 10.2のユーザアカウントは、 Kerberosおよびシングルサインオン認証を有効にするように再設定する必要があります。まずパスワードタイプを暗号化パスワードに変更してから、次にオープンディレクト

リに設定します。詳しい手順については、 97 ページの「パスワードのタイプを暗号化パスワードに変更する」および 96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。

グローバルパスワード方式を変更する「サーバ管理」を使って、 Mac OS X Serverディレクトリドメイン内のユーザアカウントにグローバルパスワード方式を設定できます。グローバルパスワード方式は、サーバのローカル・ディレクト

リドメイン内のユーザアカウントに影響します。サーバがオープンディレクトリのマスターまたは

複製である場合、グローバルパスワード方式は、サーバの LDAP ディレクトリドメインにオープンディレクトリのパスワードタイプを持つユーザアカウントにも影響します。オープンディレクトリ

の複製のグローバルパスワード方式を変更すると、方式の設定は、最終的にはマスターとそのマス

ターのその他の複製と同期されます。

管理者アカウントは、常にパスワード方式から免除されます。各ユーザは、グローバルパスワード

方式の設定のいくつかを無効にする、個別のパスワード方式を持つことができます。詳しくは、 100 ページの「個々のユーザ用のパスワード方式を設定する」を参照してください。

Kerberos とオープンディレクトリ・パスワード・サーバは、個別にパスワード方式を保持します。 Mac OS X Serverは、 Kerberosのパスワード方式のルールと、オープンディレクトリ・パスワード・サーバのパスワード方式のルールを同期します。


100

同じドメイン内のすべてのユーザアカウントのグローバルパスワード方式を変更するには： 1 「サーバ管理」を開き、オープンディレクトリのマスターまたは複製に接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


3 「パスワード」をクリックし、独自のパスワード方式を持たないユーザに適用するパスワード方式オプションを設定します。

パスワードの再設定を必要とするオプションを選択する場合は、一部のサービスプロトコルでユー

ザによるパスワードの変更が許可されていないことに注意してください。たとえば、 IMAP メールサービスに認証するとき、ユーザはそのパスワードを変更できません。


オープンディレクトリのマスターの複製は、自動的にそのグローバルパスワード方式を継承します。

コマンドラインからパスワード方式は、「ターミナル」で pwpolicy コマンドを使用して設定することもできます。詳

しい情報については、コマンドライン管理ガイドのオープンディレクトリの章を参照してください。

個々のユーザ用のパスワード方式を設定する「ワークグループマネージャ」を使って、パスワードタイプがオープンディレクトリかシャドウパス

ワードである個々のユーザアカウントのパスワード方式を設定できます。ユーザ用のパスワード方

式は、「サーバ管理」のオープンディレクトリ・サービスの「認証」設定パネルに定義されているグ

ローバルパスワード方式を無効にします。

モバイル・ユーザ・アカウントのパスワード方式は、モバイルコンピュータがネットワークから接

続解除されている場合に、そのアカウントが使用されているときに適用されます。対応するネット

ワーク・ユーザ・アカウントのパスワード方式は、モバイルコンピュータがネットワークに接続さ

れている場合に適用されます。管理者アカウントは、常にパスワード方式から免除されます。

オープンディレクトリのパスワードを持つユーザアカウントのパスワード方式を設定するには、管

理者が、そのユーザアカウントを含むディレクトリドメイン内で、オープンディレクトリ認証の権

限を持っている必要があります。つまり、パスワードタイプがオープンディレクトリであるディレ

クトリドメイン管理者として認証する必要があります。詳しくは、 103 ページの「オープンディレクトリ認証の管理者権限を割り当てる」を参照してください。

Kerberos とオープンディレクトリ・パスワード・サーバは、個別にパスワード方式を保持します。 Mac OS X Server は、 Kerberos のパスワード方式のルールとオープンディレクトリ・パスワード・サーバのパスワード方式のルールを同期させます。


ディレクトリドメイン管理者のパスワード方式を設定するときは、「詳細」パネルの「オプション」

パネルは使用しないでください。パスワード方式は、管理者アカウントには適用されません。ディ

レクトリドメイン管理者が、個々のユーザアカウントのパスワード方式を変更できるようにする必

要があります。

ユーザアカウントのパスワード方式を変更するには： 1 「ワークグループマネージャ」で、対象のアカウントが開いていない場合はそのアカウントを開きます。



ているディレクトリドメインをポップアップメニューから選択して開きます。カギをクリックし、パ

スワードタイプがオープンディレクトリであるディレクトリドメイン管理者として認証します。次

に、リスト内のユーザを選択します。

2 「詳細」をクリックし、次に「オプション」をクリックします。

「オプション」をクリックできるのは、パスワードタイプがオープンディレクトリかシャドウパス

ワードの場合だけです。

3 パスワード方式オプションを変更し、「 OK」をクリックします。

パスワードの再設定（または変更）を必要とするオプションを選択する場合は、一部のサービスプ

ロトコルでユーザによるパスワードの変更が許可されていないことに注意してください。たとえば、 IMAPメールサービスに認証するとき、ユーザはそのパスワードを変更できません。


コマンドラインからパスワード方式は、「ターミナル」で pwpolicy コマンドを使用して設定することもできます。詳

しい情報については、コマンドライン管理ガイドのオープンディレクトリの章を参照してください。

シャドウパスワードのユーザの認証方法を選択する「ワークグループマネージャ」を使って、パスワードタイプがシャドウパスワードであるユーザアカ

ウントが利用できる認証方法を選択できます。シャドウパスワードは、クライアントソフトウェア

との互換性を持たせるために利用できる認証方法をサポートしています。特定の認証方法を要求す

るクライアントソフトウェアをユーザが使用しないことが分かっている場合は、その認証方法を無

効にすることができます。詳しくは、 52 ページの「シャドウパスワードの認証方法を無効にする」を参照してください。


102

重要：認証方法を無効にすると、次回ユーザが認証を行うときに、そのハッシュがユーザのシャドウパスワードのファイルから削除されます。無効になっていた認証方法を有効にすると、ログイン

ウインドウや AFP などのクリアテキストのパスワードを使用できるサービスを利用するためにユーザが次回認証を行うときに、新しく有効にした方法のハッシュがユーザのシャドウパスワードの

ファイルに追加されます。または、ユーザのパスワードを再設定して、新しく有効にした方法のハッ

シュを追加することもできます。ユーザはパスワードを再設定でき、ディレクトリ管理者がその再

設定を行うこともできます。

パスワードタイプがオープンディレクトリのユーザアカウントに対する認証を有効または無効にす

るには、次のトピックを参照してください。

シャドウパスワードのユーザの認証方法を有効または無効にするには： 1 「ワークグループマネージャ」で、対象のアカウントが開いていない場合はそのアカウントを開きます。



ているローカル・ディレクトリドメインを、ポップアップメニューから選択して開きます。カギを

クリックし、ディレクトリドメイン管理者として認証します。次に、リスト内のユーザを選択します。

2 「詳細」をクリックし、次に「セキュリティ」をクリックします。

「セキュリティ」をクリックできるのは、パスワードタイプがシャドウパスワードかオープンディレ

クトリの場合だけです。

3 有効にする認証方法を選択し、無効にする認証方法を選択解除して、「 OK」をクリックします。


コマンドラインから「ターミナル」で pwpolicy コマンドを使用して、シャドウパスワードを持つユーザの認証方法を

有効または無効にすることもできます。詳しい情報については、コマンドライン管理ガイドのオー

プンディレクトリの章を参照してください。

オープンディレクトリのパスワードの認証方法を選択する「サーバ管理」を使って、パスワードタイプがオープンディレクトリであるすべてのユーザアカウン

トが利用できる認証方法を選択できます。オープンディレクトリ・パスワード・サーバは、クライ

アントソフトウェアとの互換性を持たせるために利用できる認証方法をサポートしています。特定

の認証方法を要求するクライアントソフトウェアをユーザが使用しないことが分かっている場合

は、その認証方法を無効にすることができます。詳しくは、 51 ページの「オープンディレクトリの認証方法を無効にする」を参照してください。


重要：認証方法を無効にすると、次回ユーザが認証を行うときに、そのハッシュがパスワードデータベースから削除されます。無効にされていた認証方法を有効にする場合は、オープンディレクト

リのパスワードをすべて再設定して、新しく有効にされた認証方法のハッシュをパスワードデータ

ベースに追加する必要があります。ユーザは自分のパスワードを再設定でき、ディレクトリ管理者

がその再設定を行うこともできます。

パスワードタイプがシャドウパスワードのユーザアカウントに対する認証を有効または無効にする

には、前のトピックを参照してください。

オープンディレクトリのパスワードの認証方法を有効または無効にするには： 1 「サーバ管理」を開き、オープンディレクトリのマスターに接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


3 「セキュリティ」をクリックして、有効にする認証方法を選択し、無効にする認証方法を選択解除します。


オープンディレクトリのマスターの複製は、 LDAP ディレクトリでのオープンディレクトリのパスワードの認証方法の設定を自動的に継承します。

コマンドラインから「ターミナル」の NeSTコマンドで -getprotocols 引数および -setprotocols 引数を使用し

て、オープンディレクトリのすべてのパスワードに対するパスワードサーバの認証方法を有効また

は無効にすることもできます。詳しい情報については、コマンドライン管理ガイドのオープンディ

レクトリの章を参照してください。

オープンディレクトリ認証の管理者権限を割り当てる「ワークグループマネージャ」と、オープンディレクトリのパスワード設定を操作する権限を持つ管

理者アカウントを使用すると、同じディレクトリドメイン内のほかのユーザアカウントにこれらの

権限を割り当てることができます。これらの権限を割り当てるには、ユーザアカウントに、オープ

ンディレクトリのパスワードと、ユーザアカウントを管理する権限が必要です。この要件によって、 Kerberos KDCおよびオープンディレクトリ・パスワード・サーバのデータベースに保存されるパスワードのセキュリティが保護されます。

オープンディレクトリ認証の管理者権限をユーザアカウントに割り当てるには： 1 「ワークグループマネージャ」で、目的のアカウントを開き、「詳細」をクリックして、パスワードタイプがオープンディレクトリのパスワードに設定されていることを確認します。

詳しくは、 96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。


104

2 「基本」パネルで、「このディレクトリのドメインを管理する」が選択されていることを確認します。

3 「アクセス権」をクリックし、「ユーザのアカウントを編集する」が選択されていることを確認します。

管理者権限の設定について詳しくは、ユーザ管理ガイドを参照してください。

主要な管理者のパスワードの同期を維持する通常、 Mac OS X Server バージョン 10.3からアップグレードしたオープンディレクトリ・サーバでは、主要な管理者のアカウントは、サーバのローカルディレクトリとその LDAP ディレクトリの両方に存在します。このアカウントは、オープンディレクトリのマスターが Mac OS X Serverバージョン 10.3で作成されたときに、ローカルディレクトリから LDAPディレクトリにコピーされたものです。最初は、このアカウントの両方のコピーに、ユーザ ID 501、同じ名前、および同じパスワードがあります。各アカウントはそれぞれのディレクトリドメインの管理者であり、両方ともサーバ管

理者です。アカウントの共通の名前とパスワードを使用して「ワークグループマネージャ」でサー

バに接続すると、ローカル・ディレクトリドメインと LDAP ディレクトリドメインの両方に対して自動的に認証されます。

どちらかのパスワードを変更すると、両方のディレクトリドメインに対して自動的に認証されなく

なります。たとえば、「ワークグループマネージャ」でサーバに接続するときに、ローカルディレク

トリの管理者のパスワードを使用する場合は、ローカルディレクトリでのみ変更を行うことができ

ます。 LDAPディレクトリで変更を行うには、カギのアイコンをクリックして、 LDAP管理者のパスワードを使用して認証する必要があります。

ローカルの主要な管理者のアカウントと LDAP 管理者のアカウント（ユーザ ID 501）で異なるパスワードを使用すると、混乱することがあります。そのため、これらのパスワードは同じにするよう

にしてください。

参考： Mac OS X Server バージョン 10.4で作成されたオープンディレクトリ・サーバの管理者アカウントは、ローカルディレクトリと LDAPディレクトリで異なります。名前とユーザ IDが異なるため、混乱することなく異なるパスワードを使用できます。

ユーザに LDAPバインド認証を有効にする LDAPディレクトリドメインに保存されているユーザアカウントの LDAPバインド認証を有効にすることができます。このパスワード検証方法を使用するときは、ユーザのパスワードを認証するユー

ザアカウントを含む LDAPサーバに依存します。

LDAPバインドのユーザ認証を有効にするには： 1 ユーザアカウントを認証する必要のある Mac OS Xコンピュータに、そのユーザアカウントが存在する LDAP ディレクトリへの接続があること、およびそのコンピュータの検索方式に LDAP ディレクトリ接続が含まれていることを確認します。

LDAPサーバ接続と検索方式の設定については、 117 ページの「 LDAPディレクトリにアクセスする」を参照してください。


2 パスワードおよび認証機関属性をマップしない LDAP接続を設定する場合は、バインド認証は自動的に行われます。

詳しくは、 129 ページの「 LDAP検索とマッピングを設定する」を参照してください。

3 接続がクリアテキストのパスワードを許可するように設定されている場合は、転送中にクリアテキ

ストのパスワードを保護するために、 SSLを使用するようにその接続を設定する必要があります。

手順については、 128 ページの「 LDAP接続のセキュリティポリシーを変更する」および 127 ページの「 LDAPディレクトリの接続設定を変更する」を参照してください。

書き出されたユーザまたは読み込まれたユーザのパスワードを設定するパスワードタイプがオープンディレクトリまたはシャドウパスワードのユーザアカウントを書き出

しても、パスワードは書き出されません。これにより、オープンディレクトリ・パスワード・サー

バのデータベースとシャドウパスワードのファイルのセキュリティが保護されます。読み込むため

には、スプレッドシートアプリケーションを使って、書き出されたユーザのファイルを開き、その

パスワードを事前に設定します。このパスワードは、次にログインするときに変更できます。ユー

ザ管理ガイドには、書き出されたユーザのファイルを操作する手順が記載されています。

読み込んだ後は、 2 つのオプションにより読み込まれたユーザアカウントのパスワードを設定できます： • 読み込まれたすべてのユーザアカウントで、一時パスワードを使用するように設定します。各ユーザは、次にログインするときにこのパスワードを変更できます。手順については、 95 ページの「複数ユーザのパスワードをリセットする」を参照してください。

•「ワークグループマネージャ」の「基本」パネルで、読み込まれた各ユーザアカウントのパスワードを個別に設定できます。手順については、 96 ページの「ユーザのパスワードタイプを変更する」を参照してください。

Mac OS X Serverバージョン 10.1以前からパスワードを移行するアカウントレコードを読み込むか、それが置かれているサーバをアップグレードすることによって、

ユーザアカウントを以前のバージョンの Mac OS X Serverから移行することができます。 Mac OS XServerバージョン 10.1以前で作成されたユーザアカウントには認証機関属性はありませんが、暗号化パスワードがあります。このようなユーザアカウントと互換性を持たせるため、 Mac OS X Serverでは、認証機関属性を持たないユーザアカウントは暗号化パスワードを持つとみなされます。


106

ユーザアカウントを Mac OS X Server v 10.1 以前から読み込む場合、ユーザアカウントには認証機関属性はありません。このため、これらのユーザアカウントは、最初に暗号化パスワードを持つよ

うに設定されます。サーバのローカル・ディレクトリドメイン（ NetInfo ドメイン）にこれらのユーザアカウントを読み込む場合に、回復可能な認証方法を使用できるサービスのユーザ認証のパス

ワードをユーザまたは管理者が変更すると、各ユーザアカウントは暗号化パスワードからシャドウ

パスワードへ自動的に変換されます。ユーザアカウントの読み込みについては、ユーザ管理ガイド

を参照してください。

同様に、 Mac OS X Server v 10.1以前からアップグレードする場合、アップグレード前に作成されたユーザアカウントには認証機関属性がありません。これらのユーザアカウントは、アップグレード

後は暗号化パスワードを持つとみなされます。

既存のすべての暗号化パスワードは読み込みやアップグレードの後も引き続き使用できますが、

オープンディレクトリのパスワードまたはシャドウパスワードを持つようにユーザアカウントを変

更することもできます。「ワークグループマネージャ」を使えば、個々のユーザアカウントまたは複

数のユーザアカウントを変更できます。ユーザアカウントのパスワードタイプを変更すると、パス

ワードがリセットされます。手順については、 96 ページの「パスワードタイプをオープンディレクトリに変更する」および 98 ページの「パスワードのタイプをシャドウパスワードに変更する」を参照してください。

Mac OS X Server v 10.1以前で作成されたユーザアカウントによっては、「 Authentication Manager」を使用できる場合もあります。これは、 Windows ファイルサービスのユーザと、 MacOS 8コンピュータが AFPクライアントソフトウェアのバージョン 3.8.3以降でアップグレードされなかった Apple ファイルサービスのユーザを認証するための、従来の技術です。

「 Authentication Manager」のユーザの移行には、次のオプションがあります： • 最初に Mac OS X Serverバージョン 10.1から 10.2にアップグレードし、次にバージョン 10.4にアップグレードする場合、既存のユーザは引き続き同じパスワードを使用できます。 • アップグレードしたユーザアカウントの一部またはすべてを、オープンディレクトリのパスワードまたはシャドウパスワードを持つように変更できます。これらのパスワードは、暗号化

パスワードより安全です。詳しくは、「 Authentication Managerのユーザを書き出す／読み込む」（次のセクション）を参照してください。

• アップグレードされたサーバに共有 NetInfoドメインがあり、そのドメインを LDAPディレクトリに移行する場合、すべてのユーザアカウントは、オープンディレクトリのパスワードに自動

的に変換されます。詳しくは、 90 ページの「ディレクトリドメインを Netinfoから LDAPに移行する」を参照してください。

• ユーザまたは管理者が回復可能な認証方法を使用できるサービスのパスワードまたはユーザ認証を変更すると、サーバのローカル・ディレクトリドメイン（ NetInfo ドメイン）の既存の各ユーザアカウントは、暗号化パスワードからシャドウパスワードに自動的に変換されます。

•「 Authentication Manager」を使用するユーザアカウントを LDAPディレクトリに読み込む場合、それらのユーザアカウントは読み込み時にオープンディレクトリのパスワードを持つように変換

されます。


Authentication Managerのユーザを書き出す／読み込む「 Authentication Manager」が有効になっている NetInfo ドメインの暗号化パスワードを持つユーザアカウントを書き出しても、パスワードは書き出されません。 Mac OS X Server バージョン 10.4のディレクトリドメインに読み込んだ後は、 2つのオプションにより読み込まれたユーザアカウントのパスワードを設定できます： • 読み込まれたすべてのユーザアカウントで、一時パスワードを使用するように設定します。各ユーザは、次にログインするときにこのパスワードを変更できます。手順については、 95 ページの「複数ユーザのパスワードをリセットする」を参照してください。

•「ワークグループマネージャ」の「基本」パネルで、読み込まれた各ユーザアカウントのパスワードを個別に設定できます。手順については、 96 ページの「ユーザのパスワードタイプを変更する」を参照してください。

「 Authentication Manager」は、 Windowsファイルサービスのユーザと、 Mac OS 8コンピュータが AFPクライアントソフトウェアのバージョン 3.8.3以降でアップグレードされなかった Appleファイルサービスのユーザのパスワードを安全に検証するための従来の技術です。「 AuthenticationManager」は、 Mac OS X Server バージョン 10.0 ～ 10.2 の NetInfo ドメインで作成されたユーザアカウントでのみ機能します。「 Authentication Manager」が NetInfoドメインに対して有効になっていた必要があります。詳しくは、 54 ページの「 Authentication Manager」を参照してください。


7
7 ディレクトリアクセスを管理する
「ディレクトリアクセス」を使って、 Mac OS Xを搭載したコンピュータまたは Mac OS X Serverを搭載したサーバのディレクトリサービスへのアクセス方法とネットワークサービスの検出方法を設定し管理できます。

設定および管理作業の説明と手順については、以下のセクションを参照してください： •「リモートサーバ上のディレクトリアクセスを設定する」（次のセクション） •

110 ページの「サービスへのアクセスを設定する」

•

114 ページの「検索方式を設定する」 •

117 ページの「 LDAPディレクトリにアクセスする」

•

139 ページの「 Active Directoryドメインにアクセスする」 •

151 ページの「 NISドメインにアクセスする」

•

151 ページの「 BSD設定ファイルを使用する」 •

153 ページの「レガシー NetInfoドメインにアクセスする」

リモートサーバ上のディレクトリアクセスを設定するコンピュータ上の「ディレクトリアクセス」アプリケーションを使って、リモートサーバ上の Mac OS X Server のディレクトリサービスへのアクセス方法とネットワークサービスの検出方法を設定し管理できます。

リモートサーバのディレクトリアクセスを設定するには： 1 コンピュータの「ディレクトリアクセス」で、「サーバ」メニューの「接続」を選びます。

2 設定するサーバの接続情報と認証情報を入力し、「接続」をクリックします。

「アドレス」：設定するサーバの DNS名または IPアドレスを入力します。

「ユーザ名」：サーバの管理者のユーザ名を入力します。

「パスワード」：入力したユーザ名のパスワードを入力します。

3 「サービス」、「認証」、および「コンタクト」タブをクリックし、必要に応じて設定を変更します。

以上のステップで加えたすべての変更が、接続先のリモートサーバに反映されます。

109

110

4 リモートサーバの設定が完了したら、コンピュータで「サーバ」メニューの「接続の解除」を選択

します。

サービスへのアクセスを設定する「ディレクトリアクセス」は、 Mac OS X がアクセスできるさまざまな種類のサービスのリストを示します。このリストには、ディレクトリドメインに保存されているユーザ情報などの管理データへ

のアクセス権を Mac OS X に与える、ディレクトリサービスが含まれます。また、このリストには Mac OS Xがネットワーク上で検出できるネットワークサービスの種類も含まれます。

各種サービスへのアクセスはユーザが有効または無効にできます。「ディレクトリアクセス」のある

種類のサービスを無効にすると、 Mac OS Xは、無効の種類のサービスにはアクセスできなくなります。ただし、「ディレクトリアクセス」で 1種類のサービスを無効にしても、その種類のサービスを使用したり提供したりするための Mac OS Xの機能には影響しません。たとえば、 SMB/CIFSを無効にした場合、 Mac OS X ではファイルサービスを検出するときに SMB/CIFSは使用されなくなりますが、「システム環境設定」の「共有」パネルで「 Windows共有」を開始したり、「 smb://」形式のアドレスが分かれば Windowsファイルサーバに接続したりできます。

作業の説明と手順については、以下のセクションを参照してください： •

110 ページの「 Active Directoryサービスを有効にする／無効にする」

•

111 ページの「 AppleTalkサービス検出を有効にする／無効にする」 •

111 ページの「 BSDフラットファイルと NISディレクトリサービスを有効にする／無効にする」

•

111 ページの「 LDAPディレクトリサービスを有効にする／無効にする」 •

112 ページの「 NetInfoディレクトリサービスを有効にする／無効にする」

•

112 ページの「 Bonjour サービスの検出を有効にする」 •

112 ページの「 SLPサービス検出を有効にする／無効にする」

•

113 ページの「 SMB/CIFSサービスの検出を有効にする／無効にする」 •

113 ページの「 SMB/CIFSサービスの検出を設定する」

Active Directoryサービスを有効にする／無効にする「ディレクトリアクセス」を使用して、 Windows サーバが提供する Active Directory サービスの使用を有効または無効にできます。 Active Directoryは、 Windows 2000サーバと 2003サーバのディレクトリサービスです。

Active Directory サービスを無効にする場合、いずれかの Active Directory ドメインがカスタム検索方式に含まれているときは、「ディレクトリアクセス」の「認証」または「コンタクト」パネルの

リストにそれらが赤色で表示されます。

Active Directoryへのアクセスを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。

2 カギのアイコンがロックされている場合は、カギをクリックし、管理者の名前とパスワードを入力

します。

3 「 Active Directory」の横にあるチェックボックスをクリックし、「適用」をクリックします。

設定手順については、 139 ページの「 Active Directoryドメインにアクセスする」を参照してください。

第 7章ディレクトリアクセスを管理する

AppleTalkサービス検出を有効にする／無効にする「ディレクトリアクセス」を使って、 AppleTalk ネットワークサービスの検出を有効または無効にすることができます。 AppleTalkは、ネットワークのファイルサービスやプリントサービスに従来から使用されている Mac OSのプロトコルです。 AppleTalkをファイルの共有に使用しているコンピュータや、ファイルサービスに使用しているサーバもあります。また、共有プリンタでも AppleTalk が使われている場合があります。

AppleTalkサービス検出を有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 「 AppleTalk」チェックボックスをクリックし、「適用」をクリックします。

AppleTalk は設定が不要です。

BSDフラットファイルと NISディレクトリサービスを有効にする／無効にする「ディレクトリアクセス」を使って、 BSD 設定ファイルを有効または無効にしたり、 NIS（ NetworkInformation Service)ディレクトリサービスにアクセスすることができます。 BSD設定ファイルは、もともと UNIXコンピュータで管理データにアクセスする方法で、組織によってはまだこの方法を使用しています。 NISを使用してディレクトリサービスを提供している UNIXサーバもあります。

BSDおよび NISディレクトリサービスを無効にする場合、いずれかの BSDまたは NISドメインがカスタム検索方式に含まれているときは、「ディレクトリアクセス」の「認証」または「コンタクト」

パネルのリストにそれらが赤色で表示されます。

BSDフラットファイルおよび NISディレクトリサービスを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 「 BSDフラットファイルおよび NIS」の横のチェックボックスをクリックし、「適用」をクリックします。

設定手順については、 151 ページの「 NIS ドメインにアクセスする」および 151 ページの「 BSD設定ファイルを使用する」を参照してください。

LDAPディレクトリサービスを有効にする／無効にする「ディレクトリアクセス」を使って、 LDAP（ Light Directory Access Protocol）バージョン 2および 3 を使用するディレクトリサービスへのアクセスを有効または無効にできます。「 LDAPv3」という「ディレクトリアクセス」プラグインは、 1つで LDAPのバージョン 2と 3の両方へのアクセスを提供しています。

Mac OS X Server が提供するディレクトリサービスでは、ほかの多くのサーバと同様に LDAPv3 が使用されます。 LDAPv3は、オープン規格の 1つで、 Macintosh、 UNIX、および Windowsシステムが混在するネットワークでよく使われます。旧バージョンの LDAPv2を使用してディレクトリサービスを提供するサーバもあります。

第 7章ディレクトリアクセスを管理する 111

112

LDAPディレクトリサービスを無効にする場合、いずれかの LDAPディレクトリがカスタム検索方式に含まれているときは、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのリスト

にそれらが赤色で表示されます。

LDAPディレクトリサービスを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 「 LDAPv3」チェックボックスをクリックし、「適用」をクリックします。

設定手順については、 117 ページの「 LDAPディレクトリにアクセスする」を参照してください。

NetInfoディレクトリサービスを有効にする／無効にする「ディレクトリアクセス」を使って、共有 NetInfoディレクトリドメインへのアクセスを有効または無効にできます。 NetInfo はレガシー・ディレクトリ・サービスであり、現在でも Mac OS X Serverを含むすべての Mac OS X コンピュータのローカル・ディレクトリドメイン用に使われています。 NetInfoは、 Mac OS X Server v 10.2以前の共有ディレクトリドメイン用にも使用できます。

「ディレクトリアクセス」で NetInfoを無効にしても、コンピュータのローカル NetInfoドメインへのアクセスは無効にはなりません。共有 NetInfoドメインへのアクセスのみ無効にできます。

NetInfoディレクトリサービスを無効にしたときに、共有 NetInfoディレクトリドメインがカスタム検索方式の一部である場合、それらは「ディレクトリアクセス」の「認証」または「コンタクト」パ

ネルに赤色でリストされます。

NetInfoディレクトリサービスを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 「 NetInfo」チェックボックスをクリックし、「適用」をクリックします。

設定手順については、 153 ページの「レガシー NetInfoドメインにアクセスする」を参照してください。

Bonjourサービスの検出を有効にする Bonjour サービスの検出は、常に有効になっています。ネットワークサービスを検出するために、 Bonjourの使用を無効にすることはできません。

SLPサービス検出を有効にする／無効にする「ディレクトリアクセス」を使って、ネットワーク上でサービスを認識させるために SLP（ ServiceLocation Protocol）を使用するサービスの検出を、有効または無効にできます。 SLPは、 IP（ InternetProtocol）ネットワークでファイルサービスやプリントサービスの検出に使用されるオープンスタンダードです。

SLPサービス検出を有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。



します。

3 「 SLP」チェックボックスをクリックし、「適用」をクリックします。

SLP を設定する必要はありません。

SMB/CIFSサービスの検出を有効にする／無効にする「ディレクトリアクセス」を使って、 SMB/CIFS（ Server Message Block/Common Internet FileSystem）を使用してネットワーク上の場所を知らせるサービスの検出を有効または無効にすることができます。 SMB/CIFSは Microsoft Windows がファイルサービスやプリントサービスに使用するプロトコルです。

SMB/CIFSサービス検出を有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 「 SMB」チェックボックスをクリックし、「適用」をクリックします。

設定手順については、「 SMB/CIFSサービスの検出を設定する」（次のセクション）を参照してください。

SMB/CIFSサービスの検出を設定する Mac OS Xで SMB/CIFS（ Server Message Block）プロトコルを使ってネットワーク上の Windowsファイルサーバを検出する方法を設定することができます。「ディレクトリアクセス」アプリケー

ションを使用して以下を指定できます： • コンピュータが属している Windowsワークグループ • ネットワーク上の WINS（ Windows Internet Naming Service）サーバ

Windows SMB/CIFSファイルサーバの検出を設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 SMB」を選び、「設定」をクリックします。

4 「ワークグループ」フィールドにワークグループ名を入力するか、ドロップダウンリストから選びます。

ドロップダウンリストには、ネットワーク上のその他のコンピュータが属している Windowsワークグループの名前が含まれます。

5 ネットワークに NetBIOS名前解決を提供している WINSサーバの DNS名か IPアドレスを入力し、「 OK」をクリックします。

WINSサーバは、 Windowsコンピュータ名をルーターや複数のサブネットのあるネットワーク上の IPアドレスに変換します。

ネットワークに WINSサーバがない場合は、「 WINSサーバ」フィールドを空白にしておきます。


114

検索方式を設定する「ディレクトリアクセス」では、認証の検索方式と、コンタクト情報の検索方式を定義します。 •「認証」： Mac OS Xは、認証検索方式を使って、ディレクトリドメインからユーザ認証情報やその他の管理データを検索して取得します。

•「コンタクト」： Mac OS Xは、コンタクト検索方式を使って、ディレクトリドメインから名前、アドレス、その他のコンタクト情報を検索して取得します。 Mac OS Xの「アドレスブック」はこのコンタクト情報を使用しますが、その他のアプリケーションも同様にこれを使うように設計でき

ます。

各検索方式は、ディレクトリノードとも呼ばれるディレクトリドメインのリストで構成されます。リ

ストに含まれるディレクトリドメインの順序によって、検索方式が決まります。 Mac OS Xはリストされているディレクトリドメインを、リストの先頭から始めて、必要な情報が見つかるまで、また

は情報が見つからずにリストの末尾に達するまで、順番に検索します。

認証とコンタクトの各検索方式は、「自動」、「ローカルディレクトリ」、「カスタムパス」のいずれか

に設定することができます。 •「自動」はローカル・ディレクトリドメインで開始します。また、コンピュータのバインド先の

DHCPおよび NetInfoドメインが自動的に提供する LDAPディレクトリを含めることができます。自動検索方式は Mac OS X v 10.2 以降のデフォルトの設定であり、モバイルコンピュータに最大の柔軟性を提供します。

•「ローカルディレクトリ」には、ローカル・ディレクトリドメインのみが含まれます。 •「カスタムパス」はローカル・ディレクトリドメインで開始します。また、 LDAP ディレクトリ、

Active Directory ドメイン、 NetInfo ドメイン、 BSD 設定ファイル、および NIS ドメインのうちの選択したものが含まれます。

作業の説明と手順については、以下のセクションを参照してください： •「自動検索方式を定義する」（次のセクション） •

115 ページの「カスタム検索方式を定義する」

•

116 ページの「ローカルディレクトリ検索方式を定義する」 •

117 ページの「検索方式の変更が有効になるまでの時間」

自動検索方式を定義する「ディレクトリアクセス」を使って、 Mac OS X コンピュータの認証およびコンタクト検索方式が自動的に定義されるように設定できます。自動的に定義された検索方式には、ローカル・ディレクト

リドメインが含まれます。また、コンピュータのバインド先の DHCP サービスおよび共有 NetInfoドメインで指定された LDAP ディレクトリサーバを含めることもできます。自動検索方式は、認証検索方式とコンタクト検索方式の両方のデフォルト設定です。

参考： Mac OS Xの「 Mail」や「アドレスブック」といったいくつかのアプリケーションは、オープンディレクトリを使わなくても、 LDAPディレクトリに直接アクセスできます。これらのアプリケーションの 1 つで LDAP ディレクトリに直接アクセスするように設定するには、アプリケーションを開き、適切な環境設定を行います。


重要：自動の認証検索方式を使用し、 DHCPから提供される LDAPサーバまたは DHCPから提供される NetInfo ドメインを使用するように Mac OS X を設定すると、悪意のあるユーザにコンピュータの制御を奪われる危険性が増します。コンピュータがワイヤレスネットワークに接続するように

設定されている場合、この危険性はさらに高くなります。詳しくは、 117 ページの「コンピュータを不当な DHCPサーバから保護する」を参照してください。

検索方式を自動的に定義するには： 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。

•「認証」は、認証およびその他の管理データに使用する検索方式を示します。 •「コンタクト」は、「アドレスブック」などのアプリケーションのコンタクト情報に使用する検索方式を示します。


します。

3 「検索」ポップアップメニューから「自動」を選び、「適用」をクリックします。

4 「システム環境設定」で、コンピュータの「ネットワーク」環境設定が、 DHCPまたは IPアドレスを手入力した DHCPを使うように設定されていることを確認します。

5 自動検索方式に LDAPサーバを含めるには、「ディレクトリアクセス」で DHCPから提供される LDAPディレクトリの使用が有効になっていて、 DHCP サービスが LDAP サーバのアドレスを指定するように設定されていることを確認します。

手順については、 118 ページの「 DHCPによって提供される LDAPディレクトリを有効にする／無効にする」を参照してください。

Mac OS X Server の DHCP サービスを設定する手順については、ネットワークサービス管理ガイドを参照してください。

6 自動検索方式に共有 NetInfoドメインを含めるには、コンピュータが NetInfoドメインにバインドするよう設定されていることを確認します。

手順については、 154 ページの「 NetInfoバインディングを設定する」を参照してください。

カスタム検索方式を定義する「ディレクトリアクセス」を使って、 Mac OS Xコンピュータの認証およびコンタクト検索方式がディレクトリドメインのカスタムリストを使うように設定できます。カスタムリストはコンピュータの

ローカル・ディレクトリドメインで開始します。また、オープンディレクトリとその他の LDAPディレクトリドメイン、 Active Directory ドメイン、共有 NetInfo ドメイン、 BSD 設定ファイル、および NISドメインを含めることもできます。

コンピュータのカスタム検索方式に指定されているディレクトリドメインを使用できない場合は、

コンピュータが起動したときに遅延が発生します。

検索方式にディレクトリドメインのカスタムリストを指定するには： 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。

「認証」は、認証およびその他の管理データに使用する検索方式を示します。


116

「コンタクト」は、「アドレスブック」などのアプリケーションのコンタクト情報に使用する検索方

式を示します。


します。

3 「検索」ポップアップメニューから「カスタムパス」を選びます。

4 必要に応じてディレクトリドメインを追加します。

「追加」をクリックして 1つまたは複数のディレクトリを選択し、再び「追加」をクリックしてディレクトリドメインを追加します。

5 必要に応じてリスト表示されたディレクトリドメインの順序を変更し、さらに検索方式に含めたく

ないディレクトリドメインを削除します。

ディレクトリドメインを移動するには、リスト内でドメインを上または下にドラッグします。

リスト内のディレクトリドメインを削除するには、ドメインを選択して、「取り除く」をクリックし

ます。

6 「適用」をクリックします。

使用可能なディレクトリにリストされていないディレクトリを追加したい場合は、コンピュータが

ディレクトリにアクセスするよう設定されていることを確認します。手順については、以下を参照

してください： •

117 ページの「 LDAPディレクトリにアクセスする」

•

139 ページの「 Active Directoryドメインにアクセスする」 •

151 ページの「 NISドメインにアクセスする」

•

151 ページの「 BSD設定ファイルを使用する」 •

153 ページの「レガシー NetInfoドメインにアクセスする」

ローカルディレクトリ検索方式を定義する「ディレクトリアクセス」を使って、 Mac OS X コンピュータの認証およびコンタクト検索方式を、コンピュータのディレクトリドメインのみを使うように設定できます。ローカルディレクトリしか

使用しない検索方式では、認証情報やその他の管理データへのコンピュータによるアクセスが制限

されます。コンピュータの認証検索方式をローカルディレクトリのみを使用するように制限した場

合、ログインできるのはローカルアカウントを持つユーザのみです。

検索方式でローカル・ディレクトリドメインのみを使用するには： 1 「ディレクトリアクセス」で、「認証」をクリックするか「コンタクト」をクリックします。

•「認証」は、認証およびその他の管理データに使用する検索方式を示します。 •「コンタクト」は、「アドレスブック」などのアプリケーションのコンタクト情報に使用する検索方式を示します。


します。

3 「検索」ポップアップメニューから「ローカルディレクトリ」を選択し、「適用」をクリックします。


検索方式の変更が有効になるまでの時間ディレクトリアクセスの「認証」パネルまたは「コンタクト」パネルで検索方式を変更した場合、変

更が有効になるまでに 10 ～ 15 秒かかります。その検索方式で、あるアカウントを使用してディレクトリドメインからログインしようとしても、変更が有効になるまではログインできません。

コンピュータを不当な DHCPサーバから保護するアップルでは、セキュリティが重要な問題である環境では、自動認証検索方式を DHCP から提供される LDAPサーバや DHCPから提供される NetInfoドメインと併用しないことをお勧めしています。ネットワークにアクセスできる悪意のあるハッカーは、偽の DHCP サーバと偽の LDAPディレクトリまたは NetInfoドメインを使用して、お使いのコンピュータをルートユーザとして制御できます。

まず、ハッカーの偽の DHCP サーバはローカルネットワークの一部、つまり「サブネット」である必要があります。このため、コンピュータがローカルネットワーク上の唯一のコンピュータであり、 Mac OS X Serverまたは NATルーターの NATサービスを利用してインターネットアクセスを使用する場合は、この種のセキュリティ侵害は不可能です。ただし、ハッカーは有線ローカルネットワー

クより簡単にワイヤレス・ローカル・ネットワークに接続できるため、ワイヤレス・ローカル・ネッ

トワークではセキュリティ上の危険が大きくなります。

DHCPから提供される LDAPディレクトリの使用を無効にし、 NetInfoのブロードキャストと DHCPバインディングを無効にして（または NetInfo全体を無効にして）、偽の DHCPサーバからの悪意のある攻撃からお使いの Macを保護することができます。手順については、 118 ページの「 DHCP によって提供される LDAPディレクトリを有効にする／無効にする」および 154 ページの「 NetInfoバインディングを設定する」を参照してください。

コンピュータがネットワークに接続されているときに、 LDAPまたは NetInfoサーバに接続しているモバイルコンピュータがあり、コンピュータの検索方式を（「ディレクトリアクセス」の「認証」パ

ネルで）自動からカスタムに変更する場合、コンピュータがネットワークに接続されていないとき

は起動が遅くなります。このような遅延は、コンピュータがコンピュータのカスタム検索方式にリ

ストされている特定のディレクトリドメインに接続できない場合に発生します。スリープ状態のと

きにネットワークから切断されたコンピュータのスリープを解除するときは、著しい遅延はありま

せん。

LDAPディレクトリにアクセスする Mac OS X Serverを搭載したサーバまたは Mac OS Xを搭載したコンピュータを、 Mac OS X Serverのオープンディレクトリのマスターの LDAP ディレクトリなどの特定の LDAP ディレクトリにアクセスするように設定できます。作業の説明と手順については、以下のセクションを参照してください： •

118 ページの「 Mailやアドレスブックで LDAPディレクトリにアクセスする」

•

118 ページの「 DHCPによって提供される LDAP ディレクトリを有効にする／無効にする」 •

119 ページの「 LDAPサーバの設定を表示する／隠す」

•

120 ページの「 LDAPディレクトリへのアクセスを設定する」 •

122 ページの「 LDAPディレクトリへのアクセスを手動で設定する」

•

124 ページの「 LDAPディレクトリにアクセスするための設定を変更する」 •

125 ページの「 LDAPディレクトリにアクセスするための設定を複製する」


118

• 126 ページの「 LDAPディレクトリにアクセスするための設定を削除する」 •

127 ページの「 LDAPディレクトリの接続設定を変更する」

•

128 ページの「 LDAP接続のセキュリティポリシーを変更する」 •

129 ページの「 LDAP検索とマッピングを設定する」

•

132 ページの「 LDAP ディレクトリへの信頼されたバインディングを設定する」 •

133 ページの「 LDAPディレクトリとの信頼されたバインディングを終了する」

•

133 ページの「 LDAP接続の開く／閉じるのタイムアウトを変更する」 •

134 ページの「 LDAP接続のクエリーのタイムアウトを変更する」

•

134 ページの「 LDAP接続の再バインド試行の待ち時間を変更する」 •

134 ページの「 LDAP接続が無操作状態のときに接続を解除するまでの時間を変更する」

•

135 ページの「読み出し専用の LDAPv2アクセスを強制する」 •

135 ページの「 LDAP サーバの紹介を無視する」

•

135 ページの「 LDAP 接続を認証する」 •

136 ページの「 LDAP接続の認証に使用されるパスワードを変更する」

•

137 ページの「 LDAPディレクトリの設定レコード属性をマッピングする」 •

137 ページの「 RFC 2307マッピングを編集してユーザを作成できるようにする」

•

138 ページの「 Mac OS Xの読み出し専用 LDAPディレクトリを準備する」 •

138 ページの「 Mac OS Xのデータを含む LDAPディレクトリを格納する」

Mailやアドレスブックで LDAPディレクトリにアクセスする Mac OS X の「 Mail」、「アドレスブック」、およびいくつかの同様のアプリケーションは、オープンディレクトリを使わなくても、 LDAP ディレクトリに直接アクセスできます。これらのアプリケーションは、特定の LDAP ディレクトリを検索するよう設定できます。手順については、「 Mail」を開いて「ヘルプ」＞「 Mail ヘルプ」と選択するか、または「アドレスブック」を開いて「ヘルプ」＞「アドレスブックヘルプ」と選択して、 LDAPに関するヘルプ情報を検索します。

DHCPによって提供される LDAPディレクトリを有効にする／無効にする「ディレクトリアクセス」を使って、 Mac OS X コンピュータの起動時に、自動的に LDAPディレクトリサーバのアドレスを取得するよう設定できます。 Mac OS X は、 DHCP サービスからの LDAPディレクトリサーバのアドレスを要求します。 DHCPサービスは、コンピュータの IPアドレス、ルーターアドレス、および DNSサーバアドレスも提供します。 Mac OS X は、 DHCPによって提供された LDAP サーバのアドレスをコンピュータの自動検索方式に追加します。 DHCP から割り当てられた LDAPサーバも、 LDAP設定のリストに淡色表示されます。詳しくは、 114 ページの「自動検索方式を定義する」および 124 ページの「 LDAPディレクトリにアクセスするための設定を変更する」を参照してください。

DHCPが提供する LDAPディレクトリと信頼された LDAPバインディングの両方を使用するように、コンピュータを設定することはできません。信頼された LDAP バインディングは、本来静的バインディングですが、 DHCPから提供される LDAPは動的バインディングです。詳しくは、 132 ページの「 LDAPディレクトリへの信頼されたバインディングを設定する」および 86 ページの「オープンディレクトリのマスターと複製のバインド方式を設定する」を参照してください。




LDAPサーバへの自動アクセスを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 LDAPv3」を選び、「設定」をクリックします。

4 「場所」ポップアップメニューからネットワークの場所を選びます。

DHCPから提供される LDAPのオプションは、「システム環境設定」の「ネットワーク」パネルで定義されたネットワーク設定のそれぞれに対して、個別に有効または無効にすることができます。

5 「 DHCPから割り当てられた LDAPサーバを自動検索ポリシーに追加する」をクリックします。

この設定を無効にした場合、コンピュータは DHCP によって提供される LDAPディレクトリサーバを使用しません。ただし、コンピュータは自動的に共有 NetInfo ドメインにアクセスできます。詳しくは、 153 ページの「レガシー NetInfoドメインにアクセスする」を参照してください。

この設定を有効にする場合は、このコンピュータに DHCPサービスを提供するサーバが、 LDAPディレクトリサーバのアドレスを割り当てるように設定されている必要があります。手順については、

ネットワークサービス管理ガイドの DHCPの章を参照してください。

LDAPサーバの設定を表示する／隠す LDAP ディレクトリにアクセスするために使用できる設定のリストを、表示したり隠したりできます。各設定では、オープンディレクトリが特定の LDAP ディレクトリにアクセスする方法が指定されます。リストを表示すると、リストで淡色表示されていない各 LDAP 設定の一部の設定が表示され、変更することができます。淡色表示された LDAP設定は、 118 ページの「 DHCPによって提供される LDAP ディレクトリを有効にする／無効にする」で説明されているように、 DHCP によって割り当てられます。

使用可能な LDAPディレクトリ設定を表示または隠すには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 「オプションを表示」または「オプションを隠す」のどちらか表示されているコントロールをクリックします。


120

LDAPディレクトリへのアクセスを設定する「ディレクトリアクセス」は、 Mac OS Xで LDAPv3ディレクトリにアクセスする方法を指定する設定を作成する際に役立ちます。 LDAPディレクトリサーバの DNS名と IPアドレスが分かっている必要があります。また、ディレクトリが Mac OS X Server のような独自のマッピングを提供するサーバによって運用されていない場合、 Mac OS Xデータをディレクトリのデータにマップするための検索ベースとテンプレートが分かっている必要があります。サポートされているマッピングテンプ

レートは、次の通りです： • オープンディレクトリ・サーバ — Mac OS X Serverスキーマを使用するディレクトリ用 •

Active Directory — Windows 2000または 2003サーバが運用するディレクトリ用

•

RFC 2307 — UNIXサーバが運用する大半のディレクトリ用

LDAPv3 プラグインは、オープンディレクトリの複製とフェイルオーバーを完全にサポートしています。オープンディレクトリのマスターが使用できなくなった場合、プラグインによってすぐ近く

にある複製に自動的に切り替えられます。

ディレクトリデータのカスタムマッピングを指定する必要がある場合は、ここで示す手順ではなく、

「 LDAPディレクトリへのアクセスを手動で設定する」（次のセクション）の手順に従ってください。

「ディレクトリアクセス」を利用して LDAPディレクトリへのアクセスを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


LDAPv3に対して「使用可能」チェックボックスを選択しなくても、サービスのリストで「 LDAPv3」を選択できます。

4 「新規」をクリックし、 LDAPサーバの DNS名または IPアドレスを入力します。

5 ディレクトリへのアクセスのためのオプションを選択してから、「続ける」をクリックして「ディレ

クトリアクセス」で LDAPサーバから情報を取得します。

• オープンディレクトリで LDAPディレクトリとの接続に SSL（ Secure Sockets Layer）を使うようにするには、「 SSLを使って暗号化」を選択します。

• ユーザがログインやサービスの認証に使用するユーザアカウントがこのディレクトリに含まれている場合は、「認証に使用」を選択します。

•「アドレスブック」で使用するメールアドレスなどの情報がこのディレクトリに含まれている場合は、「アドレスデータに使用」を選択します。

「ディレクトリアクセス」が LDAPサーバに接続できない場合は、メッセージが表示され、手動でアクセスを設定するか、設定プロセスをキャンセルする必要があります。手動の設定手順については、

「 LDAPディレクトリへのアクセスを手動で設定する」（次のセクション）を参照してください。


6 ダイアログが展開されてマッピングのオプションが表示されたら、ポップアップメニューからマッピ

ングテンプレートを選び、検索ベースのサフィックスを入力してから、「続ける」をクリックします。

通常、検索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、 ods.example.comという DNS名を持つサーバの検索ベースのサフィックスは、「 dc=ods, dc=example, dc=com」にすることができます。

使用可能なマッピングテンプレートのうち、設定している接続に適用されるものがない場合は、「手

動」をクリックし、追加の手順について「 LDAP ディレクトリへのアクセスを手動で設定する」（次のセクション）を確認してください。

7 ダイアログが展開されて信頼されたバインディングに対するオプションが表示されたら、コン

ピュータの名前とディレクトリ管理者の名前およびパスワードを入力します（バインディングはオ

プションの場合もあります）。

•

LDAPディレクトリが信頼されたバインディングを必要とするかオプションにするかは、ダイアログに表示されます。信頼されたバインディングは相互に行われます。コンピュータが LDAP ディレクトリに接続するたびに、それらは互いに認証を行います。

• 信頼されたバインディングがすでに設定されているか、 LDAP ディレクトリが信頼されたバインディングをサポートしていない場合、「バインド」ボタンは表示されません。

• コンピュータレコードが存在するという警告が表示された場合は、「上書き」をクリックして、既存のコンピュータレコードを置き換えます。

既存のコンピュータのレコードを置き換える前に、正しいコンピュータ名が入力されていることを

確認してください。前に戻ってコンピュータ名を変更するには、「キャンセル」をクリックします。

既存のコンピュータのレコードは、放棄されていることもあれば、別のコンピュータに属してい

ることもあります。既存のコンピュータのレコードを置き換えると決定した場合は、レコードを

置き換えることで別のコンピュータが使用不可になる場合に備えて、 LDAP ディレクトリ管理者に通知する必要があります。このような場合、 LDAP ディレクトリ管理者は、使用不可になったコンピュータの別の名前を使用し、そのコンピュータが属していたコンピュータリストに追加し

て戻す必要があります。コンピュータリストにコンピュータを追加する手順については、ユーザ

管理ガイドのコンピュータリストの章を参照してください。

8 ダイアログが展開されて接続オプションが表示されたら、「選択時に認証を使用」を選択し、ディレ

クトリ内のユーザアカウントの識別名とパスワードを入力します。

LDAPサーバが認証済み接続をサポートしていても、信頼されたバインディングをサポートしていない場合は、認証済み接続のためのオプションが表示されます。認証接続は相互には行われません。 LDAPサーバはクライアントを認証しますが、クライアントはサーバを認証しません。

LDAP サーバが認証済み接続用のユーザアカウントの識別名とパスワードの入力を必要とする場合、「選択時に認証を使用」はあらかじめ選択されていますが、淡色で表示されます。

識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定

できます。たとえば、アドレスが ods.example.comの LDAPサーバにある、ユーザ名が「 dirauth」のユーザアカウントは、 uid=dirauth,cn=users,dc=ods,dc=example,dc=comという識別名を持つことになります。


122

重要：識別名またはパスワードが間違っていると、すべてのユーザが LDAP ディレクトリ内のユーザアカウントを使用してコンピュータにログインすることができなくなります。

9 「 OK」をクリックして新しい LDAP接続の作成を完了してから、「 OK」をクリックして LDAPv3オプションの設定を完了します。

手順 5で「認証に使用」オプションまたは「アドレスデータに使用」オプションを選択した場合は、作成した LDAPディレクトリ設定が、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのカスタム検索方式に自動的に追加されます。

作成した LDAP 設定がコンピュータで使用されるように、「サービス」パネルで LDAPv3 が有効になっていることを確認する必要があります。手順については、 111 ページの「 LDAPディレクトリサービスを有効にする／無効にする」を参照してください。

LDAPディレクトリへのアクセスを手動で設定する Mac OS X で特定の LDAPv3または LDAPv2 ディレクトリにアクセス方法を指定する設定は、手動で作成することができます。 LDAPディレクトリサーバの DNS名と IPアドレスが分かっている必要があります。また、ディレクトリが Mac OS X Server によって運用されていない場合は、検索ベースと、 Mac OS Xデータをディレクトリのデータにマップするためのテンプレートが分かっている必要があります。サポートされているマッピングテンプレートは、次の通りです： • サーバから — Mac OS X Serverなどの、独自のマッピングと検索ベースを提供するディレクトリ用

• オープンディレクトリ・サーバ — Mac OS X Serverスキーマを使用するディレクトリ用 •

Active Directory — Windows 2000または 2003サーバが運用するディレクトリ用

•

RFC 2307 — UNIXサーバが運用する大半のディレクトリ用 • カスタム — 上記のどのマッピングも使用しないディレクトリ用

LDAPv3 プラグインは、オープンディレクトリの複製とフェイルオーバーを完全にサポートしています。オープンディレクトリのマスターが使用できなくなった場合、プラグインによってすぐ近く

にある複製に自動的に切り替えられます。

LDAPディレクトリへのアクセスを手動で設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


LDAPv3に対して「使用可能」チェックボックスを選択しなくても、サービスのリストで「 LDAPv3」を選択できます。

4 「新規」をクリックしてから、「手動」をクリックします。

5 設定の名前を入力します。

6

Tabキーを押し、アクセスしたい LDAPディレクトリをホストするサーバの DNS名または IPアドレスを入力します。


7 DNS名または IPアドレスの横にあるポップアップメニューをクリックし、マッピングテンプレートまたは方法を選びます：

•「サーバ」を選ぶ場合は、検索ベースのサフィックスを入力する必要はありません。この場合、オープンディレクトリによって、 LDAP ディレクトリの最初のレベルが検索ベースのサフィックスであると見なされます。

• テンプレートを選ぶ場合は、 LDAP ディレクトリ用の検索ベースのサフィックスを入力し、「 OK」をクリックします。検索ベースのサフィックスは入力する必要があります。そうしないと、コン

ピュータが LDAP ディレクトリ内の情報を見つけることができなくなります。通常、検索ベースのサフィックスはサーバの DNS名に由来します。たとえば、 ods.example.comという DNS名を持つサーバの検索ベースのサフィックスは、「 dc=ods, dc=example, dc=com」にすることができます。

•「カスタム」を選ぶ場合は、この時点で、 Mac OS Xレコードタイプおよび属性と、接続中の LDAPディレクトリのクラスおよび属性との間のマッピングを設定する必要があります。手順について

は、 129 ページの「 LDAP検索とマッピングを設定する」を参照してください。

8 オープンディレクトリが LDAPディレクトリに接続するときに SSL（ Secure Sockets Layer）を使用するようにしたい場合は、「 SSL」チェックボックスにチェックマークを付けます。

9 この LDAP設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーの設定を変更する場合は、「編集」をクリックして選択した LDAP設定のオプションを表示し、 LDAP設定オプションの編集が終わったら「 OK」をクリックします。

•「バインド」をクリックして、信頼されたバインディングを設定します（ LDAPディレクトリが信頼されたバインディングをサポートしている場合）。詳細な手順については、 132 ページの「 LDAPディレクトリへの信頼されたバインディングを設定する」を参照してください。

•「接続」をクリックして、タイムアウトオプションを設定するか、カスタムポートを指定するか、サーバの紹介を無視するか、または強制的に LDAPv2（読み出し専用）プロトコルを使用するようにします。詳細な手順については、 127 ページの「 LDAP ディレクトリの接続設定を変更する」を参照してください。

•「セキュリティ」をクリックして認証済み接続（信頼されたバインディングではなく）とその他のセキュリティポリシーのオプションを設定します。詳細な手順については、 128 ページの「 LDAP接続のセキュリティポリシーを変更する」を参照してください。

10 「 OK」をクリックして、 LDAPディレクトリにアクセスするための設定の手動作成を終了します。

11 コンピュータで今設定を作成した LDAPディレクトリにアクセスする場合は、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのカスタム検索方式にディレクトリを追加する必要が

あります。また、「サービス」パネルで LDAPv3が有効になっていることも確認する必要があります。

手順については、 111 ページの「 LDAP ディレクトリサービスを有効にする／無効にする」および 115 ページの「カスタム検索方式を定義する」を参照してください。

参考：「ワークグループマネージャ」を使って RFC 2307（ UNIX）マッピングを使用するアップル以外の LDAPサーバにユーザを作成するには、「ユーザ」レコードタイプのマッピングを編集する必要があります。手順については、 137 ページの「 RFC 2307マッピングを編集してユーザを作成できるようにする」を参照してください。


124

LDAPディレクトリにアクセスするための設定を変更する「ディレクトリアクセス」を使用して、 LDAP ディレクトリの設定を変更できます。設定は、オープンディレクトリが特定の LDAPv3 または LDAPv2 ディレクトリにアクセスする方法を指定します。 DHCPから提供された LDAP設定を変更することはできません。この種の設定は LDAP 設定リストでは淡色で表示されます。

LDAPディレクトリにアクセスするための設定を編集するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。

5 サーバ設定のリストに表示されている設定を変更します。

•「使用可能」：チェックボックスをクリックして、 LDAP ディレクトリサーバへのアクセスを有効または無効にします。

•「設定名」：設定名をダブルクリックして編集します。 •「サーバ名または IP アドレス」：サーバ名または IPアドレスをダブルクリックして変更します。 •「LDAP マッピング」：ポップアップメニューからテンプレートを選び、 LDAPディレクトリの検索ベースのサフィックスを入力して、「 OK」をクリックします。テンプレートを選んだ場合は、検索ベースのサフィックスを入力する必要があります。そうしな

いと、コンピュータが LDAP ディレクトリの情報を見つけることができなくなります。通常、検索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、 ods.example.com という DNS 名を持つサーバの検索ベースのサフィックスは、「 dc=ods, dc=example, dc=com」にすることができます。

テンプレートの代わりに「サーバから」を選択した場合は、検索ベースのサフィックスを入力す

る必要はありません。この場合、オープンディレクトリによって、 LDAP ディレクトリの最初のレベルが検索ベースのサフィックスであると見なされます。

「カスタム」を選ぶ場合は、この時点で、 Mac OS Xレコードタイプおよび属性と、接続中の LDAPディレクトリのクラスおよび属性との間のマッピングを設定する必要があります。手順について


•「SSL」：このチェックボックスをクリックして、 SSL（ Secure Sockets Layer）プロトコルを使用する暗号化された通信を有効または無効にします。

6 この LDAP 設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーのデフォルトの設定を変更する場合は、「編集」をクリックして選択した LDAP設定のオプションを表示し、 LDAP設定オプションの編集が終わったら「 OK」をクリックします。

•「バインド」ボタンをクリックして信頼されたバインディングを設定するか、「バインド解除」ボタンをクリックして信頼されたバインディングを停止します。（ LDAPディレクトリが信頼されたバインディングを許可していない場合、これらのボタンは表示されないことがあります。）詳細な

手順については、 132 ページの「 LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してください。


•「接続」をクリックして、タイムアウトオプションを設定するか、カスタムポートを指定するか、サーバの紹介を無視するか、または強制的に LDAPv2（読み出し専用）プロトコルを使用するようにします。詳細な手順については、 127 ページの「 LDAP ディレクトリの接続設定を変更する」を参照してください。


7 「 OK」をクリックして、 LDAPディレクトリにアクセスするための設定の変更を終了します。

LDAPディレクトリにアクセスするための設定を複製する「ディレクトリアクセス」を使って、 Mac OS Xが特定の LDAPv3または LDAPv2ディレクトリにアクセスする方法を指定する設定を複製できます。 LDAPディレクトリ設定を複製したら、その設定を変更して元の設定とは異なるものにすることができます。

LDAPディレクトリにアクセスするための設定を複製するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 リストでサーバ設定を選び、「複製」をクリックします。

6 必要に応じて複製の設定を変更します。

•「使用可能」：チェックボックスをクリックして、 LDAP ディレクトリサーバへのアクセスを有効または無効にします。

•「設定名」：設定名をダブルクリックして編集します。 •「サーバ名または IP アドレス」：サーバ名または IPアドレスをダブルクリックして変更します。 •「LDAP マッピング」：ポップアップメニューからテンプレートを選び、 LDAPディレクトリの検索ベースのサフィックスを入力して、「 OK」をクリックします。テンプレートを選んだ場合は、検索ベースのサフィックスを入力する必要があります。そうしな

いと、コンピュータが LDAP ディレクトリの情報を見つけることができなくなります。通常、検索ベースのサフィックスはサーバの DNS 名に由来します。たとえば、 ods.example.com という DNS 名を持つサーバの検索ベースのサフィックスは、「 dc=ods, dc=example, dc=com」にすることができます。

テンプレートの代わりに「サーバから」を選択した場合は、検索ベースのサフィックスを入力す

る必要はありません。この場合、オープンディレクトリによって、 LDAP ディレクトリの最初のレベルが検索ベースのサフィックスであると見なされます。

「カスタム」を選ぶ場合は、この時点で、 Mac OS Xレコードタイプおよび属性と、接続中の LDAPディレクトリのクラスおよび属性との間のマッピングを設定する必要があります。手順について


•「SSL」：チェックボックスをクリックして、 SSL（ Secure Sockets Layer）接続を有効または無効にします。


126

7 複製の LDAP設定の信頼されたバインディング、接続オプション、またはセキュリティポリシーのデフォルトの設定を変更する場合は、「編集」をクリックしてオプションを表示し、それらの編集が終

わったら「 OK」をクリックします。

•「バインド」ボタンをクリックして信頼されたバインディングを設定するか、「バインド解除」ボタンをクリックして信頼されたバインディングを停止します。（ LDAPディレクトリが信頼されたバインディングを許可していない場合、これらのボタンは表示されないことがあります。）詳細な

手順については、 132 ページの「 LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してください。

•「接続」をクリックして、信頼されたバインディングを設定するか（ LDAPディレクトリが信頼されたバインディングをサポートしている場合）、タイムアウトオプションを設定するか、カスタム

ポートを指定するか、サーバの紹介を無視するか、または強制的に LDAPv2（読み出し専用）プロトコルを使用するようにします。詳細な手順については、 127 ページの「 LDAPディレクトリの接続設定を変更する」を参照してください。


8 「 OK」をクリックして、複製の設定の変更を終了します。

9 コンピュータで今作成した複製の設定で指定している LDAP ディレクトリにアクセスする場合は、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのカスタム検索方式にディレクト

リを追加する必要があります。また、「サービス」パネルで LDAPv3が有効になっていることも確認する必要があります。

手順については、 111 ページの「 LDAP ディレクトリサービスを有効にする／無効にする」および 115 ページの「カスタム検索方式を定義する」を参照してください。

LDAPディレクトリにアクセスするための設定を削除する「ディレクトリアクセス」を使用すると、コンピュータで特定の LDAPv3または LDAPv2ディレクトリにアクセスする方法を指定する設定を削除できます。 DHCP から提供された LDAP 設定を削除することはできません。この種の設定は、 LDAP設定リストでは淡色で表示されます。

LDAPディレクトリにアクセスするための設定を削除するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 リストでサーバ設定を選び、「削除」をクリックします。

6 コンピュータが LDAPディレクトリにバインドされているという警告が表示され、信頼されたバインディングを終了する場合は、「 OK」をクリックして、求められた資格情報を入力します。

•

LDAPディレクトリ管理者（ローカルのコンピュータ管理者ではない）の名前とパスワードを入力します。


• コンピュータが LDAPサーバにアクセスできないという警告が表示された場合は、「 OK」をクリックして、信頼されたバインディングを強制的に終了します。

強制的に信頼されたバインディングを終了しても、このコンピュータの LDAP ディレクトリ内にはコンピュータのレコードが依然として残ります。このため、 LDAP ディレクトリ管理者に連絡し、コンピュータのリストからこのコンピュータを削除してもらう必要があります。コンピュー

タリストからコンピュータを削除する手順については、ユーザ管理ガイドのコンピュータリスト

の章を参照してください。

削除された設定は、認証とコンタクトのためのカスタム検索方式から自動的に削除されます。

LDAPディレクトリの接続設定を変更する「ディレクトリアクセス」を使って、コンピュータが特定の LDAPv3または LDAPv2ディレクトリにアクセスする方法を指定する設定の接続設定を変更できます。

LDAPディレクトリにアクセスするための接続設定を変更するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 リストでサーバ設定を選び、「編集」をクリックします。

6 「接続」をクリックして任意の設定を変更します。

•「設定名」には、 LDAPディレクトリ設定のリストに表示される名前を指定します。（ LDAPディレクトリ設定のリストで名前を直接変更することもできます。）

•「サーバ名または IP アドレス」には、サーバの DNS名を指定するか、サーバの IPアドレスを指定します。（ LDAPディレクトリ設定のリストで直接変更することもできます。）

•「開く／閉じる操作のタイムアウトまでの秒数」では、 LDAPサーバへの接続の試みをキャンセルするまでに待つ秒数を指定します。

•「クエリー・タイム・アウトまでの秒数」では、 LDAPディレクトリへ送信されたクエリーをキャンセルするまでに待つ秒数を指定します。

•「再バインドを試行するまでの時間」では、 LDAPサーバが応答しない場合、再接続を試みるまでに待つ秒数を指定します。この値を大きくすると、再接続を連続して試みないようにできます。

•「接続が切断されるまでのアイドル時間」では、アイドル状態または応答のない状態で接続が開いたままになっていることを許可する秒数を指定します。

•「SSL を使って暗号化」では、 SSL（ Secure Sockets Layer）接続を使用して、 LDAPディレクトリとの通信を暗号化するかどうかを決定します。（ LDAPディレクトリ設定のリストでこの設定を直接変更することもできます。）

•「カスタムポートを使用する」には、 LDAP接続の標準ポート以外のポート番号（ SSLを使用しない場合は 389、 SSLを使用する場合は 636）を指定します。


128

•「サーバの紹介を無視する」では、ほかの LDAPサーバまたは情報の複製を参照するため LDAPサーバの紹介を無視するか従うかどうかを決定します。サーバの紹介はコンピュータが情報を見つけ

るのに役立ちますが、コンピュータが多くの LDAP サーバの紹介を追跡すると、ログインが遅くなったり、ほかの処理が遅くなったりする可能性があります。

•「LDAPv2 を使用する（読み出し専用）」では、 LDAPディレクトリへの読み出し専用のアクセスに古い LDAPv2プロトコルを使用するかどうかを決定します。

LDAP接続のセキュリティポリシーを変更する「ディレクトリアクセス」を使用すると、 LDAP ディレクトリのセキュリティポリシーよりも厳しいセキュリティポリシーを、 LDAPv3接続に設定することができます。たとえば、 LDAPディレクトリのセキュリティポリシーでクリアテキストのパスワードを許可している場合でも、クリアテキスト

のパスワードを許可しないように LDAPv3接続を設定できます。

より厳しいセキュリティポリシーを設定すると、不正な LDAPサーバを使用してユーザのコンピュータを制御しようとする悪意あるハッカーからコンピュータを保護できます。

コンピュータは、 LDAPサーバと通信して、セキュリティオプションの状態を正確に示す必要があります。このため、 LDAPv3 接続のセキュリティオプションを変更する場合は、コンピュータの認証検索方式に LDAPv3接続が含まれている必要があります。

LDAPv3接続のセキュリティオプションの許可される設定は、 LDAPサーバのセキュリティ機能と要件に依存します。たとえば、 LDAPサーバが Kerberos認証をサポートしていない場合、 LDAPv3接続のいくつかのセキュリティオプションは無効になります。

LDAPv3接続のセキュリティオプションを変更するには： 1 「ディレクトリアクセス」で、「認証」をクリックして、目的の LDAPv3ディレクトリが検索方式に表示されることを確認します。

LDAPv3ディレクトリを認証検索方式に追加する手順については、 115 ページの「カスタム検索方式を定義する」を参照してください。


します。

3 「サービス」をクリックして、サービスのリストで「 LDAPv3」を選択し、「設定」をクリックします。


5 目的のディレクトリの設定を選択して、「編集」をクリックします。


6 「セキュリティ」をクリックして、任意の設定を変更します。

最後の 4つのオプションのいずれかを選択しているが無効になっている場合、 LDAPディレクトリはそれを必要とします。これらのオプションのいずれかを選択せず無効にすると、 LDAPサーバはそれをサポートしません。 Mac OS X Server LDAPディレクトリのこれらのオプションを設定する手順については、 87 ページの「オープンディレクトリのマスターと複製のセキュリティポリシーを設定する」を参照してください。

•「接続時に認証を使用する」では、指定された「識別名」と「パスワード」を提供することにより、 LDAPv3 接続が自身を LDAP ディレクトリで認証するかどうかを決定します。 LDAPv3 接続が LDAP ディレクトリとの信頼されたバインディングを使用する場合、このオプションは表示されません。

•「次のようにディレクトリとバインドされています」では、 LDAPv3接続が LDAPディレクトリとの信頼されたバインディングに使用する資格情報を指定します。このオプションと資格情報は、こ

こでは変更できません。代わりに、バインドを解除し、異なる資格情報を使用して再度バインド

することができます。手順については、 133 ページの「 LDAPディレクトリとの信頼されたバインディングを終了する」および 132 ページの「 LDAP ディレクトリへの信頼されたバインディングを設定する」を参照してください。 LDAPv3 接続で信頼されたバインディングが使用されていない場合、このオプションは表示されません。

•「クリア・テキスト・パスワードを使用不可にする」では、暗号化されたパスワードを送信する認証方法を使用してパスワードを検証できない場合、パスワードをクリアテキストで送信するかど

うかを決定します。詳しくは、 101 ページの「シャドウパスワードのユーザの認証方法を選択する」および 102 ページの「オープンディレクトリのパスワードの認証方法を選択する」を参照してください。

•「すべてのパケットをデジタル署名（Kerberosが必要）」では、 LDAPサーバのディレクトリデータが自分のコンピュータに転送されている間にほかのコンピュータによって妨害されたり、変更

されたりしないようにします。 •「すべてのパケットを暗号化（SSL または Kerberos が必要）」では、ディレクトリデータをコンピュータに送信する前に LDAP サーバが SSLまたは Kerberos を使用してディレクトリデータを暗号化します。

•「Man-in-the-Middle 攻撃をブロック（Kerberosが必要）」では、 LDAPサーバを装う不正なサーバから保護します。「すべてのパケットをデジタル署名」オプションと共に使用することを推奨し

ます。

LDAP検索とマッピングを設定する「ディレクトリアクセス」を使って、 Mac OS X で LDAP ディレクトリの特定のデータ項目を検索する方法を特定する、マッピング、検索ベース、および検索範囲を編集できます。これらの設定は、

「ディレクトリアクセス」にリストされた各 LDAPディレクトリ設定ごとに編集できます。各 LDAPディレクトリ設定は、 Mac OS X が LDAPv3または LDAPv2 ディレクトリ内のデータにアクセスする方法を指定します。 • 各 Mac OS Xのレコードタイプのマッピングを編集して、 1つ以上の LDAPオブジェクトクラスにすることができます。

• また、レコードタイプごとに、 Mac OS X のデータ・タイプまたは属性のマッピングを編集して、 LDAP属性にすることもできます。


130

• Mac OS Xが LDAPディレクトリ内の Mac OS Xの特定のレコードタイプを検索する場所を決定する、 LDAP検索ベースおよび検索範囲を編集できます。

重要： Mac OS Xユーザ属性を読み出し／書き込み LDAPディレクトリドメイン（読み出し専用ではない LDAPドメイン）にマップするとき、 RealNameにマップされた LDAP属性は、 RecordNameにマップされた LDAP属性のリストの最初の属性とは別のものにする必要があります。たとえば、 cn属性が RealNameにもマップされている場合は、この属性が RecordNameにマップされる最初の属性であってはなりません。 RealNameにマップされた LDAP属性が RecordNameにマップされた最初の属性と同じものの場合、「ワークグループマネージャ」でフルネーム（ロングネーム）や最初の

ショートネームを編集しようとすると問題が発生します。

Mac OS Xレコードタイプおよび属性について詳しくは、付録の「 Mac OS Xのディレクトリデータ」を参照してください。

LDAPサーバの検索ベースとマッピングを編集するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「検索とマッピング」をクリックします。

7 特定のマッピングを基にして編集する場合は、マッピングを選びます。

「この LDAPv3サーバにアクセスするときに使用」ポップアップメニューをクリックし、開始点として使うマッピングテンプレートを選びそのマッピングを使うか、「カスタム」を選び事前に定義され

たマッピングなしで作業を開始します。

8 レコードタイプを追加し、必要に応じて検索ベースを変更します。

• レコードタイプを追加するには、「レコードのタイプと属性」リストの下にある「追加」ボタンをクリックします。表示されるパネルで、「レコードのタイプ」を選び、リストから 1 つ以上のレコードタイプを選んで、「 OK」をクリックします。

• レコードタイプの検索ベースと検索範囲を変更するには、「レコードのタイプと属性」リストで検索ベースを選びます。次に、「検索ベース」フィールドを編集します。「すべてのサブツリー」を

選択し、検索ベースの下位の LDAPディレクトリ階層全体を含めるように検索範囲を設定します。「先頭レベルのみ」を選択し、 LDAPディレクトリの階層で検索ベースとその 1レベル下のみ含めるように検索範囲を設定します。

• レコードタイプを削除するには、「レコードのタイプと属性」リストでレコードタイプを選び、「削除」をクリックします。


• レコードタイプのマッピングを追加するには、「レコードのタイプと属性」リストでレコードタイプを選びます。次に、「マップ先 __ リスト内の項目」の下にある「追加」ボタンをクリックし、 LDAP ドメインのオブジェクトクラスの名前を入力します。別の LDAP オブジェクトクラスを追加するには、 Returnキーを押してそのオブジェクトクラスの名前を入力します。リストの上にあるポップアップメニューを使用して、リスト内のすべての LDAP オブジェクトクラスを使用するか、任意のオブジェクトクラスを使用するかを指定します。

• レコードタイプのマッピングを変更するには、「レコードのタイプと属性」リストでレコードタイプを選びます。次に、「マップ先 __リスト内の項目」で変更する LDAPオブジェクトクラスをダブルクリックし、そのオブジェクトクラスを編集します。リストの上にあるポップアップメニュー

を使用して、リスト内のすべての LDAP オブジェクトクラスを使用するか、任意のオブジェクトクラスを使用するかを指定します。

• レコードタイプのマッピングを削除するには、「レコードのタイプと属性」リストでレコードタイプを選びます。次に、「マップ先 __リスト内の項目」で削除する LDAPオブジェクトクラスをクリックし、「マップ先 __リスト内の項目」の下にある「削除」ボタンをクリックします。

9 属性を追加し、必要に応じてそのマッピングを変更します。

• レコードタイプに属性を追加するには、「レコードのタイプと属性」リストでレコードタイプを選びます。「レコードのタイプと属性」リストの下にある「追加」ボタンをクリックします。表示さ

れるパネルで、「属性のタイプ」を選び、 1つ以上の属性タイプを選んで、「 OK」をクリックします。 • 属性のマッピングを追加するには、「レコードのタイプと属性」リストで属性を選びます。次に、「マップ先 __ リスト内の項目」の下にある「追加」ボタンをクリックし、 LDAP ディレクトリの属性の名前を入力します。別の LDAP属性を追加するには、 Returnキーを押して、属性の名前を入力します。

• 属性のマッピングを変更するには、「レコードのタイプと属性」リストで属性を選びます。次に、「マップ先 __リスト内の項目」で変更する項目をダブルクリックし、項目名を編集します。

• 属性のマッピングを削除するには、「レコードのタイプと属性」リストで属性を選びます。次に、「マップ先 __リスト内の項目」で削除する項目をクリックし、「マップ先 __リスト内の項目」の下にある「削除」ボタンをクリックします。

• 右側のリストに表示される属性の順序を変更するには、属性をリスト内で上または下にドラッグします。

10 マッピングをテンプレートとして保存する場合は、「ひな形を保存」をクリックします。

デフォルトの場所に保存されたテンプレートは、現在のユーザが次に「ディレクトリアクセス」を

開くと LDAP マッピングテンプレートのポップアップメニューに表示されます。保存されたテンプレートのデフォルトの場所は、現在のユーザのホームフォルダの次のパスにあります：

~/ライブラリ /Application Support/Directory Access/LDAPv3/Templates

11

LDAPディレクトリがクライアントに自動的にマッピングを提供できるように、マッピングを LDAPディレクトリに保存するには「サーバへ書き込み」をクリックします。

マッピングを保存する検索ベース、管理者または検索ベースの書き込み権を持つその他のユーザの

識別名（たとえば、 uid=diradmin、 cn=users、 dc=ods、 dc=example、 dc=comなど）、およびパスワードを入力する必要があります。オープンディレクトリ LDAP サーバにマッピングを書き込む場合、正しい検索ベースは「 cn=config, suffix」です（この場合、 suffixは「 dc=ods ,dc=example,dc=com」のように、サーバの検索ベースのサフィックスです）。


132

LDAPディレクトリは、カスタム検索方式に LDAPサーバからマッピングを取得するように設定されている接続が含まれる Mac OS Xクライアントに対してマッピングを提供します。また、 LDAPディレクトリは、自動検索方式を使用するように設定されたすべての Mac OS X クライアントへのマッピングをサポートしています。手順については、 120 ページの「 LDAPディレクトリへのアクセスを設定する」および 114 ページの「検索方式を設定する」を参照してください。

LDAPディレクトリへの信頼されたバインディングを設定する「ディレクトリアクセス」を使用すると、信頼されたバインディングをサポートするコンピュータと LDAPディレクトリの間で信頼されたバインディングを設定できます。バインディングは、信頼されたバインディングを設定するとき、ディレクトリ内に作成されている認証済みのコンピュータレ

コードにより相互に認証されます。

信頼された LDAPバインディングと DHCPが提供する LDAPディレクトリの両方を使用するように、コンピュータを設定することはできません。信頼された LDAP バインディングは、本来静的バインディングですが、 DHCPから提供される LDAPは動的バインディングです。詳しくは、 118 ページの「 DHCP によって提供される LDAP ディレクトリを有効にする／無効にする」および 86 ページの「オープンディレクトリのマスターと複製のバインド方式を設定する」を参照してください。

LDAPディレクトリへの信頼されたバインディングを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。

2 カギのアイコンがロックされている場合は、カギをクリックし、管理者の名前とパスワードを入力します。



5 目的のサーバ設定を選択して、「編集」をクリックします。

6 「バインド」をクリックして、求められた資格情報を入力し、「 OK」をクリックします。

コンピュータの名前および LDAPディレクトリドメイン管理者の名前とパスワードを入力します。別のコンピュータで信頼されたバインディングやほかのネットワークサービスにすでに使用されてい

るコンピュータ名を入力することはできません。

「バインド」ボタンが表示されない場合、 LDAP ディレクトリは信頼されたバインディングをサポートしていません。

7 コンピュータレコードが存在するという警告が表示された場合は、「上書き」をクリックして、既存

のコンピュータレコードを置き換えます。

既存のコンピュータレコードを置き換える前に、前の手順で正しいコンピュータ名を指定している

こと確認します。前に戻ってコンピュータ名を変更するには、「キャンセル」をクリックします。

既存のコンピュータのレコードは、放棄されていることもあれば、別のコンピュータに属していることもあります。既存のコンピュータのレコードを置き換えると決定した場合は、レコードを置き

換えることで別のコンピュータが使用不可になる場合に備えて、 LDAPディレクトリ管理者に通知する必要があります。このような場合、 LDAPディレクトリ管理者は、使用不可になったコンピュータの別の名前を使用し、そのコンピュータが属していたコンピュータリストに追加して戻す必要があ

ります。コンピュータリストにコンピュータを追加する手順については、ユーザ管理ガイドのコンピュータリストの章を参照してください。


8 「 OK」をクリックして、信頼されたバインディングの設定を終了します。

LDAPディレクトリとの信頼されたバインディングを終了する「ディレクトリアクセス」を使用すると、許可されているが信頼されたバインディングを必要としな

い、コンピュータと LDAPディレクトリ間の信頼されたバインディングを終了することができます。

LDAPディレクトリへの信頼されたバインディングを終了するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 目的のサーバ設定を選択して、「編集」をクリックします。

6 「バインド解除」をクリックし、求められた資格情報を入力して、「 OK」をクリックします。

LDAPディレクトリ管理者（ローカルのコンピュータ管理者ではない）の名前とパスワードを入力します。

• このコンピュータに信頼されたバインディングが設定されていない場合、「バインド解除」ボタンは表示されません。

• コンピュータが LDAPサーバにアクセスできないという警告が表示された場合は、「 OK」をクリックして、信頼されたバインディングを強制的に終了します。

強制的に信頼されたバインディングを終了しても、このコンピュータの LDAP ディレクトリ内にはコンピュータのレコードが依然として残ります。このため、 LDAP ディレクトリ管理者に連絡し、コンピュータのリストからこのコンピュータを削除してもらう必要があります。コンピュー

タリストからコンピュータを削除する手順については、ユーザ管理ガイドのコンピュータリスト

の章を参照してください。

7 「 OK」をクリックして、信頼されたバインディングを終了します。

LDAP接続の開く／閉じるのタイムアウトを変更する「ディレクトリアクセス」を使用して、 LDAP サービスへの接続の試みをキャンセルするまでにオープンディレクトリで待つ時間を指定することができます。

LDAP接続の開く／閉じるのタイムアウトを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「接続」をクリックして、「開く／閉じる操作のタイムアウトまでの秒数」に値を入力します。

デフォルトの値は、 15秒です。


134

LDAP接続のクエリーのタイムアウトを変更する「ディレクトリアクセス」を使用して、 LDAP ディレクトリに送信したクエリーをオープンディレクトリでキャンセルするまでの待ち時間を指定できます。

LDAP接続のクエリータイムアウトを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「接続」をクリックして、「クエリー・タイム・アウトまでの秒数」に値を入力します。


LDAP接続の再バインド試行の待ち時間を変更する「ディレクトリアクセス」を使用して、 LDAP サービスが応答しない場合に再接続を試みるまでの待ち時間を指定できます。この値を大きくすると、再接続を連続して試みないようにできます。

アイドル状態の LDAP クライアントの再バインドの待ち時間を設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「接続」をクリックして、「再バインドを試行するまでの時間」に値を入力します。


LDAP接続が無操作状態のときに接続を解除するまでの時間を変更する「ディレクトリアクセス」を使用して、 LDAP 接続を使用していないときにオープンディレクトリで接続を終了するまでの時間を指定できます。この設定を調整して、 LDAPサーバで開いている接続の数を減らすことができます。

アイドル状態の LDAP 接続のタイムアウト間隔を設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。





6 「接続」をクリックして、「接続が切断されるまでのアイドル時間」に値を入力します。


読み出し専用の LDAPv2アクセスを強制する「ディレクトリアクセス」を使用して、従来の LDAPv2プロトコルによる LDAPサーバへの接続を強制できます。この強制された LDAPv2 接続は、読み出し専用であり（読み出し／書き込みではありません）、 SSLを使用しません。

LDAPサーバへの読み出し専用の LDAPv2アクセスを強制するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「接続」をクリックして、「 LDAPv2を使用する（読み出し専用）」を選択します。

LDAPサーバの紹介を無視する「ディレクトリアクセス」を使用して、ほかの LDAPサーバまたは複製で情報を検索するための LDAPサーバの紹介をコンピュータで無視するか従うかを指定できます。サーバの紹介はコンピュータが

情報を見つけるのに役立ちますが、コンピュータが多くの LDAP サーバの紹介を追跡すると、ログインが遅くなったり、ほかの処理が遅くなったりする可能性があります。

LDAPサーバの紹介を無視するかどうかを指定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「接続」をクリックして、「サーバの紹介を無視する」を選択します。

LDAP接続を認証する「ディレクトリアクセス」を使用して、 LDAP ディレクトリへの認証された接続を設定できます。この認証は一方向です。コンピュータは LDAPディレクトリに対して識別情報を提示しますが、 LDAPディレクトリはコンピュータに対して正統性を提示しません。相互認証については、 132 ページの「 LDAPディレクトリへの信頼されたバインディングを設定する」を参照してください。

参考：コンピュータと LDAP ディレクトリの間に信頼されたバインディングがすでに設定されている場合、認証された接続は冗長になるため設定できません。


136

認証された LDAPv3接続を設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「セキュリティ」をクリックし、「接続時に認証を使用する」を選択して、ユーザの識別名とパスワードを入力します。

識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定

できます。たとえば、アドレスが ods.example.comである LDAP サーバ上の「 authenticator」というユーザ名のユーザアカウントの場合、識別名は uid=authenticator,cn=users,dc=ods,dc=example,dc=comとなります。

重要：識別名またはパスワードが間違っていると、すべてのユーザが LDAP ディレクトリ内のユーザアカウントを使用してコンピュータにログインすることができなくなります。

LDAP接続の認証に使用されるパスワードを変更する「ディレクトリアクセス」を使用して、 LDAP サーバ上で変更された新しいパスワードを使用するように、認証された LDAP接続をアップデートできます。（ LDAP接続の認証に使用しているパスワードが LDAP サーバ上で変更された場合、そのサーバに対して認証された接続を行うすべてのコンピュータをアップデートする必要があります。）

LDAP接続のパスワードを変更するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。




6 「セキュリティ」をクリックして、「パスワード」設定を変更します。

•「接続時に認証を使用する」が選択されていないために「パスワード」設定が淡色表示になっている場合は、 135 ページの「 LDAP接続を認証する」を参照してください。

•「次のようにディレクトリとバインドされています」が（淡色表示であっても）選択されているために「パスワード」設定が淡色表示になっている場合は、接続はユーザのパスワードでは認証さ

れません。代わりに、接続では、信頼されたバインディング用の認証済みのコンピュータレコー

ドを使用します。


LDAPディレクトリの設定レコード属性をマッピングするアップル以外の LDAP ディレクトリ内の管理された Mac OS X ユーザの情報を保存する場合は、必ず設定レコードタイプの属性である RealName および DataStamp をマップしてください。これらの属性をマップしないと、「ワークグループマネージャ」を使って LDAPディレクトリ内のユーザレコードを変更するときに、次のエラーメッセージが表示されます：

“ dsRecTypeStandard:Config”という名前の属性はマップされていません。

Mac OS Xクライアント管理を使用していない場合、このメッセージは無視できます。これは、キャッシュ用の設定レコードタイプの RealName および DataStamp属性に依存します。

RFC 2307マッピングを編集してユーザを作成できるようにする「ワークグループマネージャ」を使って RFC 2307（ UNIX）マッピングを使用するアップル以外の LDAP ディレクトリサーバにユーザを作成するには、「ユーザ」レコードタイプのマッピングを編集する必要があります。これは「ディレクトリアクセス」アプリケーションを使って行います。

RFC 2307マッピングを使って LDAPディレクトリにユーザレコードを作成できるようにするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5

RFC 2307マッピングを含んだディレクトリ設定を選択してから「編集」をクリックします。

6 「検索とマッピング」をクリックします。

7 左側のリストで「ユーザ」を選択します。

デフォルトでは、「マップ先 __ リスト内の項目」は「任意の」に設定されており、右側のリストには「 posixAccount」、「 inetOrgPerson」、および「 shadowAccount」が表示されます。

8 「マップ先 __リスト内の項目」を「すべて」に変更し、右側のリストを、「ユーザ」レコードタイプのマップ先の LDAPオブジェクトクラスと完全に一致するセットに変更します。

たとえば、ユーザが posixAccountと inetOrgPersonにのみマップされるよう、リストから shadowAccount を削除できます。または、ユーザを posixAccount と shadowAccount のアカウントにマップすることができます。

• リスト内の項目を変更するには、変更する項目をダブルクリックします。 • リストに項目を追加するには、「追加」をクリックします。 • 選択項目をリストから削除するには、「削除」をクリックします。 • リスト内の項目の順序を変更するには、項目をリスト内で上または下にドラッグします。

ターミナルウインドウで UNIXツール「 ldapsearch」を使って、 LDAPディレクトリ内の既存のユーザレコードのオブジェクトクラスを見つけることができます。以下の例は、 cn 属性が「 Leonardoda Vinci」であるユーザレコードのオブジェクトクラスを表示します：

ldapsearch -x -h ldapserver.example.com -b "dc=example, dc=com"

'cn=Leonardo da Vinci' objectClass


138

このコマンド例で表示される内容は、以下に似たものとなります：

# Leonardo da Vinci, example.com

dn: cn=Leonardo da Vinci, dc=example, dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

Mac OS Xの読み出し専用 LDAPディレクトリを準備する Mac OS X コンピュータで読み出し専用 LDAP ディレクトリから管理データを取得する場合、そのデータは、読み出し専用 LDAP ディレクトリ内に Mac OS X に必須のフォーマットで存在する必要があります。読み出し専用 LDAP ディレクトリのデータの追加、変更、または再編成が必要な場合があります。 Mac OS Xは、読み出し専用 LDAPディレクトリにデータを書き込むことができないため、読み出し専用 LDAP ディレクトリを管理するサーバのツールを使用して、必要な変更を加える必要があります。

Mac OS Xの読み出し専用 LDAP ディレクトリを準備するには： 1 読み出し専用 LDAPディレクトリを管理するサーバに移動し、そのサーバが LDAPベースの認証およびパスワードチェックをサポートするように設定します。

2

Mac OS Xが必要とするデータを提供するように、必要に応じて LDAPディレクトリのオブジェクトクラスと属性を変更します。

Mac OS Xのディレクトリサービスに必要なデータについて詳しくは、付録の「 Mac OS Xのディレクトリデータ」を参照してください。

Mac OS Xのデータを含む LDAPディレクトリを格納する LDAPディレクトリドメインへのアクセスを設定し、そのデータのマッピングを設定すると、 Mac OS X のレコードとデータを格納できます。 LDAP ディレクトリをリモートから管理（読み出し／書き込みアクセス）できる場合は、次のようにして Mac OS X Serverに組み込まれている「ワークグループマネージャ」アプリケーションを使用できます： • ユーザのネットワークブラウザ（ Finder ウインドウのサイドバーで「ネットワーク」をクリックすると表示されます）で自動的にマウントする必要がある共有ポイントと共有ドメインを識別し

ます。「ワークグループマネージャ」の「共有」および「ネットワーク」モジュールを使用します。

手順については、ファイルサービス管理ガイドを参照してください。 • ユーザレコードとグループレコードを定義して設定します。「ワークグループマネージャ」の「アカウント」モジュールを使用します。手順については、ユーザ管理ガイドを参照してください。

• 同じ環境設定が割り当てられ、同じユーザおよびグループが利用できるコンピュータのリストを定義します。「ワークグループマネージャ」の「コンピュータ」モジュールを使用します。手順に

ついては、ユーザ管理ガイドを参照してください。

すべてのケースで、ユーザのリストの上にある小さい地球のアイコンをクリックし、「ワークグルー

プマネージャ」のポップアップメニューから選んで LDAPディレクトリドメインを開きます。 LDAPがポップアップメニューにリストされていない場合は、このメニューから「その他」を選んで LDAPディレクトリを選択します。

参考：読み出し専用の LDAP ディレクトリにレコードとデータを追加するには、管理するサーバのツールを使用する必要があります。


Active Directoryドメインにアクセスする Mac OS X Server を搭載したサーバまたは Mac OS X を搭載したコンピュータを、 Windows 2000または Windows 2003サーバ上の Active Directory ドメインにアクセスするように設定できます。作業の説明と手順については、以下のセクションを参照してください： •「 Active Directoryプラグインについて」（次のセクション） •

141 ページの「 Active Directoryドメインへのアクセスを設定する」

•

143 ページの「 Active Directoryのモバイル・ユーザ・アカウントを設定する」 •

143 ページの「 Active Directoryユーザアカウントのホームフォルダを設定する」

•

145 ページの「 Active Directoryユーザアカウントの UNIX シェルを設定する」 •

145 ページの「 UIDを Active Directory属性にマップする」

•

146 ページの「プライマリグループ IDを Active Directory属性にマップする」 •

146 ページの「グループアカウントのグループ IDを Active Directory属性にマップする」

•

147 ページの「優先する Active Directoryサーバを指定する」 •

147 ページの「コンピュータを管理できる Active Directoryのグループを変更する」

•

148 ページの「 Active Directoryフォレスト内のすべてのドメインからの認証を制御する」 •

149 ページの「 Active Directoryサーバからバインドを解除する」

•

149 ページの「 Active Directory内のユーザアカウントとその他のレコードを編集する」

ネットワークによっては、 Active Directory ドメインにアクセスするための別の方法があります。 149 ページの「 Active Directory のドメインに対する LDAP アクセスを設定する」を参照してください。

Active Directoryプラグインについて Mac OS X を、 Windows 2000 または Windows 2003 サーバの Active Directory ドメインの基本ユーザアカウント情報にアクセスするように設定できます。これは「ディレクトリアクセス」用の Active Directoryプラグインによって可能になります。この Active Directoryプラグインは、「ディレクトリアクセス」の「サービス」パネルにリストされています。

基本ユーザアカウント情報を取得するために、 Active Directoryドメインにスキーマの変更を加える必要はありません。ただし、コンピュータアカウントでユーザプロパティを読み込めるように、特

定の属性のデフォルトのアクセス制御リスト（ ACL）を変更することが必要となる場合があります。 Active Directoryプラグインは、 Active Directoryユーザアカウントの標準属性から、 Mac OS Xの認証に必要なすべての属性を生成します。プラグインは、パスワード変更、失効、および強制変更

など、 Active Directory認証方式もサポートしています。

Active Directoryプラグインは、 Active Directoryドメイン内のユーザアカウントの GUID（ GloballyUnique ID）に基づいて、一意のユーザ ID とプライマリグループ IDを動的に生成します。生成されたユーザ IDとプライマリグループ ID は、ユーザアカウントを別の Mac OS X コンピュータへのログインに使用する場合でも、ユーザアカウントごとに常に同じものです。もう 1 つの方法として、 Active Directoryプラグインで強制的に、指定した Active Directory属性にユーザ IDをマッピングすることもできます。


140

同様に、 Active Directoryプラグインにより、 Active Directoryグループアカウントの GUIDに基づいてグループ IDが生成されます。また、プラグインで強制的に、指定した Active Directory属性にグループアカウントのグループ IDをマッピングすることもできます。

ユーザが Active Directoryユーザアカウントを使用して Mac OS X にログインしたときに、 ActiveDirectoryプラグインによって、 Active Directoryユーザアカウントで指定されている Windowsネットワーク・ホーム・ディレクトリをそのユーザの Mac OS X ホームフォルダとして自動的にマウントできます。 Active Directoryスキーマが Mac OS Xの HomeDirectory属性を含むように拡張されている場合は、 Active Directoryの標準の homeDirectory属性または Mac OS Xの homeDirectory属性のどちらで指定されているネットワークホームを使用するかを指定できます。

または、 Mac OS Xクライアントコンピュータの起動ボリュームにローカル・ホーム・フォルダを作成するようにプラグインを設定することもできます。この場合、 Active Directoryユーザアカウントで指定されているユーザの Windowsネットワーク・ホーム・ディレクトリが、共有ポイントのように、ネットワークボリュームとしてマウントされます。「 Finder」を使用すれば、 Windows ホームディレクトリのネットワークボリュームとローカルの Mac OS X ホームフォルダとの間でファイルをコピーできます。

Active Directoryプラグインによって、ユーザのモバイルアカウントを作成することもできます。モバイルアカウントでは、 Mac OS Xクライアントコンピュータ上にユーザの Active Directory認証の資格情報がキャッシュされます。キャッシュされた資格情報により、クライアントコンピュータが Active Directory サーバと接続していないときでも、ユーザは Active Directory の名前とパスワードを使用してログインできます。モバイルアカウントでは、 Mac OS Xクライアントコンピュータの起動ボリューム上にローカル・ホーム・フォルダが保持されます。（また、ユーザは、ユーザの ActiveDirectoryアカウントで指定されているネットワーク・ホーム・フォルダも保持します。）

Active Directoryスキーマが Mac OS Xのレコードタイプ（オブジェクトクラス）と属性を組み込むように拡張されていない場合、 Active Directoryプラグインは自動的にそれらを検出してアクセスします。たとえば、 Active Directoryスキーマは、 Windows管理ツールを使って、 Mac OS X で管理されたクライアント属性を組み込むように変更することもできます。このスキーマ変更により、 Active Directoryプラグインで、 Mac OS X Serverの「ワークグループマネージャ」アプリケーションで行われる管理クライアントの設定をサポートできるようになります。 Mac OS X クライアントは、ディレクトリに追加された属性への完全な読み出しアクセス権を持っているものと見なします。

したがって、これらの追加された属性をコンピュータリストで読み込めるように、属性の ACLを変更することが必要となる場合があります。

Active Directoryプラグインにより、 Active Directoryフォレストにあるすべてのドメインが自動的に検出されます。プラグインは、フォレスト内の任意のドメインのユーザが Mac OS X コンピュータで認証できるように設定できます。また、クライアントで特定のドメインのみが認証されるよう

に、複数ドメインの認証を無効にすることもできます。

Active Directoryプラグインは、 Active Directoryの複製とフェイルオーバーを完全にサポートしています。複数のドメインコントローラが検出され、最も近いものが決定されます。ドメインコント

ローラが使用できなくなった場合、プラグインによって近くにある別のドメインコントローラに自

動的に切り替えられます。


Active Directoryプラグインでは LDAPを使って Active Directoryユーザアカウントにアクセスし、 Kerberos を使って認証します。 Active Directory プラグインは、ディレクトリや認証サービスの取得に Microsoft所有の ADSI（ Active Directory Services Interface）を使用しません。

Active Directoryドメインへのアクセスを設定する「ディレクトリアクセス」にリストされている Active Directoryプラグインを使えば、 Mac OS Xで Windowsサーバ上の Active Directoryドメインにある基本ユーザアカウント情報にアクセスするよう設定できます。 Active Directoryプラグインは、 Mac OS Xの認証に必要なすべての属性を生成します。 Active Directoryのスキーマを変更する必要はありません。さらに、 Mac OS Xクライアント管理に必要な属性などの標準の Mac OS X のレコードタイプと属性を組み込むように ActiveDirectoryのスキーマが拡張されている場合、 Active Directoryプラグインがそれらを検出してアクセスします。

Active Directoryドメインへのアクセスを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 Active Directory」を選択し、「設定」をクリックします。

4 設定しているコンピュータをバインドする Active Directoryドメインの DNS名を入力します。

入力する DNS 名は、 Active Directoryドメインの管理者に問い合わせることができます。

5 必要に応じて、「コンピュータ ID」を編集します。

「コンピュータ ID」は、 Active Directoryドメイン内でコンピュータの識別に使用される名前であり、コンピュータの名前に初期設定されます。 Active Directoryドメイン内のコンピュータの命名方法が組織内で定められている場合は、それに合わせて名前を変更する必要があります。入力する名前が

分からない場合は、 Active Directoryドメインの管理者に問い合わせてください。

6 必要に応じて詳細オプションを設定します。

詳細オプションが非表示になっている場合は、「詳細オプションを表示」をクリックし、「ユーザ環

境」、「マッピング」、および「管理」パネルでオプションを設定します。詳細オプションの設定は、

後で変更することもできます。詳細オプションの設定方法について詳しくは、以下を参照してくだ

さい：

•

143 ページの「 Active Directoryのモバイル・ユーザ・アカウントを設定する」 •

143 ページの「 Active Directoryユーザアカウントのホームフォルダを設定する」

•

145 ページの「 Active Directoryユーザアカウントの UNIX シェルを設定する」

警告： Active Directoryプラグインの詳細オプションを使用すると、 Active Directoryスキーマに追加された適切な属性に、 Mac OS X の一意なユーザ ID（ UID）、プライマリグループ ID（ GID）、およびグループ GID 属性をマッピングできます。後でこれらのマッピングオプションの設定を変更すると、ユーザが以前作成したファイルにアクセスできなくなることがあります。


142

• 145 ページの「 UIDを Active Directory属性にマップする」 •

146 ページの「プライマリグループ IDを Active Directory属性にマップする」

•

146 ページの「グループアカウントのグループ IDを Active Directory属性にマップする」 •

147 ページの「優先する Active Directoryサーバを指定する」

•

147 ページの「コンピュータを管理できる Active Directoryのグループを変更する」 •

148 ページの「 Active Directoryフォレスト内のすべてのドメインからの認証を制御する」

7 「バインド」をクリックし、コンピュータを Active Directoryドメインにバインドする権限を持つユーザとして認証します。 Active Directoryを追加する検索方式を選択し、「 OK」をクリックします。

•「名前とパスワード」： Active Directory のユーザアカウントの名前とパスワードを入力することによって認証できるようにしたり、 Active Directory のドメイン管理者が名前とパスワードを入力するようにすることができます。

•「コンピュータOU」：設定するコンピュータの OU（組織単位）を入力します。 •「認証に使用」： Active Directory をコンピュータの認証検索方式に自動的に追加するかどうかを指定します。

•「アドレスデータに使用」： Active Directory をコンピュータのコンタクト検索方式に自動的に追加するかどうかを指定します。

「 OK」をクリックすると、設定しているコンピュータと Active Directory サーバ間に信頼されたバインディングが設定されます。認証時に選択したオプションに従ってコンピュータの検索方式が設

定され、「ディレクトリアクセス」の「サービス」パネルで Active Directoryが有効になります。

Active Directory の詳細オプションのデフォルト設定では、「認証に使用」オプションを選択した場合はコンピュータの認証検索方式に、「アドレスデータに使用」オプションを選択した場合はコンタ

クト情報検索方式に、 Active Directory フォレストが追加されます。ただし、「バインド」をクリックする前に、「管理」詳細オプションパネルで「フォレスト内の任意のドメインから認証する」オプ

ションの選択を解除した場合は、フォレストではなく、最も近くにある Active Directory ドメインが追加されます。後で、 Active Directoryフォレストまたは個別のドメインを追加または削除することによって、検索方式を変更できます。詳しくは、 115 ページの「カスタム検索方式を定義する」を参照してください。

8

Active Directoryドメインにアクセスするようにサーバを設定している場合は、そのサーバを ActiveDirectoryの Kerberos保護領域に接続することもできます。

サーバ、またはサーバに接続できる管理用コンピュータで、「サーバ管理」を開き、そのサーバの

オープンディレクトリを選択します。「設定」をクリックしてから、「一般」をクリックします。

「 Kerberos に接続」をクリックし、ポップアップメニューから Active Directoryの Kerberos保護領域を選択し、このサーバのローカル管理者の資格情報を入力します。詳細な手順については、 85 ページの「サーバを Kerberos保護領域に接続する」を参照してください。


Active Directoryのモバイル・ユーザ・アカウントを設定する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、モバイル Active Directory ユーザアカウントの使用を開始または停止できます。コンピュータが Active Directory サーバに接続されていないときでも、モバイルアカウントを持つユーザは、 Active Directory の資格情報を使用してログインできます。コンピュータが Active Directory ドメインに接続されているときに、 Active Directoryプラグインによって、ユーザのログイン時にユーザのモバイルアカウントの資格情報がキャッシュされます。この資格情報のキャッシュは、 ActiveDirectoryスキーマの変更を必要としません。 Active Directoryのスキーマが Mac OS Xの管理されたクライアント属性を組み込むように拡張されている場合は、 Active Directoryプラグインのモバイルアカウント設定ではなく、そのモバイルアカウント設定が使用されます。

モバイルアカウントを自動的に作成するか、 Active Directoryユーザにモバイルアカウント作成の確認を求めるかできます。

Active Directoryドメインからのモバイルアカウントを有効または無効にするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 詳細オプションが隠されている場合は、「詳細オプションを表示」をクリックします。

5 「ユーザ環境」をクリックしてから、「ログイン時にモバイルアカウントを作成する」をクリックし、必要に応じて「モバイルアカウントを作成する前に確認を要求する」をクリックします。

• 両方のオプションを選択した場合は、各ユーザがログイン時にモバイルアカウントを作成するかどうかを決定します。ユーザが Active Directory ユーザアカウントを使用して Mac OS X にログインすると、モバイルアカウントを今すぐ作成するかネットワークユーザとしてログインするか

を選択するダイアログが表示されます。 •

1つ目のオプションを選択し、 2つ目のオプションを選択しない場合は、ユーザのログイン時にモバイルアカウントが自動的に作成されます。

•

1つ目のオプションを選択しない場合、 2つ目のオプションは無効になります。

6 「 OK」をクリックします。

Active Directoryユーザアカウントのホームフォルダを設定する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、 Active Directoryユーザアカウント用のネットワーク・ホーム・フォルダまたはローカル・ホーム・フォルダの使用を開始または停止できます。ネットワーク・ホーム・フォルダを使用する場合、

ユーザのログイン時に、ユーザの Windowsネットワーク・ホーム・ディレクトリが Mac OS Xホームフォルダとしてマウントされます。 Active Directory スキーマが Mac OS Xの HomeDirectory属性を含むように拡張されている場合は、ネットワーク・ホーム・フォルダの場所として、 ActiveDirectory の標準の homeDirectory 属性または Mac OS Xの homeDirectory 属性のどちらの指定に従うかを選択します。


144

ローカル・ホーム・フォルダを使用する場合、ログインする各 Active Directoryユーザは、 Mac OS Xの起動ディスク上にホームフォルダを持ちます。また、ユーザのネットワーク・ホーム・フォルダ

が、共有ポイントのように、ネットワークボリュームとしてマウントされます。ユーザは、このネッ

トワークボリュームとローカル・ホーム・フォルダ間でファイルをコピーできます。

Active Directoryユーザアカウントのホームフォルダを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 詳細オプションが表示されていない場合は、「詳細オプションを表示」をクリックします。

5 「ユーザ環境」をクリックします。

6

Active Directory ユーザアカウントでコンピュータの「 / ユーザ」フォルダ内にローカル・ホーム・フォルダが保持されるようにする場合は、「ローカル・ホーム・ディレクトリを起動ディスクに設定

する」をクリックします。

「ログイン時にモバイルアカウントを作成する」が選択されている場合、このオプションは使用でき

ません。

7 ホームフォルダの場所として Active Directoryの標準属性を使用するには、「 Active Directoryからの UNC パスを使用してネットワークホームを設定する」を選択して、ホームフォルダへのアクセスに使用するプロトコルを選択します。

•

Windowsの標準プロトコルである SMB/CIFSを使用する場合は、「 SMB：」を選択します。 •

Macintoshの標準プロトコルである AFPを使用する場合は、「 AFP：」を選択します。

8 ホームフォルダの場所として Mac OS Xの属性を使用するには、「 Active Directoryからの UNCパスを使用してネットワークホームを設定する」の選択を解除します。

Mac OS Xの属性を使用するには、 Active Directoryのスキーマを拡張してそれを含める必要があります。


Active Directoryドメインのユーザアカウントの名前を変更すると、次回このユーザアカウントを使用して Mac OS Xコンピュータにログインするときに、サーバでそのユーザアカウントの新しいホーム・ディレクトリ・フォルダ（およびサブフォルダ）が作成されます。

ユーザは、「 Finder」で、古いホームディレクトリに移動してその内容を確認できます。

新しいホーム・ディレクトリ・フォルダが作成されないようにするには、ユーザが次回ログインす

る前に、古いフォルダの名前を変更します。


Active Directoryユーザアカウントの UNIXシェルを設定する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、 Active Directoryアカウントを持つユーザが「ターミナル」アプリケーションを使って Mac OS Xを対話操作する際にデフォルトで使用するコマンドラインシェルを設定できます。デフォルトの

シェルは、 SSH（ Secure Shell）や Telnet経由のリモート対話操作にも使用されます。各ユーザは、「ターミナル」の環境設定を変更することでデフォルトのシェルを変更できます。

Active Directoryユーザアカウントの UNIXシェルを設定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 Active Directory」を選び、「設定」をクリックします。


5 「ユーザ環境」をクリックし、デフォルトのユーザシェルのパスを入力します。


UIDを Active Directory属性にマップする「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、 Mac OS Xの一意なユーザ ID（ UID）属性にマップする Active Directory 属性を指定できます。

通常は、 Active Directoryのスキーマを拡張して、 UIDへのマッピングに適した属性を含める必要があります。 •

Active Directory 管理者が Microsoft 社の「 Services for UNIX」をインストールして ActiveDirectoryスキーマを拡張する場合は、 UIDを msSFU-30-Uid-Number属性にマップできます。

•

Active Directory管理者が Active Directoryスキーマを手動で拡張して RFC 2307属性を含める場合は、 UIDを uidNumber にマップできます。

•

Active Directory管理者が Active Directoryスキーマを手動で拡張して Mac OS Xの UniqueID属性を含める場合は、 UIDをこの属性にマップできます。

UID マッピングが無効になっている場合は、 Active Directory プラグインが自動的に ActiveDirectoryの標準 GUID属性に基づいて UIDを生成します。

UIDを拡張された Active Directoryのスキーマの属性にマップするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 「マッピング」をクリックしてから、「 UIDを次の属性にマップ」を選択し、 UIDにマップする ActiveDirectory属性の名前を入力します。

警告： UIDのマッピングを後で変更すると、ユーザが以前に作成したファイルにアクセスできなくなることもあります。


146

プライマリグループ IDを Active Directory属性にマップする「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、ユーザアカウントの Mac OS Xプライマリグループ ID（ GID）属性にマップする Active Directory属性を指定できます。

通常は、 Active Directory のスキーマを拡張して、プライマリ GID へのマッピングに適した属性を含める必要があります。 •

Active Directory 管理者が Microsoft 社の「 Services for UNIX」をインストールして ActiveDirectoryスキーマを拡張する場合は、プライマリ GIDを msSFU-30-Gid-Number属性にマップできます。

•

Active Directory管理者が Active Directoryスキーマを手動で拡張して RFC 2307属性を含める場合は、プライマリ GIDを gidNumberにマップできます。

•

Active Directory管理者が Active Directoryスキーマを手動で拡張して Mac OS Xの PrimaryGroupID属性を含める場合は、プライマリ GIDをこの属性にマップできます。

プライマリ GIDのマッピングが無効になっている場合は、 Active Directory の標準の GUID 属性に基づいてプライマリ GIDが自動的に生成されます。

プライマリ GIDを拡張された Active Directoryのスキーマの属性にマップするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 「マッピング」をクリックしてから、「ユーザ GIDを次の属性にマップ」を選択し、ユーザアカウントのプライマリグループ IDにマップする Active Directory属性の名前を入力します。

グループアカウントのグループ IDを Active Directory属性にマップする「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、グループアカウントの Mac OS Xグループ ID（ GID）属性にマップする Active Directory 属性を指定できます。

通常は、 Active Directory のスキーマを拡張して、グループ GID へのマッピングに適した属性を含める必要があります。 •

Active Directory 管理者が Microsoft 社の「 Services for UNIX」をインストールして ActiveDirectoryスキーマを拡張する場合は、グループ GIDを msSFU-30-Gid-Number属性にマップできます。

•

Active Directory管理者が Active Directoryスキーマを手動で拡張して RFC 2307属性を含める場合は、グループ GIDを gidNumberにマップできます。

警告：プライマリ GID のマッピングを後で変更すると、ユーザが以前に作成したファイルにアクセスできなくなることもあります。


• Active Directory管理者が Active Directoryスキーマを手動で拡張して Mac OS Xの gidNumber属性を含める場合は、グループ GIDをこの属性にマップできます。

グループ GIDのマッピングが無効になっている場合は、 Active Directory の標準の GUID 属性に基づいてグループ GIDが自動的に生成されます。

グループ GIDを拡張された Active Directoryのスキーマの属性にマップするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 「マッピング」をクリックしてから、「グループ GIDを次の属性にマップ」を選択し、グループアカウントのグループ IDにマップする Active Directory属性の名前を入力します。

優先する Active Directoryサーバを指定する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、コンピュータがデフォルトでアクセスする Active Directoryドメインのサーバの DNS名を指定できます。今後、このサーバが使用不可になった場合は、フォレスト内の近くの別のサーバが自動

的に使用されます。このオプションを選択しなかった場合は、フォレスト内の最も近い ActiveDirectoryが自動的に指定されます。

Active Directoryプラグインにアクセスさせたいサーバを指定するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 「管理」をクリックしてから、「このドメインサーバを優先」を選択し、 Active Directory サーバの DNS名を入力します。

コンピュータを管理できる Active Directoryのグループを変更する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、所属メンバーにコンピュータの管理者権限を与える Active Directory グループアカウントを指定できます。これらの Active Directory グループアカウントのメンバーであるユーザは、設定している Mac OS Xコンピュータにソフトウェアをインストールするなどの管理タスクを実行できます。

警告：グループ GID のマッピングを後で変更すると、ユーザが以前に作成したファイルにアクセスできなくなることもあります。


148

メンバーが管理者権限を持つ Active Directoryグループアカウントを追加または削除するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 詳細オプションが隠されている場合は、「詳細オプションを表示」をクリックします。

5 「管理」をクリックし、「管理を許可するユーザ」を選択してから、メンバーに管理者権限を与える Active Directoryグループアカウントのリストを変更します。

• 追加ボタン（＋）をクリックしてグループを追加し、 Active Directoryドメイン名、バックスラッシュ、およびグループアカウント名を入力します（例： ADS\Domain Admins,IL2\DomainAdmins）。

• グループを取り除くときは、リストでグループを選択し、取り除くボタン（－）をクリックします。

Active Directoryフォレスト内のすべてのドメインからの認証を制御する「ディレクトリアクセス」の Active Directoryプラグインを使用するように設定されたコンピュータで、 Active Directoryフォレスト内のすべてのドメインのユーザが認証できるようにするか、または認証を個々のドメインのユーザに制限することができます。

ユーザがフォレスト内のすべてのドメインから認証できるようにするかどうかを制御するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。



5 「管理」をクリックして、「フォレスト内の任意のドメインから認証する」をクリックします。

6 このオプションの設定を変更した後、「認証」パネルや「コンタクト」パネルで、その変更に合わせ

て Active Directory フォレストまたは選択したドメインを含めるようにカスタム検索方式を変更する必要があります。

カスタム検索方式を変更する手順については、 115 ページの「カスタム検索方式を定義する」を参照してください。

•「フォレスト内の任意のドメインから認証する」を選択すると、コンピュータの認証およびコンタクト情報のカスタム検索方式に Active Directory フォレストを追加できます。カスタム検索方式に追加する際、使用可能なディレクトリドメインのリストに、フォレストが「 /Active Directory/All Domains」として表示されます（これはデフォルトの設定です）。

•「フォレスト内の任意のドメインから認証する」の選択を解除すると、コンピュータの認証およびコンタクト情報のカスタム検索方式に Active Directory ドメインを個別に追加できます。カスタム検索方式に追加する際、使用可能なディレクトリドメインのリストに、各 Active Directory ドメインが個別に表示されます。


Active Directoryサーバからバインドを解除するコンピュータが「ディレクトリアクセス」の Active Directoryプラグインを使用して Active Directoryサーバにバインドしている場合、 Active Directory サーバからコンピュータをバインド解除できます。コンピュータがサーバに接続できない状態にある場合や、コンピュータのレコードがサーバか

らすでに取り除かれている場合は、バインドを強制的に解除できます。

Active Directoryサーバからコンピュータをバインド解除するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 「バインド解除」をクリックし、 Active Directory ドメインへの接続を終了する権限があるユーザとして認証して、「 OK」をクリックします。

資格情報が受け付けられなかったかコンピュータが Active Directory に接続できないことを示す警告が表示された場合は、「バインドを強制的に解除」をクリックして、接続を強制的に解除できます。

バインドを強制的に解除しても、 Active Directory にはこのコンピュータのレコードが保持されます。コンピュータのレコードを取り除く必要があることを Active Directory 管理者に通知してください。

5 「サービス」パネルで、 Active Directoryの「使用可能」設定の選択を解除して、「適用」をクリックします。

Active Directory内のユーザアカウントとその他のレコードを編集する「ワークグループマネージャ」を使って、 Active Directoryのドメイン内のユーザアカウント、グループアカウント、コンピュータリスト、およびその他のレコードを変更することができます。また、

「ワークグループマネージャ」を使って Active Directoryのドメイン内のレコードを削除することもできます。 Active Directory のスキーマが標準の Mac OS X のレコードタイプ（オブジェクトクラス）と属性を含むように拡張されている場合、「ワークグループマネージャ」を使用して、 ActiveDirectoryのドメインでコンピュータリストを作成および編集することができます。ユーザアカウント、グループアカウント、およびコンピュータリストを操作する手順については、ユーザ管理ガイ

ドを参照してください。

Active Directory のドメインのユーザアカウントまたはグループアカウントを作成するときは、 Windowsサーバ管理用コンピュータで Microsoft Active Directory管理ツールを使用します。

Active Directoryのドメインに対する LDAPアクセスを設定する「ディレクトリアクセス」を使って、 LDAPv3設定を Windowsサーバ上の Active Directoryのドメインにアクセスするように設定できます。 LDAPv3設定により、 Active Directoryのオブジェクトクラス、検索ベース、および属性への Mac OS X のレコードタイプと属性のマッピングを、完全に制御できます。 UID（一意のユーザ ID）などのいくつかの重要な Mac OS X のレコードタイプと属性のマッピングには、拡張された Active Directoryのスキーマが必要になります。


150

LDAPv3の設定には、「ディレクトリアクセス」にリスト表示される Active Directoryプラグインの多くの機能が含まれていません。たとえば、一意のユーザ IDやプライマリグループ IDの動的生成、ローカル Mac OS X ホームディレクトリの作成、 Windows ホームディレクトリの自動マウント、キャッシュされた認証資格情報を含むモバイル・ユーザ・アカウント、 Active Directoryフォレストの全ドメインの検出、 Active Directory の複製やフェイルオーバーのサポートなどです。詳しくは、 139 ページの「 Active Directoryプラグインについて」を参照してください。

Active Directoryサーバの設定を作成するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。


4 「新規」をクリックして、 Active Directoryサーバの DNS 名または IP アドレスを入力します。

5 ディレクトリにアクセスするためのオプションを選択してから、「続ける」をクリックすると、 ActiveDirectoryサーバから情報が取得されます。

• オープンディレクトリで Active Directoryサーバとの接続に SSL（ Secure Sockets Layer）を使用する場合は、「 SSLを使って暗号化」を選択します。

• ユーザがログインやサービスの認証に使用するユーザアカウントがこのディレクトリに含まれている場合は、「認証に使用」を選択します。

•「アドレスブック」で使用するメールアドレスなどの情報がこのディレクトリに含まれている場合は、「アドレスデータに使用」を選択します。

「ディレクトリアクセス」が Active Directoryサーバに接続できない場合は、メッセージが表示されます。この場合、アクセスを手動で設定するか、設定処理をキャンセルする必要があります。手動

の設定手順については、 122 ページの「 LDAPディレクトリへのアクセスを手動で設定する」を参照してください。

6 ダイアログが展開されてマッピングオプションが表示されたら、ポップアップメニューから「 ActiveDirectory」を選択し、検索ベースを入力して、「続ける」をクリックします。

LDAPv3設定用の Active Directoryのマッピングテンプレートは、いくつかの Mac OS X のレコードタイプと属性を、標準の Active Directory スキーマの一部ではないオブジェクトクラスと属性にマップします。テンプレートで定義されているマッピングを変更したり、 Active Directoryのスキーマを拡張することもできます。（または、 LDAPv3 ではなく Active Directory プラグインを介して Active Directory ドメインにアクセスできる場合もあります。詳しくは、「 Active Directory ドメインへのアクセスを設定する」を参照してください。

7 ダイアログが展開されて接続オプションが表示されたら、 Active Directoryユーザアカウントの識別名とパスワードを入力します。

8 「 OK」をクリックして新しい LDAP接続の作成を完了してから、「 OK」をクリックして LDAPv3オプションの設定を完了します。

手順 5で「認証に使用」オプションまたは「アドレスデータに使用」オプションを選択した場合は、「ディレクトリアクセス」の「認証」または「コンタクト」パネルのカスタム検索方式に ActiveDirectoryドメインへの LDAPv3接続が自動的に追加されます。


今設定した接続がコンピュータで使用されるように、「サービス」パネルで LDAPv3が有効になっていることを確認する必要があります。手順については、 111 ページの「 LDAPディレクトリサービスを有効にする／無効にする」を参照してください。

NISドメインにアクセスする「ディレクトリアクセス」を使って、 Mac OS X で NIS ドメインにアクセスする方法を指定する設定を作成することができます。

NISドメインにアクセスするための設定を作成するには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 BSDフラットファイルおよび NIS」を選び、「設定」をクリックします。

4

NIS ドメイン名を入力します。

5 オプションで、 NIS ドメインが常駐するサーバ（複数可）の DNS名または IPアドレスを入力します。

セキュリティのために必要な場合や、サーバが設定するコンピュータと同じサブネット上にない場

合は、 NISサーバのホスト名または IPアドレスを組み込みます。

サーバを指定しないと、 NISは、ブロードキャストプロトコルを使ってサブネット上の NISサーバを検出します。

6 「 NIS ドメインを認証に使用」を選択して、「 OK」をクリックします。

コンピュータの認証検索方式に、 NISドメインが「 /BSD/ domain」として追加されます。「 domain」は、手順 4で入力した名前です。

BSD設定ファイルを使用する歴史的に UNIXコンピュータは、管理データを「 /etc/master.passwd」、「 /etc/group」、および「 /etc/hosts」などの設定ファイルに保管していました。 Mac OS X は、 BSDバージョンの UNIX を基にしていますが、通常は、ディレクトリシステムから管理データを取得します。

Mac OS X v 10.2 以降（ Mac OS X Server v 10.2 以降を含む）では、オープンディレクトリは BSD設定ファイルから管理データを取得できます。この機能を使用すると、すでに BSD設定ファイルを持っている組織が、 Mac OS Xコンピュータ上の既存のファイルを使用できます。 BSD設定ファイルは単独で使用することも、ほかのディレクトリドメインと併用することもできます。

BSD設定ファイルを使用するには： 1

BSD設定ファイルに、 Mac OS Xディレクトリサービスに必要なデータが含まれていることを確認します。

詳しくは、 152 ページの「 BSD設定ファイル内のデータを設定する」を参照してください。

2 「ディレクトリアクセス」で、「サービス」タブをクリックします。


152


します。

4 サービスのリストで「 BSDフラットファイルおよび NIS」を選び、「設定」をクリックします。

5 「 BSDローカルファイル（ /etc）を認証に使用」を選択して、「 OK」をクリックします。

コンピュータの認証検索方式に、 BSD設定ファイルのドメインが「 /BSD/local」として追加されます。

Mac OS X Server は、 BSD 設定ファイルの固定セットをサポートしています。使用する設定ファイルを指定したり、その内容を Mac OS Xのレコードタイプと属性にマップすることはできません。

BSD設定ファイル内のデータを設定する Mac OS Xコンピュータが BSD設定ファイルから管理データを取得するようにする場合は、管理データが Mac OS X に必要なフォーマットで設定ファイルに存在している必要があります。また、設定ファイル内のデータの追加、変更、再編成が必要な場合があります。「ワークグループマネージャ」

は BSD 設定ファイルのデータを変更することができないため、テキストエディタまたはほかのツールを使用して、必要な変更を加える必要があります。

Mac OS Xのディレクトリサービスに必要なデータについて詳しくは、付録の「 Mac OS Xのディレクトリデータ」を参照してください。

BSD設定ファイル含まれる情報 /etc/master.passwd ユーザ名、パスワード、 ID、プライマリグループ IDなど

/etc/group グループ名、 ID、およびメンバー

/etc/fstab NFSマウント

/etc/hosts コンピュータ名およびアドレス

/etc/networks ネットワーク名およびアドレス

/etc/services サービス名、ポート、およびプロトコル

/etc/protocols IPプロトコル名および番号

/etc/rpcs オープン・ネットワーク・コンピューティング RPCサーバ

/etc/printcap プリンタ名および機能

/etc/bootparams Bootparam設定

/etc/bootp Bootp設定

/etc/aliases メールエイリアスおよび配信リスト

/etc/netgroup ネットワーク全体のグループ名およびメンバー


レガシー NetInfoドメインにアクセスする Mac OS X Server バージョン 10.3より前のバージョンを使って作成された共有ディレクトリドメインは、 NetInfoプロトコル（および任意で LDAPv3プロトコル）を使用しました。 NetInfoは、引き続きこれらのレガシー NetInfo ドメインへのアクセスに使用できます。これは、次のことを意味します： •

Mac OS Xバージョン 10.4および Mac OS X Serverバージョン 10.4は、既存の共有 NetInfoドメインにアクセスできます。

• すべての Mac OS X Serverまたはその他の Mac OS Xコンピュータは、 Mac OS X Serverバージョン 10.4にアップグレード済みのサーバが管理する共有 NetInfoドメインにアクセスできます。ただし、アップグレード済みのサーバの共有 NetInfo ドメインは、 LDAP に変換できます。この場合、ほかのコンピュータおよびサーバは、そのサーバの共有ディレクトリにアクセスするときに、 NetInfoではなく LDAPを使用する必要があります。

参考：コマンドラインユーティリティを使用しない限り、 Mac OS X Serverバージョン 10.4で新しい共有 NetInfoドメインを作成することはできません。「サーバアシスタント」または「サーバ管理」を使って Mac OS X Serverバージョン 10.4をオープンディレクトリのマスターにする（つまり、共有 LDAPディレクトリを管理する）ように設定した場合、ほかのコンピュータは、 LDAPを使用する場合のみこの新しい共有ディレクトリにアクセスできます。

共有 NetInfoドメインへのアクセスを設定する手順については、このトピックの次の「 NetInfoバインディングについて」および「 NetInfoバインディングを設定する」を参照してください。

経験豊富なシステム管理者は、次のように NetInfoドメインを管理できます： • 既存の共有 NetInfo ドメインへのブロードキャストバインディング用のマシンレコードを作成します。手順については、 155 ページの「 NetInfo上位ドメインにマシンレコードを追加する」を参照してください。

• 動的に割り当てられるポート番号ではなく特定のポート番号を使用するように共有 NetInfo ドメインを設定します。手順については、 156 ページの「共有 NetInfo ドメインの静的ポートを設定する」を参照してください。

NetInfoバインディングについて Mac OS Xコンピュータの起動時に、コンピュータのローカル・ディレクトリドメインを共有 NetInfoドメインにバインドできます。共有 NetInfo ドメインは、ほかの共有 NetInfo ドメインにバインドできます。バインディングプロセスによって NetInfoドメインの階層構造が作成されます。

NetInfo階層には、分岐した構造があります。階層の最下位にあるローカルドメインが共有ドメインにバインドされると、その共有ドメインがほかの共有ドメインにバインドされ、そのドメインがさ

らに別のドメインにバインドされてゆきます。各ドメインは、 1つの共有ドメインにのみバインドされますが、共有ドメインには任意の数のドメインをバインドできます。共有ドメインは上位ドメイ

ンと呼ばれ、共有ドメインにバインドする各ドメインは下位ドメインと呼ばれます。階層構造の最

上位には別のドメインにバインドしない 1 つの共有ドメインがあり、これがルートドメインになります。


154

Mac OS Xコンピュータは、 3つのプロトコル（静的、ブロードキャスト、または DHCP）のいずれかの組み合わせを使用して、共有 NetInfoドメインにバインドできます。 • 静的バインディングの場合、共有 NetInfoドメインのアドレスおよび NetInfoタグを指定します。静的バインディングは、一般的に、共有ドメインのコンピュータを、そのドメインにアクセスする

必要があるコンピュータと同じ IPサブネット上に置かない場合に使用されます。 •

DHCP バインディングの場合、 DHCPサーバは自動的に共有 NetInfo ドメインのアドレスおよび NetInfoタグを提供します。 DHCPバインディングを使用するには、 NetInfo上位層のアドレスとタグを提供するように、 DHCPサーバを設定する必要があります。

• ブロードキャストバインディングの場合、コンピュータは IPブロードキャスト要求を送信して、共有 NetInfo ドメインを探します。共有ドメインを運用しているコンピュータは、そのドメインのアドレスおよびタグを返します。

ブロードキャストバインディングの場合、 IP ブロードキャストを転送するように設定された同じ IPサブネットまたはネットワークに両方のコンピュータがある必要があります。

上位ドメインの NetInfoタグは、「 network」に設定されている必要があります。

上位ドメインは、ブロードキャストバインディングを使ってバインドできる各コンピュータのマ

シンレコードを所有している必要があります。

複数のバインディングプロトコルを使用するようにコンピュータを設定している場合、 1つのプロトコルに上位ドメインが存在しないときは、別のプロトコルが使用されます。プロトコルの優先順位

は、静的、 DHCP、ブロードキャストの順になります。

NetInfoバインディングを設定する「ディレクトリアクセス」を使って、 Mac OS Xまたは Mac OS X Serverを、静的、ブロードキャスト、または DHCP プロトコルを任意の組み合わせで使用して上位 NetInfo ドメインにバインドするように設定できます。コンピュータは、起動時に NetInfoの上位ドメインにバインドしようとします。

参考：ネットワークに共有 NetInfo ドメインがない場合に、上位 NetInfo ドメインにバインドするようコンピュータを設定すると、コンピュータの起動時に遅れが生じることなります。



Mac OS Xコンピュータを共有 NetInfo ドメインにバインドするには： 1 「ディレクトリアクセス」で、「サービス」タブをクリックします。


します。

3 サービスのリストで「 NetInfo」を選択し、「設定」をクリックします。


4 コンピュータで使用するバインディングプロトコルを選びます。

• ブロードキャストバインディングの場合は、「ブロードキャストプロトコルを使って接続する」を選びます。

•

DHCPバインディングの場合は、「 DHCPプロトコルを使って接続する」を選びます。 • 静的バインディングの場合は、「特定の NetInfoサーバに接続する」を選びます。「サーバアドレス」フィールドに、上位ドメインのコンピュータの IP アドレスを入力し、「サーバタグ」フィールドに、上位ドメインの NetInfoタグを入力します。

5 「 OK」をクリックし、「適用」をクリックします。

6 コンピュータを再起動します。

7 手順 4 で NetInfo のバインディングに DHCP プロトコルを選択した場合は、 DHCP サーバが共有 NetInfoドメインのアドレスおよび NetInfoタグを提供するように設定されていることを確認してください。

8 手順 4で NetInfoのバインディングにブロードキャストプロトコルを選択した場合は、設定しているコンピュータのマシンレコードが上位の NetInfoドメインに含まれていることを確認してください。

手順については、「 NetInfo上位ドメインにマシンレコードを追加する」（次のセクション）を参照してください。

NetInfo上位ドメインにマシンレコードを追加する Mac OS Xコンピュータは、ブロードキャストバインディングを使用して、コンピュータのディレクトリドメインを NetInfo上位ドメインにバインドできます。上位 NetInfoドメインは、ブロードキャストバインディングを使用してバインドする各 Mac OS Xコンピュータのマシンレコードを保持している必要があります。マシンのレコードは「 NetInfoマネージャ」アプリケーションで作成できます。

NetInfo上位ドメインにマシンレコードを追加するには： 1 上位ドメインが置かれているコンピュータ上で「 NetInfoマネージャ」を起動し、ドメインを開きます。

2 ロックをクリックし、ディレクトリドメインの管理者の名前とパスワードを使って認証します。

3 ディレクトリブラウザのリストで「 machines」ディレクトリを選択します。

4 「ディレクトリ」メニューの「新規のサブディレクトリ」を選択します。

5 下のリストから「 new_directory」をダブルクリックし、下位コンピュータの DNS名を入力します。

6 「ディレクトリ」メニューの「新規のプロパティ」を選択します。

7 下のリストで「 new_property」を「 ip_address」に変更し、「 new_value」を下位コンピュータの IPアドレスに変更します。

8 「ディレクトリ」メニューの「新規のプロパティ」を選択します。

9 「 new_property」を「 serves」に変更し、「 new_value」を下位ローカルドメインの名前と NetInfoタグに変更します。名前とタグを区切るには「 /」を使用します。

たとえば、「 marketing.demo」という名前のコンピュータのローカルドメインの場合、「 new_value」を「 marketing.demo/local」と変更します。

10 「ドメイン」メニューの「変更内容を保存」を選択し、「このコピーのアップデート」をクリックします。


156

共有 NetInfoドメインの静的ポートを設定するデフォルトでは、 Mac OS Xは、共有 NetInfoドメインにアクセスするときに 600～ 1023の範囲内のポートを動的に選択します。特定のポートを介してアクセスするように NetInfo 共有ドメインを設定できます。これは「 NetInfoマネージャ」アプリケーションを使用して行います。

共有ドメインへの NetInfoアクセス用の特定のポートを設定するには： 1 共有ドメインが置かれているコンピュータで「 NetInfoマネージャ」を起動し、ドメインを開きます。

2 ロックをクリックし、ディレクトリドメインの管理者の名前とパスワードを使って認証します。

3 ディレクトリブラウザのリストで「 /」ディレクトリを選択します。

4 既存のポートのプロパティの値を変更するには、「値」カラムで値をダブルクリックして変更します。

5 ポートのプロパティを削除するには、プロパティを選択し、「編集」メニューの「削除」を選択します。

6 プロパティを追加するには、「ディレクトリ」メニューの「新規のプロパティ」を選択し、以下の操

作を実行します。

•

TCPパケットと UDPパケットの両方に対して 1つのポートを使用する場合は、「 new_property」をダブルクリックし、「 port」に変更します。次に、「 new_value」を、使用するポートの番号に変更します。

•

TCPと UDPに対して別々のポートを使用する場合は、「 new_property」をダブルクリックし、「 tcp_port」に変更します。「 new_value」を目的の TCP ポート番号に変更します。次に、

「 new_property」をダブルクリックして「 udp_port」に変更します。今度は、「 new_value」を目的の UDPポート番号に変更します。


8
8 保守と問題の解決
オープンディレクトリ・サービスを監視したり、オープンディレクトリのドメインから無変換データを表示および編集したり、オープンディレクトリのファイルをバックアップしたりすることができます。また、よくあるオープンディレクトリの問題を解決することもできます。

オープンディレクトリ・サービスの管理と問題解決の現行の作業には、次のものがあります： •「オープンディレクトリ・サーバへのアクセスを制御する」（次のセクション） •

159 ページの「オープンディレクトリを監視する」

•

161 ページの「ディレクトリデータを直接表示して編集する」 •

164 ページの「任意のタイプのレコードを読み込む」

•

164 ページの「オープンディレクトリの複製を管理する」 •

167 ページの「オープンディレクトリのマスターをアーカイブする」

•

168 ページの「オープンディレクトリのマスターを復元する」 •

169 ページの「オープンディレクトリのマスターと複製の問題を解決する」

•

170 ページの「ディレクトリアクセスの問題を解決する」 •

171 ページの「認証の問題を解決する」

オープンディレクトリ・サーバへのアクセスを制御するオープンディレクトリのマスターまたは複製へのアクセスを制御するには、ログインウインドウま

たは ssh コマンドラインツールを使ってログインできるユーザを制限します。手順については、以

下を参照してください： •

157 ページの「サーバのログインウインドウへのアクセスを制御する」

•

158 ページの「 SSHサービスへのアクセスを制御する」

サーバのログインウインドウへのアクセスを制御する「サーバ管理」を使うと、ログインウインドウで Mac OS X Serverにログインできるユーザを制御できます。サーバの管理者権限を持つユーザは、常にサーバにログインできます。

157

158

サーバのログインウインドウを使用できるユーザを制限するには： 1 「サーバ管理」を開き、ログインウインドウへのアクセスを制御するサーバに接続し、「コンピュータとサービス」リストからサーバを選択します。

サーバを選択します（サーバの下のサービスではありません）。

2 「設定」をクリックしてから、「アクセス」をクリックします。

3 「すべてのサービスに同じアクセス権を使用する」の選択を解除し、左側のリストから「ログインウインドウ」を選択します。

4 「以下のユーザとグループのみを許可する」を選択し、サーバのログインウインドウを使ったログインを許可するユーザとグループのリストを編集します。

• 追加ボタン（＋）をクリックして必要な情報を入力し、ログインウインドウを使用できるユーザまたはグループを追加します。

• リストからユーザまたはグループを取り除くには、 1 つ以上の項目を選択して、取り除くボタン

（－）をクリックします。


手順 3 で「すべてのサービスに同じアクセス権を使用する」の選択を解除するときに、「すべてのユーザとグループを許可する」が選択されている場合は、ログインウインドウを除くすべてのサー

ビスに対して、すべてのユーザとグループがアクセスできます。リストにあるログインウインドウ

以外のサービスにアクセスできるユーザを制限するには、リストからサービスを選択し、「以下の

ユーザとグループのみを許可する」を選択して、許可するユーザとグループのリストに追加します。

すべてのユーザがサーバのログインウインドウを使ってログインできるようにするには、「ログイン

ウインドウ」を選択し、「すべてのユーザとグループを許可する」を選択します。

SSHサービスへのアクセスを制御する「サーバ管理」を使うと、「ターミナル」の sshコマンドを使って Mac OS X Serverへのコマンドライン接続を開くことができるユーザを制御できます。サーバの管理者権限を持つユーザは、常に ssh

を使って接続を開くことができます。 ssh コマンドでは、 SSH（ Secure Shell）サービスを使用します。 ssh コマンドの使いかたについては、コマンドライン管理ガイドを参照してください。

リモートサーバへの SSH 接続を開くことができるユーザを制限するには： 1 「サーバ管理」を開き、 SSHアクセスを制御するサーバに接続して、「コンピュータとサービス」リストからサーバを選択します。

サーバを選択します（サーバの下のサービスではありません）。

2 「設定」をクリックしてから、「アクセス」をクリックします。

3 「すべてのサービスに同じアクセス権を使用する」の選択を解除し、左側のリストから「 SSH」を選択します。

第 8章保守と問題の解決

4 「以下のユーザとグループのみを許可する」を選択し、サーバへの SSH接続を開くことを許可するユーザとグループのリストを編集します。

• 追加ボタン（＋）をクリックして必要な情報を入力し、 SSH 接続を開くことができるユーザまたはグループを追加します。

• リストからユーザまたはグループを取り除くには、 1 つ以上の項目を選択して、取り除くボタン

（－）をクリックします。


手順 3 で「すべてのサービスに同じアクセス権を使用する」の選択を解除するときに、「すべてのユーザとグループを許可する」が選択されている場合は、 SSH を除くすべてのサービスに対して、すべてのユーザとグループがアクセスできます。リストにある SSH 以外のサービスにアクセスできるユーザを制限するには、リストからサービスを選択し、「以下のユーザとグループのみを許可する」

を選択して、許可するユーザとグループのリストに追加します。

すべてのユーザがサーバへの SSH 接続を開くことができるようにするには、「 SSH」を選択し、「すべてのユーザとグループを許可する」を選択します。

オープンディレクトリを監視するオープンディレクトリの状況とログを表示して、不審なアクティビティについてオープンディレク

トリの認証ログを調査できます。

作業の手順については、以下を参照してください： •「オープンディレクトリのマスターまたは複製の状況をチェックする」（次のセクション） •

160 ページの「オープンディレクトリのマスターの複製を監視する」

•

160 ページの「オープンディレクトリの状況とログを表示する」 •

160 ページの「オープンディレクトリによる認証を監視する」

オープンディレクトリのマスターまたは複製の状況をチェックするオープンディレクトリのマスターが適切に機能していることを確認できます。


2 「概要」（ウインドウの一番下付近にあります）をクリックします。

3 オープンディレクトリの概要のパネルにリストされているすべての項目の状況が「実行中」になっ

ていることを確認します。

リストされている項目のいずれかが停止している場合は、「更新」をクリックします（または、「表

示」＞「更新」と選択します）。 Kerberosが停止したままになっている場合は、 169 ページの「 Kerberosがオープンディレクトリのマスターまたは複製で停止する」を参照してください。

第 8章保守と問題の解決 159

160

オープンディレクトリのマスターの複製を監視する「サーバ管理」を使うと、作成した複製や進行中の複製作成の状況をチェックすることができます。

オープンディレクトリのマスターの複製を監視するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでマスターのオープンディレクトリを選択します。

2 「設定」をクリックし、複製のリストと各複製の状況を確認します。

新しい複製の状況は、その複製が正常に作成されたかどうかを示します。以後、その状況は、複製

作成の最新の試行が成功したかどうかを示します。

オープンディレクトリの状況とログを表示する「サーバ管理」アプリケーションを使用して、オープンディレクトリ・サービスの状況情報とログを

表示できます。次のログを表示できます： • ディレクトリサービスのサーバログ • ディレクトリサービスのエラーログ •

kadmin ログ •

kdcログ •

lookupdログ

•

NetInfoログ •

LDAPログ

• パスワードサービスのサーバログ • パスワードサービスのエラーログ • パスワードサービスの複製のログ •

slapconfigログ

ディレクトリサービスの状況またはログを表示するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでサーバのオープンディレクトリを選択します。

2 「概要」をクリックして、状況情報を表示します。

3 「ログ」をクリックし、「表示」ポップアップメニューを使って表示するログを選びます。

ログファイルのパスが、ポップアップメニューの下に表示されます。

4 オプションで、「フィルタ」フィールドにテキストを入力して returnキーを押すと、入力したテキストを含む行だけが表示されます。

オープンディレクトリによる認証を監視する「サーバ管理」を使って表示できるパスワードサービスのログを使って、疑わしいアクティビティの

失敗したログイン試行を監視します。

オープンディレクトリでは、失敗した認証がすべて記録されます。このとき、認証に失敗した IPアドレスも記録されます。同じパスワード IDを使った失敗が頻繁に発生していないかどうかを判断するために、このログは定期的に確認してください。失敗が頻繁に発生していることが検出された場

合、不正にログインしようとするユーザが存在する可能性があります。


オープンディレクトリによる認証のログを確認するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでサーバのオープンディレクトリを選択します。

2 「ログ」をクリックし、「表示」ポップアップメニューから kdcログまたはパスワードサービスのログを選びます。

ディレクトリデータを直接表示して編集する「ワークグループマネージャ」のインスペクタを使って、無変換のディレクトリデータを表示または

編集することができます。インスペクタにより、「ワークグループマネージャ」では表示できない

ディレクトリデータを表示できます。さらに、インスペクタにより、「ワークグループマネージャ」

で変更できないディレクトリデータを編集することもできます。たとえば、インスペクタを使えば、

ユーザの最初のショートネームを変更できます。

手順については、以下を参照してください： •

161 ページの「ディレクトリインスペクタを表示する」

•

162 ページの「ディレクトリインスペクタを隠す」 •

162 ページの「ユーザのショートネームを変更する」

•

163 ページの「レコードを削除する」

ディレクトリインスペクタを表示する「ワークグループマネージャ環境設定」のオプションを選択することによって、インスペクタを「ワー

クグループマネージャ」に表示できます。その後、インスペクタを使って無変換のディレクトリデー

タを表示または編集できます。

インスペクタを表示するには： 1 「ワークグループマネージャ」を開き、「ワークグループマネージャ」＞「環境設定」と選択します。

2 「“すべてのレコード”タブとインスペクタを表示する」を選択し、「 OK」をクリックします。

3 ユーザ、グループ、またはコンピュータリストの属性を表示するには、「ユーザ」ボタン、「グルー

プ」ボタン、または「コンピュータリスト」ボタン（左側）をクリックしてから、「インスペクタ」

（右側）をクリックします。

4 ほかのタイプのレコードを表示するには、「すべてのレコード」ボタン（「コンピュータリスト」ボ

タンの横にあります）をクリックし、リストの上部にあるポップアップメニューからレコードタイ

プを選びます。

ポップアップメニューには、ディレクトリドメインに存在するすべての標準レコードタイプがリス

トされます。また、ポップアップメニューから「ネイティブ」を選び、ポップアップメニューの下

に表示されるボックスにネイティブのレコードタイプの名前を入力することもできます。リストに

は、すでに定義されているレコードを含む、現在選択済みのレコードタイプのすべてのレコードが

表示されます。

警告：ディレクトリ内の無変換データを変更すると、予期しない、好ましくない結果が生じる可能性があります。不注意によりユーザやコンピュータが機能しなくなってしまったり、うっかりして

ほかのリソースにアクセスするようユーザを認証してしまうことがあります。


162

ディレクトリインスペクタを隠すインスペクタが「ワークグループマネージャ」に表示されている場合は、「ワークグループマネー

ジャ環境設定」のオプションを変更することで隠すことができます。

インスペクタを隠すには： 1 「ワークグループマネージャ」を開き、「ワークグループマネージャ」＞「環境設定」と選択します。

2 「“すべてのレコード”タブとインスペクタを表示する」の選択を解除し、「 OK」をクリックします。

ユーザのショートネームを変更する「ワークグループマネージャ」でインスペクタを使って、ユーザの最初のショートネームなどの、ユー

ザのショートネーム（ 1つまたは複数）を変更できます。

ユーザアカウントのショートネームを変更するには： 1 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。

2 「アカウント」ボタンをクリックしてから、「ユーザ」ボタンをクリックします。

3 ショートネームを変更するユーザアカウントを含むディレクトリドメインを開き、ドメインの管理

者として認証します。



4 変更するショートネームのアカウントを選択し、「インスペクタ」（右側）をクリックします。

5 属性のリストで RecordNameを探します。 RecordNameの横に三角が表示されている場合は、その三角をクリックしてすべての RecordName値を表示します。

RecordName属性は、ユーザのショートネーム（ 1つまたは複数）を保存します。

6 変更するショートネームである RecordName値をダブルクリックし、次に別のショートネームを入力して Returnキーを押します。

RecordName値をクリックしてから、「編集」をクリックして編集するシートの値を変更することもできます。


警告：ユーザの最初のショートネームを変更すると、予期しない、好ましくない結果が生じることがあります。その他のサービスは、各ユーザの最初のショートネームを一意の持続的な ID として使用します。たとえば、ユーザの最初のショートネームを変更しても、ユーザのホームディレクト

リの名前は変更されません。ユーザが偶然グループのメンバーシップから自分のホームディレクト

リにアクセスしない限り、ユーザには同じホームディレクトリがあります（その名前がユーザの新

しい最初のショートネームと一致しない場合でも同様です）。


ディレクトリアクセス制御（ DAC）を設定するオープンディレクトリでは、 LDAPディレクトリのすべての部分に対してディレクトリアクセス制御（ DAC）を定義できます。これにより、だれが何を変更できるかをきめ細かく制御できます。オープンディレクトリでは、 DACを apple-aclレコードに保存します。このレコードは、「ワークグループマネージャ」のインスペクタを使って編集できます。

ディレクトリアクセス制御を変更するには： 1 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。

2 アクセス制御を設定するディレクトリドメインを開き、ドメインの管理者として認証します。



3 「すべてのレコード」ボタン（「コンピュータリスト」ボタンの横にあります）をクリックし、リストの上部にあるポップアップメニューから「 AccessControls」を選択します。

4 レコードのリストから「デフォルト」を選択します。

5 属性のリストで AccessControlEntryを探します。 AccessControlEntryの横に三角が表示されている場合は、その三角をクリックしてすべてのアクセス制御エントリーを表示します。

6

AccessControlEntry を選択し、「編集」をクリックして値を変更するか、「新規の値」をクリックして AccessControlEntry値を追加します。

値をダブルクリックして、その場所で編集することもできます。


レコードを削除する「ワークグループマネージャ」のインスペクタを使って、任意の種類のレコードを削除することがで

きます。

インスペクタを使ってレコードを削除するには： 1 「ワークグループマネージャ」を開き、インスペクタが隠されている場合は表示します。

2 レコードを削除するディレクトリドメインを開き、ドメインの管理者として認証します。



3 「すべてのレコード」ボタン（「コンピュータリスト」ボタンの横にあります）をクリックし、リストの上部にあるポップアップメニューから目的のレコードタイプを選択します。

4 レコードのリストから削除するレコードを 1つ以上選択します。

5 「削除」をクリックします（または、「サーバ」＞「選択したレコードを削除」と選択します）。

警告：レコードを削除すると、サーバの動作が不安定になったり停止したりすることがあります。サーバの適正な機能には不要であることが分かるまで、どのレコードも削除しないでください。


164

任意のタイプのレコードを読み込む「ワークグループマネージャ」を使うと、すべてのタイプのレコードをオープンディレクトリのマス

ターの LDAPディレクトリに読み込むことができます。ユーザ、グループ、コンピュータリスト、コンピュータ、およびその他の Mac OS X の標準のレコードタイプがすべて含まれます。一般的なレコードタイプと属性については、 216 ページの「オープンディレクトリの標準のレコードタイプと属性」を参照してください。

読み込むことができるレコードタイプと属性のリストについては、次のファイルを参照してください：

/システム /ライブラリ /Frameworks/DirectoryService.framework/Headers/DirServicesConst.h

任意のタイプのレコードを読み込む手順については、ユーザ管理ガイドを参照してください。

オープンディレクトリの複製を管理するオープンディレクトリの複製をスケジュールしたり、要求されたときに複製したりできます。また、

複製をマスターに昇格したり、複製のサービスを無効にしたりできます。手順については、以下を

参照してください： •「オープンディレクトリのマスターの複製をスケジュールする」（次のセクション） •

165 ページの「要求されたときにオープンディレクトリの複製を同期させる」

•

165 ページの「オープンディレクトリの複製を昇格する」 •

166 ページの「オープンディレクトリの複製をデコミッションする」

オープンディレクトリのマスターの複製をスケジュールする「サーバ管理」を使って、オープンディレクトリのマスターがディレクトリおよび認証情報に加えら

れた変更に伴って、その複製を更新する頻度を指定できます。マスターは、マスター・ディレクト

リドメイン内で変更があるたびに複製を更新することも、指定したスケジュールで更新することも

できます。

オープンディレクトリのマスターがその複製を更新する頻度を指定するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでオープンディレクトリのマスターサーバのオープンディレクトリを選択します。


3 複製の頻度を指定します。

「クライアントへの複製 __ ディレクトリが変更されるたび」：複製の正確さは維持しますが、ネット

ワークの負荷が増えます。複製が低速のネットワークリンクを介して接続されている場合は、マス

ターのパフォーマンスが低下することがあります。

「クライアントへの複製 __ ごと」：少ない頻度での更新をスケジュールできます（長めの間隔を指定

します）。更新の頻度を少なくすると、マスターとその複製の間のネットワーク接続が少なくなるた

め、複製の正確さも少なくなります。複製がすべてマスターと同じ LAN 上にない場合は、ネットワーク接続が少ない方が望ましい場合もあります。



要求されたときにオープンディレクトリの複製を同期させるオープンディレクトリのマスターは、自動的に自身のディレクトリと認証データを登録済みの複製

と同期させますが、「サーバ管理」を使うと、要求されたときにデータと選択した複製を同期させる

ことができます。

要求されたときにオープンディレクトリの複製を同期させるには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでオープンディレクトリのマスターサーバのオープンディレクトリを選択します。


3 リストで複製を選び、「すぐに複製」をクリックします。

オープンディレクトリの複製を昇格するオープンディレクトリのマスターに障害が発生し、バックアップから回復できない場合は、複製を

マスターに昇格することができます。昇格したマスターは、複製の既存のディレクトリと認証デー

タベースを使用します。その後、古いマスターのその他の複製をすべてスタンドアロンサーバに変

換してから、新しいマスターの複製にする必要があります。

重要：この手順を使用するのは、オープンディレクトリのマスターを複製に置き換える場合だけです。オープンディレクトリのマスターを使用中にしたまま、その複製を別のマスターにする場合は、

この手順を使用しないでください。代わりに、 166 ページの「オープンディレクトリの複製をデコミッションする」および 75 ページの「オープンディレクトリのマスターを設定する」で説明するように、複製をデコミッションしてからマスターにします。

オープンディレクトリの複製を昇格するには： 1 「サーバ管理」で、マスターに昇格する複製に接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


3 「役割」ポップアップメニューから「オープンディレクトリのマスター」を選び、必要な情報を入力します。

•「ドメイン管理者のユーザ名」：サーバの LDAPディレクトリドメインの管理者のユーザ名。 •「ドメイン管理者のパスワード」：入力したユーザ名の管理者アカウントのパスワード。


5 「サーバ管理」で、古いマスターの別の複製に接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。

6 「設定」をクリックしてから、「一般」をクリックします。

7 「役割」ポップアップメニューから「スタンドアロン」を選び、「保存」をクリックします。


166

8 「役割」ポップアップメニューから「オープンディレクトリの複製」を選び、必要な情報を入力します。

•「オープンディレクトリのマスターの IP アドレス」：新しいオープンディレクトリのマスターであるサーバの IPアドレスを入力します。

•「オープンディレクトリのマスターのルートパスワード」：新しいオープンディレクトリのマスターシステムのルートユーザ（ユーザ名が「 System Administrator」）のパスワードを入力します。

•「マスターにおけるドメイン管理者のユーザ名」： LDAPディレクトリドメインの管理者の名前を入力します。

•「マスターにおけるドメイン管理者のパスワード」：入力した名前のドメイン管理者のパスワードを入力します。


10 古いマスターの追加の複製ごとに、手順 5～ 9 を繰り返します。

11 複製とマスターの日付、時刻、および時間帯が正しいことを確認します。

複製とマスターは同じネットワーク・タイム・サービスを使用するため、時計は常に同期されます。

ほかのコンピュータが古いオープンディレクトリのマスターの LDAP ディレクトリに接続されていた場合は、新しいマスターの LDAP ディレクトリを使用するようにその接続を再設定する必要があります： •

Mac OS Xおよび Mac OS X Serverコンピュータのカスタム検索方式に古いマスターの LDAPディレクトリが含まれていた場合は、代わりに新しいマスターの LDAP ディレクトリに接続するように各コンピュータを再設定する必要があります。「ディレクトリアクセス」の「サービス」および

「認証」パネルを使用します。手順については、 126 ページの「 LDAP ディレクトリにアクセスするための設定を削除する」および 120 ページの「 LDAPディレクトリへのアクセスを設定する」を参照してください。

•

DHCPサービスで古いマスターの LDAP URL を自動検索方式のコンピュータに提供していた場合は、代わりに新しいマスターの LDAP URLを提供するように DHCPサービスを再設定する必要があります。自動検索方式の Mac OS Xおよび Mac OS X Serverコンピュータを再設定する必要はありません。これらのコンピュータは、次回の起動時に、アップデートされた DHCPサービスから適切な LDAP URLを取得します。ネットワークサービス管理ガイドの DHCPの章を参照してください。

オープンディレクトリの複製をデコミッションするオープンディレクトリの複製のサービスを無効にするには、その複製をスタンドアロンサーバにす

るか、ディレクトリおよび認証サービス用の別のシステムに接続します。

オープンディレクトリの複製をデコミッションするには： 1 オープンディレクトリのマスターとデコミッションする複製との間でネットワーク接続が機能して

いることを確認します。

複製をデコミッションするときは、マスターと複製の間でポート 389および 636が開いている必要があります。 LDAPでは、マスターで SSLが無効になっている場合はポート 389を、 SSL が有効になっている場合はポート 636 を使用します。（ポート 22 は SSH 用に使用されますが、複製をデコミッションするために開いている必要はありません。）


重要：複製とマスターの間にネットワーク接続がないときに複製をデコミッションすると、デコミッションした複製がマスターの複製リストに残ります。さらに、マスターは、マスターサーバのオー

プンディレクトリ・サービスの「一般」設定パネルで指定した内容に従って、デコミッションした

複製に複製しようとします。

2 「サーバ管理」で、デコミッションする複製に接続し、「コンピュータとサービス」リストで、このサーバのオープンディレクトリを選択します。


4 「役割」ポップアップメニューをクリックし、「スタンドアロンサーバ」または「ディレクトリシステムに接続」を選択して、必要な情報を入力します。

•「ドメイン管理者のユーザ名」：オープンディレクトリのマスターの LDAPディレクトリの管理者のユーザ名。

•「ドメイン管理者のパスワード」：入力したユーザ名の管理者アカウントのパスワード。 •「オープンディレクトリのマスターのルートパスワード」：オープンディレクトリのマスターシステムのルートユーザ（ユーザ名が「 System Administrator」）のパスワード。


オープンディレクトリのマスターと複製の間にネットワーク接続があれば、マスターは複製に接続

しなくなるようにアップデートされます。

6 役割のポップアップメニューから「ディレクトリシステムに接続」を選択した場合は、「オープン

ディレクトリアクセス」ボタンをクリックして、 1つ以上のディレクトリシステムにアクセスするように設定します。

特定の種類のディレクトリサービスへのアクセスの設定手順については、第 7 章「ディレクトリアクセスを管理する」を参照してください。

オープンディレクトリのマスターをアーカイブする「サーバ管理」を使うと、オープンディレクトリのマスターのディレクトリと認証データのコピーを

アーカイブできます。オープンディレクトリのマスターのサービスが稼動中のときも、データのコ

ピーをアーカイブできます。

次のファイルがアーカイブされます： •

LDAPディレクトリのデータベースと設定ファイル

• オープンディレクトリ・パスワード・サーバのデータベース •

Kerberos のデータベースと設定ファイル

•

NetInfoのローカルドメインとシャドウパスワードのデータベース

オープンディレクトリのマスターの信頼できるアーカイブがある場合は、事実上マスターのすべて

の複製のアーカイブがあることになります。複製が問題の原因になる場合は、単純にそのオープン

ディレクトリの役割をスタンドアロンサーバに変更することができます。その後、サーバを新品の

サーバのように新しいホスト名で設定して、それを以前と同じマスターの複製として設定します。


168

重要：オープンディレクトリ・パスワードのデータベース、 Kerberosデータベース、および Kerberosの「 keytab」ファイルのコピーが含まれているアーカイブメディアは、慎重に保護してください。アーカイブには、共有 LDAP ディレクトリドメインとローカル NetInfo ディレクトリドメインの両方に、オープンディレクトリのパスワードを持つすべてのユーザのパスワードが含まれています。

アーカイブメディアのセキュリティ対策は、オープンディレクトリのマスターサーバの場合と同様

に厳しくする必要があります。

オープンディレクトリのマスターをアーカイブするには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストでオープンディレクトリのマスターサーバのオープンディレクトリを選択します。

2 「アーカイブ」（ウインドウの下部にあります）をクリックします。

3 オープンディレクトリのデータをアーカイブするフォルダのパスを入力し、「アーカイブ」ボタンを

クリックします。

フォルダのパスを入力するか、ブラウズボタン（ ...）をクリックしてパスを選択することができます。

4 アーカイブの暗号化に使用する名前とパスワードを入力し、「 OK」をクリックします。

オープンディレクトリのマスターを復元する「サーバ管理」を使うと、オープンディレクトリのマスターのディレクトリと認証データをアーカイ

ブから復元できます。次のファイルが復元されます： •

LDAPディレクトリのデータベースと設定ファイル

• オープンディレクトリ・パスワード・サーバのデータベース •

Kerberos のデータベースと設定ファイル

•

NetInfoのローカルドメインとシャドウパスワードのデータベース

アーカイブをオープンディレクトリのスタンドアロンサーバに復元すると、そのサーバはオープン

ディレクトリのマスターになり、アーカイブの作成元になったマスターと同じデータを持ちます。

アーカイブをオープンディレクトリのマスターサーバに復元すると、アーカイブデータが既存のマ

スターのデータと結合されます。結合の作業中に競合が発生した場合は、既存のレコードがアーカ

イブのレコードより優先され、アーカイブのレコードは無視されます。競合は「 slapconfig」ログファイル（「 /ライブラリ /Logs/slapconfig.log」）に記録されます。このファイルは、「サーバ管理」を使って表示できます。 160 ページの「オープンディレクトリの状況とログを表示する」を参照してください。

オープンディレクトリのマスターをアーカイブから復元するのではなく、複製をマスターに昇格し

た方が良い結果を得られることもあります。複製にアーカイブより新しいディレクトリと認証デー

タがある場合があります。

オープンディレクトリのマスターをアーカイブから復元したら、オープンディレクトリの複製を再

作成する必要があります。


重要：アーカイブの復元は、ディレクトリと認証データをシステム間で移動する手段として使用しないでください。代わりに、ソースディレクトリから書き出して、移動先のディレクトリに読み込

んでください。ディレクトリデータの書き出しと読み込みについて詳しくは、ユーザ管理ガイドを

参照してください。

オープンディレクトリのマスターをアーカイブから復元するには： 1 「サーバ管理」を開き、「コンピュータとサービス」リストで、オープンディレクトリのスタンドアロンサーバまたはオープンディレクトリのマスターサーバのオープンディレクトリを選択します。

オープンディレクトリのスタンドアロンサーバを復元操作の対象として選択する場合、そのサーバ

は、アーカイブに含まれているディレクトリと認証データを持つオープンディレクトリのマスター

になります。

オープンディレクトリのマスターサーバを復元操作の対象として選択する場合、アーカイブのディ

レクトリと認証データは、対象のサーバのディレクトリと認証データと結合されます。対象のサー

バの Kerberos 保護領域名は、アーカイブの作成元のマスターと同じでなければなりません。

2 「アーカイブ」（ウインドウの下部にあります）をクリックします。

3 オープンディレクトリのアーカイブファイルのパスを入力し、「復元」ボタンをクリックします。

パスを入力するか、ブラウズボタン（ ...）をクリックしてアーカイブファイルを選択することができます。

4 アーカイブの作成時に暗号化に使用したパスワードを入力し、「 OK」をクリックします。

5 既存のオープンディレクトリの複製サーバをすべてオープンディレクトリのスタンドアロンサーバ

に変換してから、新しいマスターの複製にします。

手順については、 73 ページの「スタンドアロンサーバを設定する」および 77 ページの「オープンディレクトリの複製を設定する」を参照してください。

オープンディレクトリのマスターと複製の問題を解決する Kerberosがオープンディレクトリのマスターまたは複製で停止するオープンディレクトリのマスターでシングルサインオンの Kerberos認証を提供するためには、 DNSを正しく設定する必要があります。

DNSが Kerberos用に正しく設定されていることを確認するには： 1

DNSサービスが完全修飾 DNS名を解決し、対応するリバース lookupを提供するように設定されていることを確認します。

DNS では、オープンディレクトリのマスターサーバ、すべての複製サーバ、および Kerberos 保護領域のメンバーであるその他のサーバについて、完全修飾 DNS名を解決し、リバース lookupを提供する必要があります。

「ネットワークユーティリティ」（「 /アプリケーション /ユーティリティ /」にあります）の「 Lookup」パネルを使用すると、サーバの DNS 名から DNS lookup を、サーバの IP アドレスからリバース lookupを実行できます。

DNSサービスの設定手順については、ネットワークサービス管理ガイドを参照してください。


170

2 オープンディレクトリのマスターサーバのホスト名が、サーバのローカルホスト名ではなく、正し

い完全修飾 DNS 名であることを確認します。

たとえば、ホスト名は ods.example.com になることがありますが、 ods.local になることはありません。

ホスト名を確認するには、「ターミナル」を開いて、 hostnameと入力し、 Returnキーを押します。

オープンディレクトリ・サーバのホスト名が完全修飾 DNS名でない場合は、オープンディレクトリ・サーバの「ネットワーク」環境設定で、 DNSサーバのリストを一時的に消去して、「適用」をクリックしてみます。次に、 DNSサーバの IPアドレスを 1つ以上再入力します。オープンディレクトリ・サーバの名前を解決するプライマリ DNS サーバから始めて、「ネットワーク」環境設定でもう一度「適用」をクリックします。

それでもオープンディレクトリ・サーバのホスト名が完全修飾 DNS名でない場合は、サーバを再起動してみます。

3 オープンディレクトリのマスターサーバの「ネットワーク」環境設定がサーバの名前を解決する DNSサーバを使用するように設定されていることを確認します。

オープンディレクトリのマスターサーバで独自の DNS サービスを提供している場合は、サーバの「ネットワーク」環境設定でマスターサーバ自体を DNS サーバとして使用するように設定する必要があります。

サーバの DNS 設定が正しいことを確認したら、 Kerberosを開始してみることができます。 82 ページの「オープンディレクトリのマスターを設定した後で Kerberosを起動する」を参照してください。

オープンディレクトリの複製を作成できない 2つの複製を同時に作成しようとすると、 1つは成功しますが、もう 1つは失敗します。その後、 2つ目の複製を作成しようとすると、成功するはずです。それでも 2 つ目の複製を作成できない場合は、「 /var/run/」フォルダに移動し、「 slapconfig.lock」ファイルを探して、そのファイルが存在する場合は取り除きます。または、サーバを再起動することもできます。

ディレクトリアクセスの問題を解決する起動時にディレクトリサービスにアクセスする際の問題には、いくつかの原因が考えられます。

起動に時間がかかる Mac OS Xまたは Mac OS X Serverで、進行状況バーの上に NetInfo、 LDAP、またはディレクトリサービスに関するメッセージが表示されているときに起動に時間がかかることがある場合は、コン

ピュータが、ネットワーク上で利用できない NetInfo ドメインまたは LDAP ディレクトリにアクセスしようとしている可能性があります。 •

LDAPサーバが接続されているネットワークからポータブルコンピュータの接続を解除すると、起動時に一時停止することがありますが、これは正常です。

•「ディレクトリアクセス」を使って、 NetInfoおよび LDAP設定が正しいことを確認します。


•「システム環境設定」の「ネットワーク」パネルを使って、コンピュータのネットワークの場所とその他のネットワーク設定が正しいことを確認します。

• 物理的なネットワーク接続の障害を調査します。

認証の問題を解決する認証サービスに関するよくある問題を解決できます。

ユーザのオープンディレクトリ・パスワードを変更できないパスワードタイプがオープンディレクトリのユーザのパスワードを変更するには、ユーザのレコー

ドが置かれているディレクトリドメインの管理者である必要があります。さらに、ユーザアカウン

トのパスワードタイプがオープンディレクトリである必要があります。

通常、オープンディレクトリのマスターを設定（「サーバアシスタント」、または「サーバ管理」の

オープンディレクトリのサービス設定を使用）したときに指定したユーザアカウントには、オープ

ンディレクトリのパスワードがあります。このアカウントを使用して、ほかのユーザアカウントを、

オープンディレクトリのパスワードを持つディレクトリドメインの管理者として設定できます。

ほかの方法がすべて失敗したときは、ルート・ユーザ・アカウントを使用して、オープンディレク

トリのパスワードを持つディレクトリ管理者としてユーザアカウントを設定してみます。（ルート・

ユーザ・アカウントの名前は「 root」です。通常、そのパスワードは、サーバの初期設定時に作成した管理者アカウントに最初に指定したパスワードと同じです。）

ユーザが一部のサービスにアクセスできない認証が必要なサービスにユーザがアクセスできるときとできないときがある場合は、ユーザのパス

ワードを「 password」などの単純な文字列に一時的に変更してみます。これで問題が解決する場合は、ユーザの以前のパスワードに、一部のサービスで許可されていない文字が含まれていたことに

なります。たとえば、一部のサービスではパスワードにスペースを含めることができますが、スペー

スを含めることのできないサービスもあります。

ユーザが VPNサービスに対して認証できないアカウントが Mac OS X Server バージョン 10.2 を搭載したサーバに保存されているユーザは、 Mac OS X Server バージョン 10.3～ 10.4で提供されている VPNサービスに対する認証はできません。 VPNサービスには MS-CHAPv2による認証方法が必要ですが、これは Mac OS X Server v 10.2ではサポートされていません。このようなユーザアカウントを Mac OS X Serverバージョン 10.3～ 10.4 を搭載したサーバに移動すれば、影響を受けるユーザがログインできるようになります。もう 1つの方法として、古いサーバを Mac OS X Serverバージョン 10.4以降にアップグレードすることができます。


172

ユーザのパスワードタイプをオープンディレクトリに変更できないユーザのパスワードタイプをオープンディレクトリ認証に変更するには、ユーザのレコードが置か

れているディレクトリドメインの管理者である必要があります。さらに、ユーザアカウントがオー

プンディレクトリ認証用に設定されている必要があります。オープンディレクトリのマスターを設

定（「サーバアシスタント」、または「サーバ管理」のオープンディレクトリのサービス設定を使用）

したときに指定したユーザアカウントには、オープンディレクトリのパスワードがあります。この

アカウントを使用して、ほかのユーザアカウントを、オープンディレクトリのパスワードを持つディ

レクトリドメインの管理者として設定できます。

パスワードサーバに依存するユーザがログインできないネットワークに Mac OS X Server バージョン 10.2を使用するサーバがある場合、そのサーバは、別のサーバが管理するオープンディレクトリ・パスワード・サーバから認証を受けるように設定でき

ます。コンピュータの Ethernetポートからケーブルを外したりして、パスワードサーバのコンピュータがネットワークから接続解除されると、パスワードサーバを使用してパスワードを検証される

ユーザはログインできません。これは、パスワードサーバの IPアドレスにアクセスできないためです。

パスワードサーバのコンピュータをネットワークに再接続すれば、ユーザは Mac OS X Server にログインできます。また、パスワードサーバのコンピュータがオフラインのときは、パスワードタイプ

が暗号化パスワードまたはシャドウパスワードのユーザアカウントを使用してログインできます。

ユーザが共有ディレクトリドメインのアカウントを使ってログインできないディレクトリを管理するサーバにアクセスできない場合、ユーザは、共有ディレクトリドメインの

アカウントを使用してログインできません。ネットワーク、サーバソフトウェア、またはサーバハー

ドウェアの問題のために、サーバにアクセスできなくなることがあります。サーバのハードウェア

やソフトウェアの問題は、 Mac OS X コンピュータにログインしようとするユーザや、 Mac OS XServer PDCの Windowsドメインにログインしようとするユーザに影響します。ネットワークの問題は、その場所によって、影響を受けるユーザと受けないユーザが存在する場合があります。

モバイル・ユーザ・アカウントを使用するユーザは、以前使用した Mac OS X コンピュータに依然としてログインすることができます。また、これらの問題の影響を受けるユーザも、 Mac OS Xをインストールした後の初期設定時に作成したユーザアカウントなど、コンピュータ上に定義されてい

るローカル・ユーザ・アカウントを使用してログインできます。

Active Directoryユーザとしてログインできない「ディレクトリアクセス」の「サービス」パネルで Active Directory ドメインへの接続を設定して、「認証」パネルでカスタム検索方式に追加したら、変更が有効になるまで 10～ 15秒待機する必要があります。 Active Directoryアカウントを使用してすぐにログインしようとしても、失敗します。


ユーザがシングルサインオンまたは Kerberosを使用して認証できない Kerberos を使用するユーザまたはサービスが認証に失敗したときは、次の方法を試してください： •

Kerberos 認証は、暗号化されたタイムスタンプが基準になっています。 KDC、クライアント、およびサービスコンピュータの間で 5 分以上の誤差があると、認証が失敗することがあります。 Mac OS X Server の NTP（ Network Time Protocol）または別のネットワーク・タイム・サーバを使用して、必ずすべてのコンピュータの時計を同期させてください。 Mac OS X Serverの NTPサービスについては、ネットワークサービス管理ガイドを参照してください。

• オープンディレクトリのマスターと複製で Kerberosが動作していることを確認します。 169 ページの「 Kerberosがオープンディレクトリのマスターまたは複製で停止する」を参照してください。

• パスワード検証に使用する Kerberosサーバが有効でない場合は、ユーザのパスワードを再設定して使用可能なサーバを使用してください。

•

Kerberos 対応のサービスを提供するサーバが Kerberos サーバのディレクトリドメインにアクセスできること確認します。また、このディレクトリドメインに、 Kerberosを使用して認証しようとしているユーザのアカウントが含まれていることを確認します。ディレクトリドメインへのア

クセスの設定については、第 7 章「ディレクトリアクセスを管理する」を参照してください。 • オープンディレクトリ・サーバの Kerberos 保護領域の場合は、クライアントのコンピュータが、適切な検索ベースのサフィックスを使用してオープンディレクトリ・サーバの LDAP ディレクトリにアクセスするように設定されていることを確認します。クライアントの LDAPv3 検索ベースのサフィックスの設定は、 LDAPディレクトリの検索ベースの設定と一致する必要があります。クライアントの LDAPv3検索ベースのサフィックスは、クライアントがサーバから LDAPマッピングを取得する場合は空欄にすることができます。この場合、クライアントは、 LDAP ディレクトリのデフォルトの検索ベースのサフィックスを使用します。 • クライアントの検索ベースのサフィックスの設定をチェックするには、「ディレクトリアクセス」を開き、 LDAPv3設定のリストを表示して、「 LDAPマッピング」ポップアップメニューから、メニューですでに選択されている項目を選択します。手順については、 124 ページの「 LDAPディレクトリにアクセスするための設定を変更する」を参照してください。

•

LDAPディレクトリの検索ベースの設定をチェックするには、「サーバ管理」を開き、オープンディレクトリ・サービスの「設定」パネルの「プロトコル」パネルで確認します。

• 問題の解決に役立つ情報については、 KDC のログを参照してください。 160 ページの「オープンディレクトリの状況とログを表示する」を参照してください。

• ユーザレコードを作成したとき、読み込んだとき、または以前のバージョンの Mac OS Xからアップデートしたときに、 Kerberosが動作していなかった場合、それらのレコードは Kerberos 認証に対応していないことがあります。 • レコードの認証機関属性に ;Kerberosv5;値がない場合、そのレコードは Kerberosに対応していません。「ワークグループマネージャ」のインスペクタを使用すると、ユーザレコードの認証機

関属性の値（ 1つまたは複数）を確認できます。 • ユーザレコードで Kerberosを有効にするには、パスワードタイプを変更します。まずパスワードタイプを暗号化パスワードに変更してから、次にオープンディレクトリに設定します。詳し

い手順については、 97 ページの「パスワードのタイプを暗号化パスワードに変更する」および 96 ページの「パスワードタイプをオープンディレクトリに変更する」を参照してください。


174

• オープンディレクトリのマスターの Kerberos保護領域に接続されているサーバが提供するサービスに対して、ユーザがシングルサインオンまたは Kerberosを使用して認証できない場合は、オープンディレクトリのマスターの LDAP ディレクトリでサーバのコンピュータレコードが正しく設定されていない可能性があります。特に、コンピュータ・リスト・アカウントのサーバの名前は、

単にサーバのホスト名であるだけでなく、サーバの完全修飾 DNS名でなければなりません。たとえば、その名前は server2.example.comとすることはできますが、単に server2とすることはできません。

シングルサインオンの Kerberos認証用にサーバのコンピュータレコードを再設定するには： 1

LDAPディレクトリのコンピュータ・リスト・アカウントからサーバを削除します。

この手順と次の手順について詳しくは、ユーザ管理ガイドを参照してください。

2 サーバをコンピュータリストにもう一度追加します。

3 サーバをオープンディレクトリのマスターの Kerberos保護領域に接続するように、権限をもう一度委任します。

手順については、 83 ページの「オープンディレクトリの Kerberos 保護領域に接続する権限を委任する」を参照してください。

4 サーバをオープンディレクトリの Kerberos保護領域に再接続します。

手順については、 85 ページの「サーバを Kerberos保護領域に接続する」を参照してください。

ユーザが自分のパスワードを変更できない Mac OS X Server によって管理されていない LDAP ディレクトリにアカウントがあり、パスワードタイプが暗号化パスワードのユーザは、 Mac OS X バージョン 10.3 を搭載したクライアントコンピュータからログインした後で自分のパスワードを変更することはできません。「ワークグループマ

ネージャ」の「詳細」パネルを使用して、それらのユーザのアカウントの「ユーザのパスワードの

タイプ」設定を「オープンディレクトリ」に変更すれば、それらのユーザは自分のパスワードを変

更できます。この変更を行うときは、新しいパスワードも入力する必要があります。その後、ユー

ザに対して、この新しいパスワードを使用してログインし、「システム環境設定」の「アカウント」

パネルでパスワードを変更するように指示してください。

サーバをオープンディレクトリの Kerberos保護領域に接続できない委任された Kerberos権限を持つユーザがサーバをオープンディレクトリのマスターの Kerberos保護領域に接続できない場合は、オープンディレクトリのマスターの LDAP ディレクトリでサーバのコンピュータレコードが正しく設定されていない可能性があります。特に、コンピュータ・リスト・

アカウントのサーバのアドレスは、サーバのプライマリ Ethernet アドレスでなければなりません。プライマリ Ethernetアドレスとは、サーバの「ネットワーク」環境設定パネルに表示されるネットワークポート設定のリストの中で 1番目の Ethernetポートの Ethernet IDのことです。

Kerberos保護領域に接続するように、サーバのコンピュータレコードを再設定するには： 1

LDAPディレクトリのコンピュータ・リスト・アカウントからサーバを削除します。

この手順と次の手順について詳しくは、ユーザ管理ガイドを参照してください。

2 サーバをコンピュータリストにもう一度追加します。


3 サーバをオープンディレクトリのマスターの Kerberos保護領域に接続するように、権限をもう一度委任します。

Kerberos管理者アカウント（ LDAPディレクトリの管理者アカウント）を使用してサーバを Kerberos保護領域に再接続できる場合は、この手順をスキップすることができます。そうでない場合、手順

については、 83 ページの「オープンディレクトリの Kerberos保護領域に接続する権限を委任する」を参照してください。

4 サーバをオープンディレクトリの Kerberos保護領域に再接続します。

手順については、 85 ページの「サーバを Kerberos保護領域に接続する」を参照してください。

管理者パスワードをリセットする Mac OS X Server のインストールディスクを使って、「 System Administrator」（ルートまたはスーパーユーザ）アカウントなどの管理者権限を持つユーザアカウントのパスワードを変更することが

できます。

重要：インストールディスクを使うユーザはサーバへの制限なしのアクセスを得られるため、サーバハードウェアへの物理的なアクセスを制限する必要があります。

管理者アカウントのパスワードを変更するには： 1

Mac OS X Serverの「 Install Disc 1」から起動します。

2 インストーラが表示されたら、「ユーティリティ」＞「リセットパスワード」と選択します。

3 パスワードをリセットする管理者アカウントを含むハード・ディスク・ボリュームを選択します。

4 ポップアップメニューから管理者アカウントを選び、新しいパスワードを入力して、「保存」をク

リックします。

「 System Administrator」はルートユーザ（スーパーユーザ）アカウントです。このアカウントを通常の管理者アカウントと混同しないでください。

あらかじめ定義されているユーザアカウントのパスワードは、変更しないようにしてください。あら

かじめ定義されているユーザアカウントについて詳しくは、ユーザ管理ガイドを参照してください。

参考：この手順により、サーバのローカル・ディレクトリドメインに保存されている管理者アカウントのパスワードが変更されます。サーバの共有ディレクトリドメインに保存されている管理者ア

カウントのパスワードがサーバにある場合、それは変更されません。

ローカルドメインに保存されている管理者アカウントのパスワードが分かっている場合は、この手

順ではなく「ワークグループマネージャ」を使って、ローカル・ディレクトリドメイン内のほかの

管理者アカウントのパスワードを変更できます。手順については、ユーザ管理ガイドを参照してく

ださい。


付録

Mac OS Xのディレクトリデータ

オープンディレクトリの LDAPスキーマと Mac OS Xのディレクトリドメインのレコードタイプおよび属性を理解していると、ほかのディレクトリドメインへのマップやユーザおよびグループアカウントの読み込み／書き出しの際に役に立ちます。

この付録では、 LDAPスキーマへのオープンディレクトリの拡張の仕様、オープンディレクトリ属性の LDAP および Active Directory 属性へのマッピング、およびさまざまなタイプのレコードの標準属性をリストしています。この情報は、次の場合に使用します： •

129 ページの「 LDAP 検索とマッピングを設定する」に記載されているように、アップル以外の LDAPディレクトリまたは Active Directoryドメインのオブジェクトクラスと属性をオープンディレクトリのレコードタイプおよび属性にマップする場合。

• ユーザ管理ガイドに記載されているように、ユーザまたはグループアカウントをオープンディレクトリのドメインに読み込み／書き出しする場合。

•

161 ページの「ディレクトリデータを直接表示して編集する」に記載されているように、「ワークグループマネージャ」のインスペクタパネルで作業する場合。

詳しくは、以下を参照してください： •

LDAPスキーマへのオープンディレクトリの拡張（ p. 178） • オープンディレクトリの LDAPスキーマオブジェクトクラス（ p. 178） • オープンディレクトリの LDAPスキーマ属性（ p. 185）

• 標準のレコードタイプおよび属性を LDAPおよび Active Directoryにマッピングする（ p. 201） • ユーザのマッピング（ p. 201） •

Groupsのマッピング（ p. 205）

•

Mountsのマッピング（ p. 206） •

Computersのマッピング（ p. 207）

•

ComputerListsのマッピング（ p. 208） •

Configのマッピング（ p. 209）

•

Peopleのマッピング（ p. 210） •

PresetComputerListsのマッピング（ p. 211）

•

PresetGroupsのマッピング（ p. 212） •

PresetUsersのマッピング（ p. 213）

•

Printersのマッピング（ p. 214） •

AutoServerSetup のマッピング（ p. 215）

177

178

• Locationsのマッピング（ p. 216） • ユーザレコード内の標準属性（ p. 217）

•

Mac OS X Serverが使用するユーザデータ（ p. 221） • グループレコード内の標準属性（ p. 222） • コンピュータレコード内の標準属性（ p. 223） • コンピュータリストレコード内の標準属性（ p. 224） • マウントレコード内の標準属性（ p. 224） • 設定レコード内の標準属性（ p. 225）

LDAPスキーマへのオープンディレクトリの拡張オープンディレクトリの LDAPディレクトリスキーマは、事実上、以下の IETF（ Internet EngineeringTask Force）の RFC（ Request for Comments）の文書で定義されている標準属性およびオブジェクトクラスに基づいています： •

RFC 2307 「 An Approach for Using LDAP as a Network Information Service」

•

RFC 2798 「 Definition of the inetOrgPerson LDAP Object Class」

LDAPスキーマの定義では、以下で定義されている構文 IDおよび一致規則を指定します： •

RFC 2252「 LDAPv3 Attributes」

これらの RFC は、次の IETFの Webサイトで参照できます：

www.ietf.org/rfc.html

これらの RFCで定義されている属性とオブジェクトクラスが、オープンディレクトリの LDAPスキーマの基礎になっています。

オープンディレクトリの LDAP ディレクトリの拡張されたスキーマには、以下で定義されている属性とオブジェクトクラスが含まれます： •「オープンディレクトリの LDAPスキーマオブジェクトクラス」（次のセクション） •

185 ページの「オープンディレクトリの LDAPスキーマ属性」

参考：アップルでは、たとえば新しいバージョンの Mac OS Xおよび Mac OS X Serverをサポートするために、将来オープンディレクトリの LDAP スキーマを拡張する可能性があります。最新のスキーマは、 Mac OS X Server がインストールされたコンピュータ上のテキストファイルで参照できます。このスキーマファイルは、「 /etc/openldap/schema/ directory」にあります。特に、「 apple.schema」ファイルには、オープンディレクトリの LDAP ディレクトリの最新のスキーマ拡張が含まれています。

オープンディレクトリの LDAPスキーマオブジェクトクラスこのセクションでは、標準 LDAP スキーマを拡張するオープンディレクトリの LDAP オブジェクトクラスを定義します。

付録 Mac OS X のディレクトリデータ

http://www.ietf.org/rfc.html

コンテナ構造のオブジェクトクラスコンテナは、 cn=users、 cn=groups、および cn=mountsといった最上位レベルのレコードのコンテナに使われる構造的オブジェクトクラスです。このオブジェクトクラスに類似したディレクトリ

サービスはありませんが、コンテナ名は各レコードタイプの検索ベースの一部になっています。

#objectclass (

# 1.2.840.113556.1.3.23

# NAME 'container'

# SUP top

# STRUCTURAL

# MUST ( cn ) )

TTL（ Time to Live）のオブジェクトクラス attributetype (

1.3.6.1.4.1.250.1.60

NAME 'ttl'

EQUALITY integerMatch

SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE )

ユーザのオブジェクトクラス apple-user オブジェクトクラスは、 inetOrgPerson または posixAccount に属していない Mac OSX固有の属性を保存するために使われる補助クラスです。このオブジェクトクラスは、 kDSStdRecordTypeUsersレコードと共に使用されます。

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.1

NAME 'apple-user'

SUP top

AUXILIARY

DESC 'apple user account'

MAY ( apple-user-homeurl $ apple-user-class $

apple-user-homequota $ apple-user-mailattribute $

apple-user-printattribute $ apple-mcxflags $

apple-mcxsettings $ apple-user-adminlimits $

apple-user-picture $ apple-user-authenticationhint $

apple-user-homesoftquota $ apple-user-passwordpolicy $

apple-keyword $ apple-generateduid $ apple-imhandle $

apple-webloguri $

authAuthority $ acctFlags $ pwdLastSet $ logonTime $

logoffTime $ kickoffTime $ homeDrive $ scriptPath $

profilePath $ userWorkstations $ smbHome $ rid $

primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $

userCertificate ) )

付録 Mac OS Xのディレクトリデータ 179

180

グループの補助オブジェクトクラス apple-groupオブジェクトクラスは、 posixGroupに属していない Mac OS X固有の属性を保存するために使われる補助クラスです。このオブジェクトクラスは、 kDSStdRecordTypeGroupsレコードと共に使用されます。

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.14

NAME 'apple-group'

SUP top

AUXILIARY

DESC 'group account'

MAY ( apple-group-homeurl $

apple-group-homeowner $

apple-mcxflags $

apple-mcxsettings $

apple-group-realname $

apple-user-picture $

apple-keyword $

apple-generateduid $

apple-group-nestedgroup $

apple-group-memberguid $

mail $

rid $

sambaSID $

ttl ) )

マシンの補助オブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.3

NAME 'apple-machine'

SUP top

AUXILIARY

MAY ( apple-machine-software $

apple-machine-hardware $

apple-machine-serves $

apple-machine-suffix $

apple-machine-contactperson ) )

マウントのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.8

NAME 'mount'

SUP top STRUCTURAL

MUST ( cn )


MAY ( mountDirectory $

mountType $

mountOption $

mountDumpFrequency $

mountPassNo ) )

プリンタのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.9

NAME 'apple-printer'

SUP top STRUCTURAL

MUST ( cn )

MAY ( apple-printer-attributes $

apple-printer-lprhost $

apple-printer-lprqueue $

apple-printer-type $

apple-printer-note ) )

コンピュータのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.10

NAME 'apple-computer'

DESC 'computer'

SUP top STRUCTURAL

MUST ( cn )

MAY ( apple-realname $

description $

macAddress $

apple-category $

apple-computer-list-groups $

apple-keyword $

apple-mcxflags $

apple-mcxsettings $

apple-networkview $

apple-xmlplist $

apple-service-url $

authAuthority $

uidNumber $ gidNumber $ apple-generateduid $ ttl $

acctFlags $ pwdLastSet $ logonTime $

logoffTime $ kickoffTime $ rid $ primaryGroupID $

sambaSID $ sambaPrimaryGroupSID ) )


182

コンピュータリストのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.11

NAME 'apple-computer-list'

DESC 'computer list'

SUP top STRUCTURAL

MUST ( cn )

MAY ( apple-mcxflags $

apple-mcxsettings $


apple-computers $


apple-keyword ) )

設定のオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.12

NAME 'apple-configuration'

DESC 'configuration'

SUP top STRUCTURAL

MAY ( cn $ apple-config-realname $

apple-data-stamp $ apple-password-server-location $

apple-password-server-list $ apple-ldap-replica $

apple-ldap-writable-replica $ apple-keyword $

apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $

ttl ) )

プリセットコンピュータリストのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.13

NAME 'apple-preset-computer-list'

DESC 'preset computer list'

SUP top STRUCTURAL

MUST ( cn )

MAY ( apple-mcxflags $

apple-mcxsettings $


apple-keyword ) )

プリセットグループのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.3.14

NAME 'apple-preset-group'

DESC 'preset group'


SUP top STRUCTURAL

MUST ( cn )

MAY ( memberUid $

gidNumber $

apple-group-homeurl $

apple-group-homeowner $

apple-mcxflags $

apple-mcxsettings $

apple-group-realname $

apple-keyword $

apple-group-nestedgroup $

apple-group-memberguid $

ttl ) )

プリセットユーザのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.15

NAME 'apple-preset-user'

DESC 'preset user'

SUP top STRUCTURAL

MUST ( cn )

MAY ( uid $

memberUid $

gidNumber $

homeDirectory $

apple-user-homeurl $

apple-user-homequota $

apple-user-homesoftquota $

apple-user-mailattribute $

apple-user-printattribute $

apple-mcxflags $

apple-mcxsettings $

apple-user-adminlimits $

apple-user-passwordpolicy $

userPassword $

apple-user-picture $

apple-keyword $

loginShell $

description $

shadowLastChange $

shadowExpire $

authAuthority $

homeDrive $ scriptPath $ profilePath $ smbHome $


184

apple-preset-user-is-admin ) )

認証機関のオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.16

NAME 'authAuthorityObject'

SUP top AUXILIARY

MAY ( authAuthority ) )

サーバアシスタント設定のオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.17

NAME 'apple-serverassistant-config'

SUP top AUXILIARY

MUST ( cn )

MAY ( apple-xmlplist ) )

場所のオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.18

NAME 'apple-location'

SUP top AUXILIARY

MUST ( cn )

MAY ( apple-dns-domain $ apple-dns-nameserver ) )

サービスのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.19

NAME 'apple-service'

SUP top STRUCTURAL

MUST ( cn $

apple-service-type )

MAY ( ipHostNumber $

description $

apple-service-location $

apple-service-url $

apple-service-port $

apple-dnsname $

apple-keyword ) )

関連グループのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.20

NAME 'apple-neighborhood'


SUP top STRUCTURAL

MUST ( cn )

MAY ( description $


apple-category $

apple-nodepathxml $

apple-neighborhoodalias $

apple-computeralias $

apple-keyword $

apple-realname $

apple-xmlplist $

ttl ) )

ACLのオブジェクトクラス

objectclass (

1.3.6.1.4.1.63.1000.1.1.2.21

NAME 'apple-acl'

SUP top STRUCTURAL

MUST ( cn $

apple-acl-entry ) )

オープンディレクトリの LDAPスキーマ属性このセクションでは、標準 LDAP スキーマを拡張するオープンディレクトリの LDAP 属性を定義します。

Time-to-Live 属性

objectclass (

1.3.6.1.4.1.250.3.18

NAME 'cacheObject'

AUXILIARY

SUP top

DESC 'Auxiliary object class to hold TTL caching information'

MAY ( ttl ) )

ユーザ属性 apple-user-homeurl

ホームディレクトリ情報を URL とパスの形式で保存します。これは、ディレクトリサービス内の kDS1AttrHomeDirectory属性タイプにマップします。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.6

NAME 'apple-user-homeurl'

DESC 'home directory URL'

EQUALITY caseExactIA5Match


186

SUBSTR caseExactIA5SubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

apple-user-class

使われていません。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.7

NAME 'apple-user-class'

DESC 'user class'




apple-user-homequotaホームディレクトリのクオータをキロバイト単位で指定します。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.8

NAME 'apple-user-homequota'

DESC 'home directory quota'




apple-user-mailattribute

メール関連の設定を XMLとして保存します。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.9

NAME 'apple-user-mailattribute'

DESC 'mail attribute'

EQUALITY caseExactMatch

SUBSTR caseExactSubstringsMatch


apple-mcxflags管理されたクライアント情報を保存します。この属性は、ユーザ、グループ、コンピュータ、およ

びコンピュータリストのレコード内にあります。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.10

NAME 'apple-mcxflags'

DESC 'mcx flags'





apple-mcxsettings管理されたクライアント情報を保存します。この属性は、ユーザ、グループ、コンピュータ、およ

びコンピュータリストのレコード内にあります。

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.1.11

# NAME 'apple-mcxsettings'

# DESC 'mcx settings'

# EQUALITY caseExactMatch

# SUBSTR caseExactSubstringsMatch

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.16

NAME ( 'apple-mcxsettings' 'apple-mcxsettings2' )

DESC 'mcx settings'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-user-pictureユーザレコードがログインウインドウに表示されるときに、これを使用するためのピクチャへの

ファイルシステムパスを保存します。これは、ネットワークユーザがログインウインドウのスクロー

ルリスト（管理されたネットワークにあります）に表示されるときに使われます。

ユーザは、デフォルトで独自のピクチャを変更できます。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.12

NAME 'apple-user-picture'

DESC 'picture'




apple-user-printattribute

プリントのクオータ設定を XML plistとして保存します。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.13

NAME 'apple-user-printattribute'

DESC 'print attribute'





188

apple-user-adminlimitsこの属性は、「ワークグループマネージャ」で、管理者ができることを記述する XML plistを保存するために使われます。これらの設定は「ワークグループマネージャ」によって使用され更新されま

すが、システムのその他の部分には影響しません。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.14

NAME 'apple-user-adminlimits'

DESC 'admin limits'




apple-user-authenticationhint

apple-user-authenticationhint は、ユーザが 3 回ログインに失敗した場合にヒントを与えるため、ログインウインドウで使われます。

デフォルトでは、各ユーザは独自の認証のヒントを更新できます。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.15

NAME 'apple-user-authenticationhint'

DESC 'password hint'




apple-user-homesoftquota

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.17

NAME 'apple-user-homesoftquota'

DESC 'home directory soft quota'




apple-user-passwordpolicy

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.18

NAME 'apple-user-passwordpolicy'

DESC 'password policy options'





apple-keyword

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.19

NAME ( 'apple-keyword' )

DESC 'keywords'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-imhandle

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.21

NAME ( 'apple-imhandle' )

DESC 'IM handle (service:account name)'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-webloguri

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.22

NAME ( 'apple-webloguri' )

DESC 'Weblog URI'




apple-generateduid

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.1.20

NAME ( 'apple-generateduid' )

DESC 'generated unique ID'




apple-user-homeDirectoryこれはオープンディレクトリ・サーバでは使われません。ただし、 RFC 2037 の homeDirectory 属性の代替として使用する OID および属性の例として示されています。これは RFC 2307 とは異なる homeDirectory属性を使用するため、主に Active Directoryを対象としています。

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.1.100


190

# NAME 'apple-user-homeDirectory'

# DESC 'The absolute path to the home directory'

# EQUALITY caseExactIA5Match

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

グループ属性 apple-group-homeurl

管理されたクライアントワークグループと関連付けられたホームディレクトリを指定します。これ

は、このワークグループにユーザがログインしたときにマウントされます。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.14.1

NAME 'apple-group-homeurl'

DESC 'group home url'




apple-group-homeowner

apple-group-homeowner 属性は、ワークグループのホームディレクトリがファイルシステム内に作成されたときに、そのオーナーを決定します。ディレクトリのグループは、それが関連付けられ

ているワークグループです。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.14.2

NAME 'apple-group-homeowner'

DESC 'group home owner settings'




apple-group-realname

ユーザが覚えやすい長めの名前をグループと関連付けます。この名前は「ワークグループマネー

ジャ」に表示され、 ASCII以外の文字で構成できます。

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.14.5

NAME 'apple-group-realname'

DESC 'group real name'




apple-group-nestedgroup

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.14.6

NAME 'apple-group-nestedgroup'





SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-group-memberguid

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.14.7

NAME 'apple-group-memberguid'




SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-group-memberUidオープンディレクトリ・サーバでは使われません。ただし、 Mac OS Xクライアントをサポートする別の LDAPサーバに追加できる属性および OIDの例として定義されています。

# Alternative to using memberUid from RFC 2307.

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.14.1000

# NAME 'apple-group-memberUid'

# DESC 'group member list'


# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

# can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000

マシン属性 apple-machine-software

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.3.8

NAME 'apple-machine-software'

DESC 'installed system software'

EQUALITY caseIgnoreIA5Match

SUBSTR caseIgnoreIA5SubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

apple-machine-hardware

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.3.9

NAME 'apple-machine-hardware'

DESC 'system hardware description'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )


192

apple-machine-serves

attributeType (

1.3.6.1.4.1.63.1000.1.1.1.3.10

NAME 'apple-machine-serves'

DESC 'NetInfo Domain Server Binding'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

apple-machine-suffix

attributeType (

1.3.6.1.4.1.63.1000.1.1.1.3.11

NAME 'apple-machine-suffix'

DESC 'DIT suffix'

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-machine-contactperson

attributeType (

1.3.6.1.4.1.63.1000.1.1.1.3.12

NAME 'apple-machine-contactperson'

DESC 'Name of contact person/owner of this machine'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

マウント属性 mountDirectory

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.8.1

NAME 'mountDirectory'

DESC 'mount path'




mountType

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.8.2

NAME 'mountType'

DESC 'mount VFS type'





mountOption

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.8.3

NAME 'mountOption'

DESC 'mount options'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

mountDumpFrequency

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.8.4

NAME 'mountDumpFrequency'

DESC 'mount dump frequency'




mountPassNo

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.8.5

NAME 'mountPassNo'

DESC 'mount passno'




apple-mount-name

# Alternative to using 'cn' when adding mount record schema to other

LDAP servers

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.8.100

# NAME ( 'apple-mount-name' )

# DESC 'mount name'

# SUP name )

プリンタ属性 apple-printer-attributes

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.9.1

NAME 'apple-printer-attributes'


194

DESC 'printer attributes in /etc/printcap format'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

apple-printer-lprhost

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.9.2

NAME 'apple-printer-lprhost'

DESC 'printer LPR host name'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-printer-lprqueue

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.9.3

NAME 'apple-printer-lprqueue'

DESC 'printer LPR queue'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-printer-type

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.9.4

NAME 'apple-printer-type'

DESC 'printer type'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-printer-note

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.9.5

NAME 'apple-printer-note'

DESC 'printer note'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

コンピュータ属性 apple-realname

attributetype (


1.3.6.1.4.1.63.1000.1.1.1.10.2

NAME 'apple-realname'

DESC 'real name'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-networkview

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.10.3

NAME 'apple-networkview'

DESC 'Network view for the computer'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-category

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.10.4

NAME 'apple-category'

DESC 'Category for the computer or neighborhood'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

コンピュータリスト属性 apple-computers

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.11.3

NAME 'apple-computers'

DESC 'computers'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-computer-list-groups

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.11.4

NAME 'apple-computer-list-groups'

DESC 'groups'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )


196

XML Plist属性 apple-xmlplist

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.17.1

NAME 'apple-xmlplist'

DESC 'XML plist data'




サービス URL属性 apple-service-url

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.19.2

NAME 'apple-service-url'

DESC 'URL of service'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

設定属性 apple-password-server-location

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.1

NAME 'apple-password-server-location'

DESC 'password server location'




apple-data-stamp

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.2

NAME 'apple-data-stamp'

DESC 'data stamp'




apple-config-realname

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.3

NAME 'apple-config-realname'


DESC 'config real name'




apple-password-server-list

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.4

NAME 'apple-password-server-list'

DESC 'password server replication plist'




apple-ldap-replica

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.5

NAME 'apple-ldap-replica'

DESC 'LDAP replication list'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-ldap-writable-replica

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.6

NAME 'apple-ldap-writable-replica'

DESC 'LDAP writable replication list'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-kdc-authkey

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.7

NAME 'apple-kdc-authkey'

DESC 'KDC master key RSA encrypted with realm public key'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-kdc-configdata

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.12.8


198

NAME 'apple-kdc-configdata'

DESC 'Contents of the kdc.conf file'




プリセットユーザ属性 apple-preset-user-is-admin

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.15.1

NAME 'apple-preset-user-is-admin'

DESC 'flag indicating whether the preset user is an administrator'




認証機関属性 authAuthority

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.2.16.1

# NAME 'authAuthority'

# DESC 'password server authentication authority'


# SUBSTR caseExactIA5SubstringsMatch

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

authAuthority2

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.2.16.2

# NAME ( 'authAuthority' 'authAuthority2' )

# DESC 'password server authentication authority'



# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

場所属性 apple-dns-domain

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.18.1

NAME 'apple-dns-domain'

DESC 'DNS domain'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )


apple-dns-nameserver

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.18.2

NAME 'apple-dns-nameserver'

DESC 'DNS name server list'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

サービス属性 apple-service-type

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.19.1

NAME 'apple-service-type'

DESC 'type of service'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

apple-service-url

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.19.2

# NAME 'apple-service-url'

# DESC 'URL of service'


# SUBSTR caseExactIA5SubstringsMatch

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

apple-service-port

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.19.3

NAME 'apple-service-port'

DESC 'Service port number'

EQUALITY integerMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )

apple-dnsname

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.19.4

NAME 'apple-dnsname'

DESC 'DNS name'




200

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-service-location

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.19.5

NAME 'apple-service-location'

DESC 'Service location'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

関連グループ属性 apple-nodepathxml

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.20.1

NAME 'apple-nodepathxml'

DESC 'XML plist of directory node path'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-neighborhoodalias

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.20.2

NAME 'apple-neighborhoodalias'

DESC 'XML plist referring to another neighborhood record'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

apple-computeralias

attributetype (

1.3.6.1.4.1.63.1000.1.1.1.20.3

NAME 'apple-computeralias'

DESC 'XML plist referring to a computer record'



SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

ACL属性 apple-acl-entry

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.21.1

# NAME 'apple-acl-entry'


# DESC 'acl entry'



# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )

スキーマ属性 apple-apple-attributeTypesConfig

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.22.1

# NAME 'attributeTypesConfig'

# DESC 'attribute type configuration'

# EQUALITY objectIdentifierFirstComponentMatch

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 )

apple-objectClassesConfig

#attributetype (

# 1.3.6.1.4.1.63.1000.1.1.1.22.2

# NAME 'objectClassesConfig'

# DESC 'object class configuration'

# EQUALITY objectIdentifierFirstComponentMatch

# SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 )

標準のレコードタイプおよび属性を LDAPおよび Active Directoryにマッピングするこのセクションでは、オープンディレクトリのレコードタイプと属性を LDAPのオブジェクトクラスと属性にマップする方法を示します。また、 Active Directoryのオブジェクトカテゴリと属性をオープンディレクトリのレコードタイプと属性にマップする方法、および Active Directoryのオブジェクトカテゴリと属性をオープンディレクトリのレコードタイプと属性から生成する方法も示します。

ユーザのマッピング次の表では、「ディレクトリアクセス」の LDAPv3 プラグインでオープンディレクトリの Users レコードタイプおよび属性を LDAPオブジェクトクラスおよび属性にマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Usersのレコードタイプのマッピング

オープンディレクトリ名、 RFC/クラス

LDAPオブジェクトクラス名 OID

Active Directoryプラグイン

Users、 RFC 2798

inetOrgPerson2.16.840.1.113730.3.2.2

ObjectCategory = Person

Users、 RFC 2307

posixAccount1.3.6.1.1.1.2.0


202

Usersの属性のマッピング

Users、 RFC 2307

shadowAccount1.3.6.1.1.1.2.1

Users、アップル登録

apple-user1.3.6.1.4.1.63.1000.1.1.2.1

アップル拡張スキーマ




オープンディレクトリ名、 RFC/クラス、特殊目的

LDAP属性名 OID


HomeDirectory、アップル登録

apple-user-homeurl1.3.6.1.4.1.63.1000.1.1.1.1.6

homeDirectoryから生成

HomeDirectoryQuota、アップル登録

apple-user-homequota1.3.6.1.4.1.63.1000.1.1.1.1.8


HomeDirectorySoftQuota、アップル登録

apple-user-homesoftquota1.3.6.1.4.1.63.1000.1.1.1.1.17


MailAttribute、アップル登録

apple-user-mailattribute1.3.6.1.4.1.63.1000.1.1.1.1.9


PrintServiceUserData、アップル登録

apple-user-printattribute1.3.6.1.4.1.63.1000.1.1.1.1.13


MCXFlags、アップル登録

apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10


MCXSettings、アップル登録

apple-mcxsettings1.3.6.1.4.1.63.1000.1.1.1.1.16


AdminLimits、アップル登録

apple-user-adminlimits1.3.6.1.4.1.63.1000.1.1.1.1.14


AuthenticationAuthority、アップル登録

authAuthority1.3.6.1.4.1.63.1000.1.1.2.16.1

Kerberos権限として生成

AuthenticationHint、アップル登録

apple-user-authenticationhint1.3.6.1.4.1.63.1000.1.1.1.1.15


PasswordPolicyOptions、アップル登録

apple-user-passwordpolicy1.3.6.1.4.1.63.1000.1.1.1.1.18


Keywords、アップル登録

apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19


Picture、アップル登録

apple-user-picture1.3.6.1.4.1.63.1000.1.1.1.1.12


GeneratedUID、アップル登録

apple-generateduid1.3.6.1.4.1.63.1000.1.1.1.1.20

GUIDから —フォーマット

RecordName、 RFC 2256

cn2.5.4.3

cn、 userPrincipal、 mail、 sAMAccoutNameから生成


uid0.9.2342.19200300.100.1.1

該当なし


EMailAddress、 RFC 1274

mail0.9.2342.19200300.100.1.3

RFC規格

RealName、 RFC 2256

cn2.5.4.3

1.2.840.113556.1.2.13（ Microsoft）

Password、 RFC 2256

userPassword2.5.4.35

マッピングなし

Comment、 RFC 2256

description2.5.4.13

RFC規格

LastName、 RFC 2256

sn2.5.4.4

RFC規格

FirstName、 RFC 2256

givenName2.5.4.42

RFC規格

PhoneNumber、 RFC 2256

telephoneNumber2.5.4.20

RFC規格

AddressLIne1、 RFC 2256

street2.5.4.9

RFC規格

PostalAddress、 RFC 2256

postalAddress2.5.4.16

RFC規格

PostalCode、 RFC 2256

postalCode2.5.4.17

RFC規格

OrganizationName、 RFC 2256

o2.5.4.10

1.2.840.113556.1.2.146（ Microsoft）

UserShell、 RFC 2307

loginShell1.3.6.1.1.1.1.4

RFCの使用を拡張

Change、 RFC 2307

shadowLastChange1.3.6.1.1.1.1.5


Expire、 RFC 2307

shadowExpire1.3.6.1.1.1.1.10


UniqueID、 RFC 2307

uidNumber1.3.6.1.1.1.1.0

GUIDから生成

NFSHomeDirectory、 RFC 2307

homeDirectory1.3.6.1.1.1.1.3

homeDirectoryから生成

PrimaryGroupID、 RFC 2307

gidNumber1.3.6.1.1.1.1.1

RFCの使用を拡張、または GUIDから生成

SMBAccountFlags、 Samba 登録、アップル PDC

acctFlags1.3.6.1.4.1.7165.2.1.4

1.2.840.113556.1.4.302（ Microsoft）

SMBPasswordLastSet、 Samba 登録、アップル PDC

pwdLastSet1.3.6.1.4.1.7165.2.1.3

1.2.840.113556.1.4.96（ Microsoft）


LDAP属性名 OID



204

SMBLogonTime、 Samba 登録、アップル PDC

logonTime1.3.6.1.4.1.7165.2.1.5

1.2.840.113556.1.4.52（ Microsoft）

SMBLogoffTime、 Samba 登録、アップル PDC

logoffTime1.3.6.1.4.1.7165.2.1.6

1.2.840.113556.1.4.51（ Microsoft）

SMBKickoffTime、 Samba 登録、アップル PDC

kickoffTime1.3.6.1.4.1.7165.2.1.7


SMBHomeDrive、 Samba 登録、アップル PDC

homeDrive1.3.6.1.4.1.7165.2.1.10

1.2.840.113556.1.4.45（ Microsoft）

SMBScriptPath、 Samba 登録、アップル PDC

scriptPath1.3.6.1.4.1.7165.2.1.11

1.2.840.113556.1.4.62（ Microsoft）

SMBProfilePath、 Samba 登録、アップル PDC

profilePath1.3.6.1.4.1.7165.2.1.12

1.2.840.113556.1.4.139（ Microsoft）

SMBUserWorkstations、 Samba 登録、アップル PDC

userWorkstations1.3.6.1.4.1.7165.2.1.13

1.2.840.113556.1.4.86（ Microsoft）

SMBHome、 Samba 登録、アップル PDC

smbHome1.3.6.1.4.1.7165.2.1.17

1.2.840.113556.1.4.44（ Microsoft）

SMBRID、 Samba 登録、アップル PDC

rid1.3.6.1.4.1.7165.2.1.14

1.2.840.113556.1.4.153（ Microsoft）

SMBGroupRID、 Samba 登録、アップル PDC

primaryGroupID1.3.6.1.4.1.7165.2.1.15

1.2.840.113556.1.4.98（ Microsoft）

FaxNumber、 RFC 2256

fax2.5.4.23

RFC規格

MobileNumber、 RFC 1274

mobile0.9.2342.19200300.100.1.41

RFC規格

PagerNumber、 RFC 1274

pager0.9.2342.19200300.100.1.42

RFC規格

Department、 RFC 2798、

departmentNumber2.16.840.1.113730.3.1.2

1.2.840.113556.1.2.141（ Microsoft）

NickName、 Microsoft属性

1.2.840.113556.1.2.447（ Microsoft）

JobTitle、 RFC 2256

title2.5.4.12

RFC規格


LDAP属性名 OID



Groupsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Groupsレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directoryのオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Groups のレコードタイプのマッピング

Groups の属性のマッピング

Building、 RFC 2256

buildingName2.5.4.19

RFC規格

Country、 RFC 2256

c2.5.4.6

RFC規格

Street、 RFC 2256

street2.5.4.9

1.2.840.113556.1.2.256（ Microsoft）

City、 RFC 2256

locality2.5.4.7

RFC規格

State、 RFC 2256

st2.5.4.8

RFC規格


LDAP属性名 OID





Groups、 RFC 2307

posixGroup1.3.6.1.1.1.2.2

objectCategory = Group

Groups、アップル登録

apple-group1.3.6.1.4.1.63.1000.1.1.2.14



LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-group-homeurl1.3.6.1.4.1.63.1000.1.1.1.14.1


HomeLocOwner、アップル登録

apple-group-homeowner1.3.6.1.4.1.63.1000.1.1.1.14.2



apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10





RealName、アップル登録

apple-group-realname1.3.6.1.4.1.63.1000.1.1.1.14.5

1.2.840.113556.1.2.13（ Microsoft）


206

Mountsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Mountsレコードタイプおよび属性を LDAPオブジェクトクラスおよび属性にマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Mountsのレコードタイプのマッピング

Mountsの属性のマッピング





apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19





GroupMembership、 RFC 2307

memberUid1.3.6.1.1.1.1.12

メンバーから生成

Member、 RFC 2307

memberUid1.3.6.1.1.1.1.12

GroupMembershipと同じ


gidNumber1.3.6.1.1.1.1.1

RFCの使用を拡張、または GUIDから生成


LDAP属性名 OID





Mounts、アップル登録

mount1.3.6.1.4.1.63.1000.1.1.2.8



LDAP属性名 OID



cn2.5.4.3

RFC規格

VFSLinkDir、アップル登録

mountDirectory1.3.6.1.4.1.63.1000.1.1.1.8.1


VFSOpts、アップル登録

mountOption1.3.6.1.4.1.63.1000.1.1.1.8.3


VFSType、アップル登録

mountType1.3.6.1.4.1.63.1000.1.1.1.8.2


VFSDumpFreq、アップル登録

mountDumpFrequency1.3.6.1.4.1.63.1000.1.1.1.8.4


VFSPassNo、アップル登録

mountPassNo1.3.6.1.4.1.63.1000.1.1.1.8.5



Computersのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Computersレコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Computersのレコードタイプのマッピング

Computersの属性のマッピング




Computers、アップル登録

apple-computer1.3.6.1.4.1.63.1000.1.1.2.10

objectCategory = Computer


LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-realname1.3.6.1.4.1.63.1000.1.1.1.10.2

1.2.840.113556.1.2.13（ Microsoft）


apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10





Group、アップル登録

apple-computer-list-groups1.3.6.1.4.1.63.1000.1.1.1.11.4



authAuthority1.3.6.1.4.1.63.1000.1.1.2.16.1





XMLPlist、アップル登録

apple-xmlplist1.3.6.1.4.1.63.1000.1.1.1.17.1


Comment、 RFC 2256

description2.5.4.13

RFC規格

ENetAddress、 RFC 2307

macAddress1.3.6.1.1.1.1.22


UniqueID、 RFC 2307

uidNumber1.3.6.1.1.1.1.0

GUIDから生成


gidNumber1.3.6.1.1.1.1.1

RFCの使用を拡張または生成

SMBAccountFlags、 Samba 登録、アップル PDC

acctFlags1.3.6.1.4.1.7165.2.1.4

1.2.840.113556.1.4.302（ Microsoft）


208

ComputerListsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの ComputerLists レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

ComputerListsのレコードタイプのマッピング

ComputerListsの属性のマッピング

SMBPasswordLastSet、 Samba 登録、アップル PDC

pwdLastSet1.3.6.1.4.1.7165.2.1.3

1.2.840.113556.1.4.96（ Microsoft）

SMBLogonTime、 Samba 登録、アップル PDC

logonTime1.3.6.1.4.1.7165.2.1.5

1.2.840.113556.1.4.52（ Microsoft）

SMBLogoffTime、 Samba 登録、アップル PDC

logoffTime1.3.6.1.4.1.7165.2.1.6

1.2.840.113556.1.4.51（ Microsoft）

SMBKickoffTime、 Samba 登録、アップル PDC

kickoffTime1.3.6.1.4.1.7165.2.1.7


SMBRID、 Samba 登録、アップル PDC

rid1.3.6.1.4.1.7165.2.1.14

1.2.840.113556.1.4.153（ Microsoft）

SMBGroupID、 Samba 登録、アップル PDC

primaryGroupID1.3.6.1.4.1.7165.2.1.15

1.2.840.113556.1.4.98（ Microsoft）


LDAP属性名 OID





ComputerLists、アップル登録

apple-computer-list1.3.6.1.4.1.63.1000.1.1.2.11



LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10






Configのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Configレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directoryのオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Configのレコードタイプのマッピング

Configの属性のマッピング

Computers、アップル登録

apple-computers1.3.6.1.4.1.63.1000.1.1.1.11.3


Group、アップル登録

apple-computer-list-groups1.3.6.1.4.1.63.1000.1.1.1.11.4



apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19



LDAP属性名 OID





Config、アップル登録

apple-configuration1.3.6.1.4.1.63.1000.1.1.2.12



LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-config-realname1.3.6.1.4.1.63.1000.1.1.1.12.3

1.2.840.113556.1.2.13（ Microsoft）

DataStamp、アップル登録

apple-data-stamp1.3.6.1.4.1.63.1000.1.1.1.12.2


KDCAuthKey、アップル登録、アップル KDC

apple-kdc-authkey1.3.6.1.4.1.63.1000.1.1.1.12.7


KDCConfigData、アップル登録、

アップル KDC

apple-kdc-configdata1.3.6.1.4.1.63.1000.1.1.1.12.8



apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19


LDAPReadReplicas、アップル登録、アップル LDAP サーバ

apple-ldap-replica1.3.6.1.4.1.63.1000.1.1.1.12.5



210

Peopleのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Peopleレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directoryのオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Peopleのレコードタイプのマッピング

Peopleの属性のマッピング

LDAPWriteReplicas、アップル登録、アップル LDAP サーバ

apple-ldap-writable-replica1.3.6.1.4.1.63.1000.1.1.1.12.6


PasswordServerList、アップル登録、

パスワードサーバ

apple-password-server-list1.3.6.1.4.1.63.1000.1.1.1.12.4


PasswordServerLocation、アップル登録、パスワードサーバ

apple-password-server-location1.3.6.1.4.1.63.1000.1.1.1.12.1



apple-xmlplist1.3.6.1.4.1.63.1000.1.1.1.17.1



LDAP属性名 OID





People、 RFC 2798

inetOrgPerson2.16.840.1.113730.3.2.2

RFC規格


LDAP属性名 OID



cn2.5.4.3

RFC規格

EMailAddress、 RFC 1274

mail0.9.2342.19200300.100.1.3

RFC規格


cn1.2.840.113556.1.3.23

RFC規格

LastName、 RFC 2256

sn2.5.4.4

RFC規格

FirstName、 RFC 2256

givenName2.5.4.42

RFC規格

FaxNumber、 RFC 2256

fax2.5.4.23

RFC規格


PresetComputerListsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの PresetComputerLists レコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

PresetComputerListsのレコードタイプのマッピング

MobileNumber、 RFC 1274

mobile0.9.2342.19200300.100.1.41

RFC規格

PagerNumber、 RFC 1274

pager0.9.2342.19200300.100.1.42

RFC規格

Department、 RFC 2798、

departmentNumber2.16.840.1.113730.3.1.2

1.2.840.113556.1.2.141（ Microsoft）

JobTitle、 RFC 2256

title2.5.4.12

RFC規格

PhoneNumber、 RFC 2256

telephoneNumber2.5.4.20

RFC規格

AddressLIne1、 RFC 2256

street2.5.4.9

RFC規格

Street、 RFC 2256

street2.5.4.9

RFC規格

PostalAddress、 RFC 2256

postalAddress2.5.4.16

RFC規格

City、 RFC 2256

locality2.5.4.7

RFC規格

State、 RFC 2256

st2.5.4.8

RFC規格

Country、 RFC 2256

c2.5.4.6

RFC規格

PostalCode、 RFC 2256

postalCode2.5.4.17

RFC規格

OrganizationName、 RFC 2256

o2.5.4.10

1.2.840.113556.1.2.146（ Microsoft）


LDAP属性名 OID





PresetComputerLists、アップル登録

apple-preset-computer-list1.3.6.1.4.1.63.1000.1.1.2.13



212

PresetComputerListsの属性のマッピング

PresetGroupsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの PresetGroupsレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

PresetGroupsのレコードタイプのマッピング

PresetGroupsの属性のマッピング


LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10






apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19





PresetGroups、アップル登録

apple-preset-group1.3.6.1.4.1.63.1000.1.1.3.14



LDAP属性名 OID



apple-group-homeurl1.3.6.1.4.1.63.1000.1.1.1.1.6


HomeLocOwner、アップル登録

apple-group-homeowner1.3.6.1.4.1.63.1000.1.1.1.14.2



apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10






apple-group-realname1.3.6.1.4.1.63.1000.1.1.1.14.5



apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19



cn2.5.4.3

RFC規格


PresetUsersのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの PresetUsersのレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

PresetUsersのレコードタイプのマッピング

PresetUsersの属性のマッピング


memberUid1.3.6.1.1.1.1.12



gidNumber1.3.6.1.1.1.1.1



LDAP属性名 OID





PresetUsers、アップル登録

apple-preset-user1.3.6.1.4.1.63.1000.1.1.2.15

ObjectCategory = Person


LDAP属性名 OID



apple-user-homeurl1.3.6.1.4.1.63.1000.1.1.1.1.6

該当なし

HomeDirectoryQuota、アップル登録

apple-user-homequota1.3.6.1.4.1.63.1000.1.1.1.1.8


HomeDirectorySoftQuota、アップル登録

apple-user-homesoftquota1.3.6.1.4.1.63.1000.1.1.1.1.17


MailAttribute、アップル登録

apple-user-mailattribute1.3.6.1.4.1.63.1000.1.1.1.1.9


PrintServiceUserData、アップル登録

apple-user-printattribute1.3.6.1.4.1.63.1000.1.1.1.1.13



apple-mcxflags1.3.6.1.4.1.63.1000.1.1.1.1.10





AdminLimits、アップル登録

apple-user-adminlimits1.3.6.1.4.1.63.1000.1.1.1.1.14






authAuthority1.3.6.1.4.1.63.1000.1.1.2.16.1



214

Printersのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Printersレコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directoryのオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Printersのレコードタイプのマッピング

PasswordPolicyOptions、アップル登録

apple-user-passwordpolicy1.3.6.1.4.1.63.1000.1.1.1.1.18


PresetUserIsAdmin、アップル登録

apple-preset-user-is-admin1.3.6.1.4.1.63.1000.1.1.1.15.1



apple-keyword1.3.6.1.4.1.63.1000.1.1.1.1.19



cn2.5.4.3

RFC規格


cn2.5.4.3

RFC規格

Password、 RFC 2256

userPassword2.5.4.35

該当なし


memberUid1.3.6.1.1.1.1.12



gidNumber1.3.6.1.1.1.1.1


NFSHomeDirectory、 RFC 2307

homeDirectory1.3.6.1.1.1.1.3

該当なし

UserShell、 RFC 2307

loginShell1.3.6.1.1.1.1.4


Change、 RFC 2307

shadowLastChange1.3.6.1.1.1.1.5

該当なし

Expire、 RFC 2307

shadowExpire1.3.6.1.1.1.1.10

該当なし


LDAP属性名 OID





Printers、アップル登録

apple-printer1.3.6.1.4.1.63.1000.1.1.2.9

ObjectCategory = Print-Queue

Printers、 IETF-Draft-IPP-LDAP

printerIPP1.3.18.0.2.6.256


Printersの属性のマッピング

AutoServerSetupのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの AutoServerSetup レコードタイプおよび属性を LDAPオブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。


LDAP属性名 OID



cn2.5.4.3

RFC規格


cn2.5.4.3

1.2.840.113556.1.4.300（ Microsoft）

PrinterLPRHost、アップル登録、レガシーサポート

apple-printer-lprhost1.3.6.1.4.1.63.1000.1.1.1.9.2

該当なし

PrinterLPRQueue、アップル登録、

レガシーサポート

apple-printer-lprqueue1.3.6.1.4.1.63.1000.1.1.1.9.3

該当なし

PrinterType、アップル登録、レガシーサポート

apple-printer-type1.3.6.1.4.1.63.1000.1.1.1.9.4

該当なし

PrinterNote、アップル登録、

レガシーサポート

apple-printer-note1.3.6.1.4.1.63.1000.1.1.1.9.5

該当なし

Location、 IETF-Draft-IPP-LDAP

printer-location1.3.18.0.2.4.1136

1.2.840.113556.1.4.222（ Microsoft）

Comment、 RFC 2256

description2.5.4.13

RFC規格

PrinterMakeAndModel、 IETF-Draft-IPP-LDAP

printer-make-and-model1.3.18.0.2.4.1138

1.2.840.113556.1.4.229（ Microsoft）

PrinterURI、 IETF-Draft-IPP-LDAP

printer-uri1.3.18.0.2.4.1140

uNCNameから生成

PrinterXRISupported、 IETF-Draft-IPP-LDAP

printer-xri-supported1.3.18.0.2.4.1107

portName/uNCNameから生成

Printer1284DeviceID、アップル登録

printer-1284-device-id1.3.6.1.4.1.63.1000.1.1.1.9.6



216

AutoServerSetupのレコードタイプのマッピング

AutoServerSetupの属性のマッピング

Locationsのマッピング次の表では、「ディレクトリアクセス」の LDAPv3プラグインでオープンディレクトリの Locationsレコードタイプおよび属性を LDAP オブジェクトクラスにマップする方法を示しています。また、「ディレクトリアクセス」の Active Directoryプラグインで、オープンディレクトリのレコードタイプと属性から Active Directory のオブジェクトカテゴリと属性をマップして生成する方法も示しています。

Locationsのレコードタイプのマッピング

Locationsの属性のマッピング

オープンディレクトリの標準のレコードタイプと属性オープンディレクトリドメイン内の標準の属性とレコードタイプについては、以下を参照してくだ

さい： •

217 ページの「ユーザレコード内の標準属性」

•

222 ページの「グループレコード内の標準属性」 •

223 ページの「コンピュータレコード内の標準属性」




AutoServerSetup、アップル登録

apple-serverassistant-config1.3.6.1.4.1.63.1000.1.1.2.17



LDAP属性名 OID



cn2.5.4.3

RFC規格


apple-xmlplist1.3.6.1.4.1.63.1000.1.1.1.17.1





Locations、アップル登録

apple-locations1.3.6.1.4.1.63.1000.1.1.2.18



LDAP属性名 OID



cn2.5.4.3

RFC規格

DNSDomain、アップル登録

apple-dns-domain1.3.6.1.4.1.63.1000.1.1.1.18.1


DNSNameServer、アップル登録

apple-dns-nameserver1.3.6.1.4.1.63.1000.1.1.1.18.2



• 224 ページの「コンピュータリストレコード内の標準属性」 •

224 ページの「マウントレコード内の標準属性」

•

225 ページの「設定レコード内の標準属性」

標準のレコードタイプと属性の完全なリストについては、次のファイルを参照してください：

/システム /ライブラリ /Frameworks/DirectoryService.framework/Headers/DirServicesConst.h

ユーザレコード内の標準属性次の表に、オープンディレクトリのユーザレコード内にある標準属性を示します。この情報は、「ワー

クグループマネージャ」のインスペクタパネルで作業するときや、「ディレクトリアクセス」でユー

ザレコードの属性をマップするときに使用します。

重要： Mac OS Xユーザ属性を読み出し／書き込み LDAPディレクトリドメイン（読み出し専用ではない LDAPドメイン）にマップするときは、同じ LDAP属性に RealNameおよび最初の RecordName属性をマップしないでください。たとえば、 cn 属性に RealNameと RecordNameの両方をマップしないでください。 RealName および RecordNameを同じ LDAP 属性にマップすると、「ワークグループマネージャ」でフルネーム（ロングネーム）や最初のショートネームを編集しようとすると

問題が発生します。

Mac OS Xユーザ属性フォーマット値の例 RecordName：

ユーザに関連付けられた名前のリスト。最初はユーザ名で、ユーザのホー

ムディレクトリの名前でもあります

重要：認証に使われるすべての属性は、 RecordNameにマップする必要があります。

最初の値： A～ Z、 a～ z、 0 ～ 9、 _、 -で構成される ASCII文字 2番目の値： UTF-8 のローマ字

DaveDavid MacDMacSmith

長さを 0 にはできません。 1 ～ 16の数値です。インスタンスごとの最大

長は 255 バイト（ 85の 3バイト文字～ 255の 1バイト文字）です。最初の値は、「 Macintoshマネージャ」を使用するクライアントの場合は 1 ～ 30 バイトで、 Mac OS X v 10.1以前を使用するクライアントの場合は 1～ 8バイトにする必要があります。

RealName：

単一の名前。通常はユーザのフルネーム。認証には使用されません

UTF-8テキスト David L. MacSmith, Jr.

長さを 0にはできません。最大長は 255 バイト（ 85 の 3 バイト文字～ 255 の 1バイト文字）です。

UniqueID：

一意のユーザ ID。アクセス権の管理に使用されます

0 ～ 9 の数字で構成される符号付き 32ビット ASCII文字列

500 より小さい値には、特別な意味がある場合があります。 100 より小さい値はシステムアカウントで使用

されます。 0 はシステム用に予約されています。通常はユーザ全体の中

で一意ですが、重複することもあります。

警告：整数以外の数は、 0 と解釈されます。 0は、ルートユーザの UniqueIDです。


218

PrimaryGroupID：

ユーザのプライマリグループ関係


範囲は 1 ～ 2,147,483,648 です。

通常は、グループレコード全体の中で一意です。空欄の場合、 20が想定されます。

NFSHomeDirectory：

ユーザのホームディレクトリを指すローカルファイルシステムのパス

UTF-8テキスト /Network/Servers/example/Users/K-M/Tom King

長さを 0にはできません。最大長は 255 バイトです。

HomeDirectory：

AFP ベースのホームディレクトリの場所

UTF-8 XMLテキスト <home_dir> <url>afp:// server / sharept </url> <path> usershomedir </path></home_dir>

次の例では、 Tom Kingのホームディレクトリは K-M/Tom Kingです。これは共有ポイントディレクトリ

「 Users」の下にあります： <home_dir> <url>afp://example.com/Users</url> <path>K-M/Tom King</path></home_dir>

HomeDirectoryQuota：ユーザのホームディレクトリに対す

るディスク・クオータ

許可されるバイト数のテキストクオータが 10MBの場合、この値はテキスト文字列「 1048576」になります。

MailAttribute：

ユーザのメールサービス設定

UTF-8 XMLテキスト

PrintServiceUserData：

ユーザのプリントクオータの統計

UTF-8 XML plist、単一値

MCXFlags：

指定されている場合は、 MCXSettingsが読み込まれます。指定されていない場合は、 MCXSettings は読み込まれません。管理されたユーザの場合は必須。


MCXSettings：

ユーザの管理された環境設定

UTF-8 XML plist、多値

AdminLimits：「ワークグループマネージャ」によっ

てディレクトリドメインを管理できるユーザに許可される権限


Password：ユーザのパスワード

UNIX crypt

Mac OS Xユーザ属性フォーマット値の例


Picture：

ユーザの表示ピクチャとして使用される、認識済みのグラフィックファ

イルを指すファイルパス

UTF-8テキスト最大長は 255バイトです。

Comment：

任意の形式のコメント

UTF-8テキスト John is in charge of product marketing.

最大長は 32,676バイトです。

UserShell：サーバで使用するコマンドライン操

作のデフォルトのシェルの位置

パス名 /bin/tcsh/bin/shNone（この値が指定されている場合、ディレクトリドメインにアカウ

ントを持つユーザは、コマンドラインを使ってサーバにリモートアクセ

スできません）

長さを 0 にはできません。

Change： Mac OS Xでは使われませんが、標準 LDAPスキーマの一部に対応します

数値

Expire：

Mac OS Xでは使われませんが、標準 LDAPスキーマの一部に対応します

数値

AuthenticationAuthority：オープンディレクトリ、シャドウパ

スワード、暗号化パスワードなど、ユーザの認証方法を記述します。暗

号化パスワードのみを持つユーザには必要ありません。この属性が指定

されていない場合は、従来の認証（使用可能な場合は、「 AuthenticationManager」による暗号化）を意味します。

ASCIIテキスト値はユーザの認証方法を示します。

複数の値を持つことができます（た

とえば、 ;ApplePasswordServer; と ;Kerberosv5;）。

それぞれの値のフォーマットは、 vers

;

tag

;

data（ versおよび dataは

空白でもかまいません）です。

暗号化パスワード： ;basic;

オープンディレクトリのパスワード： ;ApplePasswordServer; HexID,サーバの公開鍵 IP アドレス :ポート ;Kerberosv5;

Kerberos データ

シャドウパスワード（ローカル・ディレクトリドメインのみ）： •

;ShadowHash;

•

;ShadowHash;<有効な認証方法のリスト >



220

AuthenticationHint：

パスワードのヒントとして表示される、ユーザが設定したテキスト

UTF-8テキスト Your guess is as good as mine.

最大長は 255バイトです。

FirstName：コンタクト検索方式を使用する「ア

ドレスブック」などのアプリケーションで使用されます

LastName：コンタクト検索方式を使用する「ア


EMailAddress：ユーザに MailAttributeが定義されていないときに、自動的にメールが転送されるメールアドレス。コンタク

ト検索方式を使用する「アドレスブック」や「 Mail」などのアプリケーションで使用されます

RFC 822の正式なメールアドレス [email protected]

PhoneNumber：

コンタクト検索方式を使用する「アドレスブック」などのアプリケー

ションで使用されます

AddressLine1：

コンタクト検索方式を使用する「アドレスブック」などのアプリケーションで使用されます

PostalAddress：コンタクト検索方式を使用する「ア


PostalCode：コンタクト検索方式を使用する「ア


OrganizationName：コンタクト検索方式を使用する「ア




Mac OS X Serverが使用するユーザデータ次の表に、 Mac OS X Server がディレクトリドメイン内のユーザレコードからデータを使用する方法を示します。サーバのさまざまなサービスがディレクトリドメインのユーザレコード内で検索す

る属性、つまりデータ・タイプを判別するには、この表を調べてください。一番左の列の「全サー

ビス」には、 AFP、 SMB/CIFS、 FTP、 HTTP、 NFS、 WebDAV、 POP、 IMAP、「ワークグループマネージャ」、「サーバ管理」、 Mac OS Xログインウインドウ、および「 Macintoshマネージャ」が含まれます。

サーバコンポーネント Mac OS Xユーザ属性依存性

全サービス RecordName 認証の際に必要です

全サービス RealName 認証の際に必要です

全サービス AuthenticationAuthority Kerberos、パスワードサーバ、およびシャドウパスワード認証に使われ

ます

全サービス Password 基本（暗号化パスワード）または LDAPバインド認証に使われます

全サービス UniqueID 権限を付与するときに必要です

（ファイルのアクセス権やメールアカウントなど）

全サービス PrimaryGroupID 権限を付与するときに必要です（ファイルのアクセス権やメール

アカウントなど）

FTPサービス

Webサービス Appleファイルサービス

NFSサービス Macintoshマネージャ

Mac OS Xログインウインドウアプリケーションおよびシステム環境設定

HomeDirectory

NFSHomeDirectory省略可能

メールサービス MailAttribute サーバ上のメールサービスにログインするときに必要です

メールサービス EMailAddress 省略可能


222

グループレコード内の標準属性次の表に、オープンディレクトリのグループレコード内にある標準属性を示します。この情報は、

「ワークグループマネージャ」のインスペクタパネルで作業するときや、「ディレクトリアクセス」で

グループ属性をマップするときに使用します。

Mac OS Xグループ属性フォーマット値の例 RecordName：

グループに関連付けられた名前

A～ Z、 a ～ z、 0 ～ 9、 _ で構成される ASCII文字

ScienceScience_DeptScience.Teachers


RealName：

通常はグループのフルネーム

UTF-8テキスト Science Department Teachers


PrimaryGroupID：

グループの一意の ID


通常は、グループレコード全体の中

で一意です。

GroupMembership：

グループに所属するとみなされるユーザレコードのユーザ名（ショー

トネーム）のリスト

A～ Z、 a～ z、 0～ 9、 _、 -で構成される ASCII文字

bsmith, jdoe

リストは空にすることができます（通常、ユーザのプライマリグループ

の場合は空です）。

HomeDirectory：

グループの AFPベースのホームディレクトリの場所

構造化された UTF-8テキスト <home_dir> <url>afp:// server / sharept </url> <path> grouphomedir </path></home_dir>

次の例では、 Scienceグループのホームディレクトリは K-M/Science です。これは、共有ポイントディレク

トリ「 Groups」の下にあります： <home_dir> <url>afp://example.com/Groups</url> <path>K-M/Science</path></home_dir>

Member： GroupMembership と同じデータ。ただし、 Mac OS X Server のさまざまなサービスで使われます


bsmith, jdoe

リストは空にすることができます

（通常、ユーザのプライマリグループの場合は空です）。

HomeLocOwner：グループのホームディレクトリを所有するユーザのユーザ名（ショート

ネーム）



コンピュータレコード内の標準属性次の表に、オープンディレクトリのコンピュータレコード内にある標準属性を示します。コンピュー

タレコードは、コンピュータのプライマリ Ehternetインターフェイスのハードウェア・アドレスを、そのコンピュータの名前と関連付けます。この名前は、コンピュータリストレコードの一部です

（ユーザがグループ内にあることとほとんど同じです）。この情報は、「ワークグループマネージャ」

のインスペクタパネルで作業するときや、「ディレクトリアクセス」でコンピュータレコードの属性

をマップするときに使用します。

MCXFlags：

指定されている場合は、 MCXSettingsが読み込まれます。指定されていない場合は、 MCXSettings は読み込まれません。管理されたユーザの場合は必須


MCXSettings：

ワークグループ（管理されたグループ）の環境設定


Mac OS Xグループ属性フォーマット値の例

Mac OS Xコンピュータ属性フォーマット値の例

RecordName：コンピュータに関連付けられた名前

UTF-8テキスト iMac 1

Comment：任意の形式のコメント

UTF-8テキスト

EnetAddress：コンピュータの Ethernet インターフェイスの MACアドレス

コロンで区切った 16進表記。桁あわせのゼロは省略可能

00:05:02:b7:b5:88

MCXFlags：「ゲスト」コンピュータレコードでの

み使用されます。指定されている場合は、 MCXSettingsが読み込まれます。指定されていない場合は、 MCXSettings は読み込まれません。管理されたコンピュータの場合は必須


MCXSettings：「ゲスト」コンピュータレコード内で

のみ使用されます。管理されたコンピュータの環境設定



224

コンピュータリストレコード内の標準属性次の表に、オープンディレクトリのコンピュータ・リスト・レコード内にある標準属性を示します。

コンピュータリストレコードは、コンピュータのグループを識別します（グループレコードがユー

ザの集まりを識別するのとほとんど同じです）。この情報は、「ワークグループマネージャ」のイン

スペクタパネルで作業するときや、「ディレクトリアクセス」でコンピュータ・リスト・レコードの

属性をマップするときに使用します。

マウントレコード内の標準属性次の表に、オープンディレクトリのマウントレコード内にある標準属性を示します。この情報は、

「ワークグループマネージャ」のインスペクタパネルで作業するときや、「ディレクトリアクセス」で

マウントレコードの属性をマップするときに使用します。

Mac OS Xコンピュータリスト属性フォーマット値の例 RecordName：

コンピュータリストに関連付けられた名前

UTF-8テキスト Lab Computers


MCXFlags UTF-8 XML plist、単一値

MCXSettings：管理されたコンピュータの環境設定

を保存します


Computers コンピュータレコード名の多値

リスト iMac 1, iMac 2

Group

メンバーがこのコンピュータリストにあるコンピュータにログインでき

るグループのリスト

グループのユーザ名（ショートネー

ム）の多値リスト herbivores,omnivores

Mac OS Xマウント属性フォーマット値の例

RecordName：共有ポイントのホストとパス

UTF-8テキスト hostname :/サーバ上のパス indigo:/Volumes/home2

VFSLinkDir

クライアント上のマウント用のパス

UTF-8テキスト / ネットワーク /Servers

VFSType ASCIIテキスト AFPの場合： url

NFSの場合： nfs


設定レコード内の標準属性次の表に、オープンディレクトリの次の 2つのタイプの設定レコード内にある標準属性を示します： •

mcx_cacheレコードには、常に mcx_cacheの RecordNameがあります。また、キャッシュを更新するかサーバ設定を無視するかを決定するときにも、 RealName および DataStamp を使用します。クライアントを管理する場合は、 mcx_cache設定レコードが必要です。

•

passwordserverレコードには、追加属性 PasswordServerLocationがあります。この情報は、「ワークグループマネージャ」のインスペクタパネルで作業するときや、「ディレクト

リアクセス」で設定レコード属性をマップするときに使用します。

VFSOpts UTF-8テキスト AFPの場合（ 2つの値）： net

url==afp://;AUTH=NO%20USER%20AUTHENT@

server

/

sharepoint

/

NFSの場合： net

VFSDumpFreq

VFSPassNo

Mac OS Xマウント属性フォーマット値の例

Mac OS X設定属性フォーマット値の例 RecordName：

設定に関連付けられた名前

A～ Z、 a～ z、 0～ 9、 _、 -、 . で構成される ASCII文字列

mcx_cache

passwordserver


PasswordServerLocation:

ディレクトリドメインに関連付けら

れたパスワードサーバのホストを識別します

IPアドレスまたはホスト名 192.168.1.90

RealName mcx_cache設定レコードの場合、 RealNameは GUID

DataStamp mcx_cache設定レコードの場合、 DataStampは GUID


用語集

用語集

Active Directory Microsoft Windows 2000 Serverおよび Windows Server 2003のディレクトリ認証サービス。

AFP Apple Filing Protocol の略語。 Macintosh 互換のコンピュータの Apple ファイルサービスがファイルおよびネットワークサービスの共有に使用するクライアント／サーバ型のプロトコル。 AFPは、 TCP/IPとその他のプロトコルを使って、ネットワークのコンピュータ間で通信します。

BSD Berkeley System Distribution の略語。 Mac OS X ソフトウェアのベースとなっている UNIXのバージョン。

CIFS Common Internet File Systemの略語。「SMB/CIFS」を参照してください。

DHCP Dynamic Host Configuration Protocolの略語。クライアントコンピュータに IPアドレスを動的に割り当てるためのプロトコル。クライアントコンピュータが起動するたびに、 DHCPは DHCPサーバを検索し、見つかった DHCPサーバに IPアドレスを要求します。 DHCPサーバは、使用可能な IP アドレスを調べ、これをリース期間に合わせてクライアントコンピュータに送ります。リース期間とは、クライアントコンピュータがアドレスを使用できる期間のことです。

FTP File Transfer Protocol の略語。コンピュータがネットワーク経由でファイルを転送する際に使用するプロトコル。 FTP をサポートするオペレーティングシステムを使っている FTP クライアントは、各自のアクセス権に応じて、ファイルサーバに接続し、ファイルをダウンロードできます。ほ

とんどのインターネットブラウザおよび多数のフリーウェア・アプリケーションを使って、 FTPサーバにアクセスできます。

IP Internet Protocol の略語。 IPv4 とも呼ばれます。ローカルネットワークまたはインターネットを経由してコンピュータ間でデータを送受信するために、 TCP（ Transmission Control Protocol）と共に使用される方式。 IP がデータパケットを実際に配送するのに対し、 TCP はデータパケットを管理します。

IPアドレスインターネット上のコンピュータを識別するために使われる、数字で構成される一意のアドレス。

KDC Kerberos Key Distribution Centerの略語。 Kerberosチケットを発行する信頼されたサーバ。

227

228

Kerberos 安全性の高いネットワーク認証システム。 Kerberos では、チケットが使用されます。チケットは、特定のユーザ、サービス、および期間に発行されます。 Kerberosによって認証されたユーザは、 Kerberos チケットを受け取るように設定されているサービスには、パスワードを再度入力しなくてもアクセスできます（シングルサインオンと呼ばれます）。 Mac OS X Serverでは、 Kerberosv5が使用されます。

Kerberos保護領域同じ Kerberos サーバに登録されているユーザとサービスから成る認証ドメイン。登録されたサービスとユーザは、 Kerberosサーバを信頼して互いの識別情報を検証します。

LDAP Lightweight Directory Access Protocolの略語。ディレクトリドメインにアクセスするための標準規格のクライアント／サーバ型のプロトコル。

Mac OS X アップルのオペレーティングシステムの最新バージョン。 Mac OS X では、 Macintoshの操作性に UNIXの信頼性が追加されています。

Mac OS X Server 簡単な設定だけで Mac、 Windows、 UNIX、および Linuxクライアントに対応する、業務用のサーバプラットフォーム。拡張可能なワークグループサービスとネットワークサービ

スや、高度なリモート管理ツールが用意されています。

NetInfo アップルのプロトコルの 1 つ。ディレクトリドメインにアクセスするときに使います。

SLP DA Service Location Protocol Directory Agent の略語。利用できるサービスをネットワークに登録して、ユーザが簡単にアクセスできるようにするためのプロトコル。あるサービスをネット

ワークに追加すると、そのサービスは SLP によって自動的にネットワークに登録されます。 SLP/DAでは、リポジトリを使用して、登録済みネットワークサービスを集中的に管理しています。

SMB/CIFS Server Message Block/Common Internet File Systemの略語。クライアントコンピュータがファイルやネットワークサービスにアクセスするときに使用するプロトコル。 TCP/IP、インターネット、およびその他のネットワークプロトコルで使用できます。 Windows サービスでは、 SMB/CIFSを使って、サーバ、プリンタ、およびその他のネットワークリソースへのアクセスを提供します。

SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するためのインターネットプロトコル。新しいバージョンの SSL は TLS（ Transport Level Security）として知られています。

WebDAV Web-based Distributed Authoring and Versioningの略語。サイトが稼働中でもクライアントユーザが Webページをチェックアウトし、変更を加え、チェックインして戻すことができるライブオーサリング環境。

WebDAV保護領域 WebDAV ユーザおよびグループがアクセスできるように定義された、 Web サイト内の領域。通常は、フォルダまたはディレクトリです。

暗号化パスワードパスワードの一種で、ハッシュ（ UNIX 標準の暗号化アルゴリズム）としてユーザレコードに直接保管されます。

エントリーウェブログに投稿される（通常は短い）記事。読者はエントリーにコメントを追加できますが、エントリーに関連する内容はウェブログのオーナーだけが変更できます。 LDAPディレクトリでは、一意の識別名を持つ一連の属性（データ項目）を指します。

用語集

オーナー項目のオーナーは、その項目のアクセス権を変更できます。オーナーは、自分がメンバーになっているグループのグループエントリーを変更することもできます。デフォルトでは、オーナー

には読み出し／書き込み権があります。

オープンソースインターネットコミュニティがソフトウェアを協調開発することを指す用語。コードを作成してデバッグするときにできるだけ多くの開発者が関わることが、基本方針となっていま

す。そのために、ソースコードを公開し、修正や拡張を提出する開発者のコミュニティができるだ

け大きくなるように運営されます。

オープンディレクトリ LDAP、 NetInfo、または Active Directoryプロトコルを使用するディレクトリドメイン内のユーザおよびネットワークリソースのアクセス権情報、 BSD 設定ファイル、およびネットワークサービスにアクセスするための、アップルのディレクトリサービスのアーキテクチャ。

オープンディレクトリのパスワードサーバ上の安全なデータベースに保管されているパスワード。このパスワードの認証には、オープンディレクトリ・パスワード・サーバまたは Kerberos（ Kerberosを利用できる場合）を使用できます。

オープンディレクトリのマスター LDAP ディレクトリサービス、 Kerberos 認証サービス、およびオープンディレクトリ・パスワード・サーバを提供するサーバ。

オープンディレクトリ・パスワード・サーバ認証サービスの 1 つ。パスワードの検証には、 Mac OS X Server の各サービスから要求されるさまざまな認証方法がそのまま使用されます。認証方法には、 APOP、 CRAM-MD5、 DHX、 LAN Manager、 NTLMv1、 NTLMv2、および WebDAV-Digestがあります。

オブジェクトクラスディレクトリドメイン内の類似したオブジェクトを定義するための、一連のルール。すべてのオブジェクトに必要な属性と、オブジェクトごとに任意に設定できる属性を指定

します。

親共有ディレクトリドメインから別のコンピュータに設定情報を提供するコンピュータ。

管理された環境設定管理者によって制御されるシステム環境設定またはアプリケーション環境設定。管理者は、「ワークグループマネージャ」を使用して、 Mac OS X の管理対象のクライアントの特定のシステム環境設定を制御できます。

管理者サーバまたはディレクトリドメインの管理権限を持つユーザ。管理者は常に、あらかじめ定義されている「 admin」グループのメンバーです。

管理用コンピュータ「 Mac OS X Server Admin」 CDからサーバ管理アプリケーションをインストールした Mac OS Xコンピュータ。

管理対象のクライアントアクセス権や環境設定が管理者によって制御されているユーザ、グループ、またはコンピュータ。

用語集 229

230

共有ポイントネットワークを介してアクセスできるフォルダ、ハードディスク（またはハードディスクのパーティション）、または CD。共有ポイントは、共有項目のグループの最上位レベルのアクセスポイントになります。 AFP、 Windows SMB、 NFS（「エクスポート」）、または FTP プロトコルを使用して共有できます。

クラス「オブジェクトクラス」を参照してください。

クラッカーコンピュータシステムに認証されていないアクセスをしようとする悪意のあるユーザ。コンピュータまたはネットワークを混乱させたり、情報を不正に取得することを目的としています。

「ハッカー」と比較してください。

グループ類似する必要条件を持つユーザの集まり。グループを使用すると、共有リソースの管理を簡素化できます。

グループフォルダグループメンバーに特に関係のある書類やアプリケーションをまとめ、メンバー間で情報の受け渡しをするためのディレクトリ。

ゲストユーザユーザ名またはパスワードを入力せずにサーバにログインできるユーザ。

権限の付与特定のリソースへのアクセスをユーザに許可するかどうか、およびそのユーザにどの程度のアクセス権を許可するかを決定する処理。通常は、認証処理がユーザの識別情報を証明した後

に実行されます。たとえば、ファイルサービスは、フォルダとファイルを所有しているユーザが認

証されたときに、それらのリソースへのすべてのアクセス権を付与します。

検索パス「検索方式」を参照してください。

検索ベース LDAPディレクトリのエントリー階層のどこから情報検索を開始するかを識別するための識別名。

検索方式 Mac OS Xコンピュータで設定情報が必要なときに検索するディレクトリドメインのリスト、およびドメインの検索順序。検索パスとも呼ばれます。

子設定情報を親の共有ディレクトリドメインから取得するコンピュータ。

コンピュータアカウント「コンピュータリスト」を参照してください。

コンピュータリスト同じ環境設定を持ち、同じユーザおよびグループから利用できるコンピュータのリスト。

識別名 LDAP ディレクトリ内のエントリー（オブジェクト）を指定します。ディレクトリエントリーはカンマで区切って指定します。最初にエントリー自体を指定してから、その下位にあるエン

トリーを順番に指定していきます。例：“ cn=users, dc=example, dc=com”

シャドウパスワードサーバ上の安全なファイルに保管されるパスワード。 Mac OS X Server の各サービスから要求される、既存のさまざまなネットワークユーザ認証方法を使って認証されます。認

証方法には、 APOP、 CRAM-MD5、 DHX、 LAN Manager、 NTLMv1、 NTLMv2、および WebDAV-Digestがあります。

用語集

ショートネームユーザの簡略名。「ユーザ名」と画面では表示されることがあります。 Mac OS Xでは、ショートネームは、ホームディレクトリ、認証、およびメールアドレスに使用されます。

シングルサインオン認証方式の 1つで、ネットワークサービス単位にユーザ名とパスワードを入力する操作から、ユーザを解放します。 Mac OS X Server では、シングルサインオンを有効にするために、 Kerberos が使用されます。

信頼されたバインドコンピュータとディレクトリドメインの間で相互に認証されている接続。コンピュータは自分の識別情報を証明するための資格情報を渡し、ディレクトリドメインは自分の認証

を証明するための資格情報を渡します。

スキーマディレクトリドメインに保管できる情報を定義するために、属性とレコードタイプ（クラス）構造を記述したもの。

スタンドアロンサーバネットワーク上にサービスを提供するけれども、ほかのサーバからディレクトリサービスを取得したり、ほかのコンピュータにディレクトリサービスを提供することがない

サーバ。

属性特定の種類の情報が含まれ、ディレクトリドメインの特定のエントリー（レコードまたはオブジェクト）に属している、名前付きのデータ項目。属性には、実際のデータとして、属性値が設定

されます。

チケット、 Kerberos Kerberos クライアントの識別情報をサービスに証明するための一時的な資格情報。

ディレクトリサービスディレクトリドメインや、ユーザやリソースに関するその他の情報ソースへのアクセスを、システムソフトウェアおよびアプリケーションに統合的に提供するサービス。

ディレクトリドメインユーザおよびネットワークリソースのアクセス権情報を保存する特殊なデータベース。この情報は、システムソフトウェアやアプリケーションで使用されます。このデー

タベースは、多数の要求を処理し、情報をすばやく検索および取得できるように最適化されていま

す。ディレクトリノードまたは単にディレクトリとも呼ばれます。

ディレクトリドメイン階層ローカル・ディレクトリドメインと共有ディレクトリドメインの編成方法の 1 つ。階層は逆ツリー構造になっていて、ルートドメインが最上位にあり、ローカルドメインが最下位にあります。

ディレクトリノード「ディレクトリドメイン」を参照してください。

認証ユーザの識別情報を提供する処理。通常は、ユーザ名とパスワードを検証します。通常は、権限の付与処理がリソースに対するユーザのアクセスレベルを決定する前に実行されます。たとえば、

ファイルサービスは、フォルダとファイルを所有しているユーザが認証されたときに、それらのリ

ソースへのすべてのアクセス権を付与します。

認証局属性ユーザに指定されたパスワード検証方法を識別する値。必要に応じて、それ以外の情報も含まれます。

用語集 231

232

バインド（名詞）コンピュータとディレクトリドメインとの関連付け。識別情報、承認、およびその他の管理データを取得するために行われます。（動詞）そのような関連付けを行う処理。「信頼さ

れたバインド」も参照してください。

パスワードユーザの識別情報を認証したり、ファイルまたはサービスへのアクセスを承認するために使用される英数文字列。

パスワードサーバ「オープンディレクトリ・パスワード・サーバ」を参照してください。

ハッカープログラミングが趣味で、新しい機能のプログラミングやコンピュータシステムの機能の拡張を追究する人のこと。「クラッカー」も参照してください。

ハッシュ（名詞）盗聴できないように暗号化された形式のパスワードまたはその他のテキスト。

プライマリグループユーザのデフォルトグループ。ユーザが自分が所有していないファイルにアクセスするとき、ファイルシステムはプライマリグループの IDを使用します。

プライマリグループ ID プライマリグループを識別する一意の番号。

プリンシパル、 Kerberos Kerberos がクライアントまたはサービスを認証するために必要な、それらの識別名などの識別情報。ユーザプリンシパルは通常、ユーザの名前、またはユーザの名前と Kerberos 保護領域の組み合わせです。サービスのプリンシパルは通常、サービスの名前、サーバの完全修飾 DNS 名、および Kerberos保護領域の組み合わせです。

プロトコル 2 つのアプリケーションの間でどのようにデータを送受信するかを定義した一連のルール。

ホームディレクトリユーザが個人的に使用するためのフォルダ。 Mac OS Xユーザのシステム環境設定や管理されたユーザ設定を保管するためなどに Mac OS X がホームディレクトリを使用することもあります。

マルチキャスト DNS IP ネットワーク上のコンピュータ、装置、およびサービスを自動的に検出するための、アップルが開発したプロトコル。このインターネットプロトコルは、標準化が企画され

ており、「 ZeroConf」、「ゼロコンフ」などと呼ばれることもあります。詳しくは、 www.apple.com/jpまたは www.zeroconf.orgを参照してください。 Mac OS X Serverでこのプロトコルを使用する方法については、「ローカルホスト名」を参照してください。

身分証明書特別な Kerberos チケットで、クライアントはこのチケットを使って、その保護領域内のサービスのチケットを取得できます。クライアントが身分証明書を取得するには、識別情報を証

明する必要があります。たとえば、有効な名前とパスワードをログインするときに入力します。

ユーザ名ユーザのロングネームまたはショートネーム。「ユーザの名前」とも呼ばれ、画面で「名前」と表示されるユーザ名は、たいていユーザのロングネームです。ユーザのロングネームには、リ

アルネーム（実名）を使用することがあります。画面で「ユーザ名」と表示されるのは、たいてい

ショートネームのことです。

ローカルドメイン所属するコンピュータだけがアクセスできるディレクトリドメイン。

用語集

ローカルホスト名ローカルサブネットでコンピュータを指定するための名前。グローバル DNS システムなしで使用して名前と IP アドレスを解決できます。小文字、数値、またはハイフン（最後の文字としては使用できません）で構成され、最後は「 .local」になります（たとえば、 bills-computer.local）。この名前はデフォルトでコンピュータ名から取られますが、ユーザは「システム環境設定」の「ネットワーク」パネルでこの名前を指定できます。この名前は簡単に変更すること

ができ、 DNS名または完全修飾ドメイン名を使用しているところであればどこででも使用できます。この名前は、この名前を使用するコンピュータと同じサブネットでのみ解決できます。

ロングネーム長い形式のユーザ名またはグループ名。「ユーザ名」も参照してください。

用語集 233

索引

索引

AACL属性 200Active Directory～からバインドを解除する 149～の管理者グループ 147～への LDAPv3のアクセス 149～へのアクセスを設定する 141Kerberos 63UIDマッピング 145UNIXシェル 145アカウントを編集する 149グループ GID のマッピング 146検索方式と～ 142, 150サービスを有効にする／無効にする 110資格情報のキャッシュ 143バインディング 141フォレスト 140複製 140プライマリ GIDのマッピング 146プラグイン 139ホームフォルダ 143モバイルアカウント 143問題を解決する 172優先するサーバ 147

APOPによる認証 50AppleTalkサービス検出プロトコル 26サービス検出を有効にする／無効にする 111

Authentication Manager 54, 90, 107

B

Berkeley DB 11Bonjour 26, 112BSD設定ファイルサービスを有効にする／無効にする 111使用する 151データを格納する 152歴史 21

C

CIFS

→「 SMB/CIFS」を参照 CRAM-MD5による認証 50

D

DHCPDHCPクライアント用の LDAPサーバ 37, 114, 117, 118NetInfoバインディング 114, 117, 154Option 95 37移行された LDAPディレクトリと～ 92オープンディレクトリの複製と～ 78自動検索方式と～ 37, 114ディレクトリサービスのセキュリティ 117

DHCP Option 95 37DHXによる認証 41, 50Digest-MD5による認証 50DNS（ Domain Name System）

Bonjour 26Kerberos と～ 75, 81, 169

K

kadmin ログ 160KDC→「 Kerberos」を参照

kdcログ 160Kerberos～とスマートカード 47Active Directory 63, 141, 142DNS と～ 75, 81～をサポートするサービス 48, 81LDAP暗号化 88, 129LDAPデジタル署名 87, 129Man-in-the-Middle攻撃をブロックする 88, 129アーカイブから復元する 168委任された権限 83, 85, 174オープンディレクトリのマスター 82起動する 82時間の同期 50, 173使用する 48セキュリティ 47接続する 83, 174設定する 81説明 45相互保護領域 64チケット 49停止する 169

235

236

展開の障壁 46認証機関 43認証プロセス 49パスワード方式 44, 49, 99, 100複数の保護領域 63複製 61プリンシパル 48身分証明書 49保護領域 48, 76, 83問題の解決 173問題を解決する 173, 174有効にする 99ユーザに対して有効にする 99

Kerberosに対応しているサービス 48Kerberos保護領域に接続する 85, 174

L

LAN Manager による認証 50LDAP→「ディレクトリドメイン」も参照 DHCP から提供される～ 117, 118, 132LDAPv2の強制 135～にバインドする 37, 54～による Active Directoryのアクセス 149Mail やアドレスブックでディレクトリにアクセスする 118Man-in-the-Middle 攻撃をブロックする 88, 129NetInfo から移行する 90RFC 2307 137SSL 89, 124, 127アーカイブから復元する 168アーカイブする 167アイドルタイムアウト 134アクセス設定を削除する 126アクセス設定を複製する 125アクセスの設定を変更する 124アップル以外 137暗号化された～ 88, 129エントリー 28オブジェクトおよび属性をマップする 129オブジェクトクラス 28, 178共有ドメイン 36クエリータイムアウト 134クライアントを NetInfoから切り替える 92クリア・テキスト・パスワード 87, 129検索結果を制限する 88検索タイムアウト 89検索範囲 29検索ベース 29検索方式と～ 122, 123, 126構造 29サーバからのマッピング 131サーバの紹介 135サービスを有効にする／無効にする 111再バインド試行の待ち時間 134識別名 29

自動検索方式と～ 37手動で設定する 122使用するポート 66信頼されたバインディング 118, 129, 132, 133スキーマ拡張 178セキュリティ 117, 128接続設定を変更する 127設定を隠す 119設定を表示する 119相対識別名 29属性 185ディレクトリアクセス制御（ DAC） 163ディレクトリ・サービス・プロトコル 25ディレクトリにアクセスする 120, 122データベースの場所 88データを格納する 138デジタル署名された～ 87, 129認証 129, 135, 136開く／閉じるのタイムアウト 133複製 61ポート設定 127読み出し専用 138ログ 160

LDAPの検索結果を制限する 88LDAPバインド認証 54, 104Lightweight Directory Access Protocol（ LDAP）→「 LDAP」を参照

lookupdログ 160

M

Mac OS X Server～で使用されるデータ項目 221管理用アプリケーション 67共有ディレクトリドメイン 31新機能 12

MailLDAPディレクトリアクセス 118

Man-in-the-Middle攻撃 88, 129MS-CHAPv2による認証 50, 51, 81, 171

N

NAT ルーター , オープンディレクトリと～ 63NetInfo→「ディレクトリドメイン」も参照 LDAPに移行する 90下位層 153共有ドメイン 36クライアントを LDAPに切り替える 92サービスを有効にする／無効にする 112上位層 153セキュリティ 117ディレクトリ・サービス・プロトコル 25ドメインを無効にする 90, 92バインディング 117, 153ポート設定 156

索引

ログ 160NetInfo マネージャ 69, 155, 156NISにアクセスする 151NTLMv2による認証 51, 80NTLM による認証 50NTによる認証 50

O

OpenLDAP 11

R

RealName, LDAP属性にマップする 130RecordName, LDAP属性にマップする 130RFC 2252 178RFC 2307 137, 178RFC 2798 178

S

SASL（ Simple Authentication and Security Layer） 50slapconfig.lock 170slapconfigログ 160SLP（ Service Location Protocol） 26, 112SMB/CIFS

Windowsプロトコル 26サービスの検出を設定する 113

SMB-LAN Manager による認証 50SMB-NTによる認証 50SSH制限する 158

SSLLDAPv3ディレクトリアクセス 124, 127オープンディレクトリ・サービス 89

T

time-to-liveオブジェクトクラス 179time-to-live属性 185

U

UIDマッピング , Active Directory 145UNIX

BSD設定ファイル 151オープンディレクトリとの比較 21シェルの属性 , Active Directory 145設定ファイル 22

V

VPNによる認証 51, 81, 171

W

WebDAV-Digest による認証 50Windowsサービス

SMB/CIFSを経由して検出する 113認証 11, 51, 80

Windowsワークグループを変更する 113WINSを設定する 113

X

xml plist属性 196

あアーカイブ , オープンディレクトリのマスター 167アイドルタイムアウト , LDAP 134アドレスブック

LDAPディレクトリアクセス 118暗号化

LDAP 89パスワード 43, 51

暗号化パスワード 41, 97, 105問題の解決 174

い移行

NetInfoから LDAP 90委任された Kerberos 権限 81, 83, 85, 174インスペクタ～を使って DACを設定する 163～を使ってレコードを削除する 163隠す 162表示する 161ユーザ名（ショートネーム）を使って変更する 162

えエントリー , LDAP 28

おオープンディレクトリ→「ディレクトリサービス」、「オープンディレクトリのマスター」、「オープンディレクトリの複製」も参照 NAT ルーターと～ 63UNIXシステムとの比較 23UNIXの特性を継承 21アクセス権と～ 24アップル以外のドメインを検索する 32～内に格納されている情報 26～の使用 24–25監視する 160管理者権限 103管理対象ネットワーク表示 25管理対象のクライアントデータと～ 25クオータと～ 25グループレコードと～ 25計画する 57検索方式 33サービスの検出と～ 26自動マウント共有ポイントと～ 25情報の管理 24, 26スキーマ 178セキュリティ 65設定 71パフォーマンス 65複製 120, 122

索引 237

238

プロトコルを設定する 110ホームディレクトリと～ 25メール設定と～ 25

オープンディレクトリのパスワード説明 40認証方法 51, 102変更する 96問題を解決する 171, 172

オープンディレクトリの複製～へのアクセスを制御する 157Kerberosが停止する 169監視する 160状況のチェック 159設定する 77, 170説明 61デコミッションする 166パスワード方式 61複数 79マスターからのフェイルオーバー 79マスターに昇格する 165

オープンディレクトリのマスター Kerberos 82Kerberosが停止する 169アーカイブから復元する 168アーカイブする 167～へのアクセスを制御する 157状況のチェック 159シングルサインオン 82設定する 75説明 61複製から昇格した～ 165複製へのフェイルオーバー 79

オープンディレクトリ・パスワード・サーバアーカイブする 167Windows認証 11アーカイブから復元する 168管理する 75, 77セキュリティ 52設定する 75, 77データベース 53認証機関 43パスワード方式 44, 99, 100複製 61

オブジェクトクラス 28, 178オフライン攻撃 42

か管理データ→「ディレクトリドメイン」を参照

下位 NetInfoドメイン 153カスタム検索方式赤色の項目 110, 111, 112使用する 115, 117, 122, 123, 126, 150セキュリティと～ 117説明 38

管理者 Active Directory のグループ 147Kerberos 81NetInfo 153オープンディレクトリ 103オープンディレクトリ・パスワード・サーバ 103～のパスワード 104, 175ディレクトリサービスのために選ぶ 73パスワード方式 44, 99, 100

管理対象ネットワーク表示 25管理対象のクライアント , アップル以外の LDAPマッピング 137管理対象のクライアントデータ 25管理用コンピュータ 67関連グループ属性 200関連グループのオブジェクトクラス 184

き起動に時間がかかる 117, 170基本認証 41共有ディレクトリドメイン→「 LDAP」、「 NetInfo」も参照管理する 75, 77既存の共有ディレクトリドメインに接続する 80情報の格納 31

くクエリータイムアウト , LDAP 134クオータ , ユーザ設定 25クリアテキストパスワード 50グループ GIDのマッピング , Active Directory 146グループアカウント , Active Directoryで変更する 149グループ属性 190, 205, 222–223グループのオブジェクトクラス 180グループレコード 25, 205グローバルパスワード方式 99

け計画する 57検索タイムアウト , LDAP 89検索範囲 , LDAP 29, 129検索ベース

LDAPディレクトリ 29, 76～のオブジェクトクラス 129, 130サーバに保存した検索ベースをマッピングする 131サフィックス 121, 123, 124, 125

検索方式 Active Directory を追加する 142, 150BSDファイルを追加する 152LDAPディレクトリを追加する 122, 123, 126NIS を追加する 151カスタム 38, 115, 117, 122, 123, 126自動 36セキュリティと～ 117説明 33, 114

索引

変更する 117モバイルコンピュータ 117ローカルディレクトリ 34, 116

こコマンドラインシェルの属性 , Active Directory 145コンタクト検索方式赤色の項目 110, 111, 112カスタム 115, 117, 122, 123, 126, 150自動 114説明 33, 114ローカルディレクトリのみ 116

コンテナのオブジェクトクラス 179コンピュータ属性 194コンピュータのオブジェクトクラス 181コンピュータリスト属性 195, 224コンピュータリストのオブジェクトクラス 182コンピュータレコードの属性 223

さサーバアシスタント 73サーバアシスタント設定のオブジェクトクラス 184サーバ管理

SSH アクセスの制御 158オープンディレクトリのアクセス制御 157オープンディレクトリの状況 159オープンディレクトリの複製 77, 165, 167オープンディレクトリの複製の監視 160オープンディレクトリのマスター 75既存のディレクトリドメインに接続する 80使用 67ディレクトリサービス情報 160ログインウインドウへのアクセス制御 158

サーバ管理ガイド 15サーバの紹介 , LDAP 135サーバのセキュリティ 60サービス URL 属性 196サービスアクセス制御リスト 40サービス拒否攻撃 88, 89サービス属性 199サービスのオブジェクトクラス 184サービスの検出 26, 110再バインド試行の待ち時間 , LDAP 134サフィックス , 検索ベース 76, 121, 123, 124, 125

し資格情報のキャッシュ , Active Directory 143時間、 Kerberos用に同期 50識別名（ DN） 29自動検索方式→「検索方式」も参照～で提供される LDAP マッピング 132使用する 114セキュリティと～ 117説明 36

モバイルコンピュータ 117シャドウパスワード設定する 98説明 41認証機関 43認証方法 52, 101

上位 NetInfoドメイン 153状況オープンディレクトリの複製 159オープンディレクトリのマスター 159

冗長性 , オープンディレクトリ 65シングルサインオン→「 Kerberos」も参照 Kerberos チケット 46説明 44

信頼されたバインディング , LDAP 132, 133

すスキーマ

Active Directory 139, 140, 145, 146LDAPのマッピング 129オープンディレクトリの拡張 178属性 201

スタンドアロンサーバ 73スマートカード認証 47

せセキュリティ

DHCPから提供されるディレクトリサーバ 117LDAP接続 117, 128NetInfoバインディング 117オープンディレクトリ 65サーバハードウェアの～ 60自動検索方式 117認証方法 52, 53パスワード 42

設定属性 196設定のオブジェクトクラス 182設定ファイル→「 BSD設定ファイル」を参照

設定レコード , アップル以外の LDAP マッピング 137設定レコード , 属性 225

そ相対識別名（ RDN） 29属性→「特定の属性」も参照 ACL 200Active Directory をマッピングする 145, 146LDAP 185LDAPをマップする 129time-to-live 185xml plist 196関連グループ 200グループ 190, 205, 222–223

索引 239

240

個人 210コンピュータ 194, 207, 223コンピュータリスト 195, 208, 224サービス 199サービス URL 196自動サーバ設定 216スキーマ 201設定 196, 209, 225説明 28追加する 131認証機関 198場所 198, 216プリセットグループ 212プリセットコンピュータリスト 212プリセットユーザ 198, 213プリンタ 193, 215マウント 192, 206, 224–225マシン 191ユーザ 185, 202, 217–220

ちチケット , Kerberos 49

てディレクトリアクセスアプリケーション

Active Directoryの UIDバインディング 145Active Directoryの UNIXシェルの属性 145Active Directoryの管理者グループ 148Active Directoryのグループ GIDのマッピング 147Active Directoryのバインディング 141Active Directoryのバインド解除 149Active Directoryのプライマリ GIDのマッピング 146Active Directoryの優先するサーバ 147Active Directoryフォレストまたはドメイン 148Active Directoryホームフォルダ 144Active Directoryを有効にする／無効にする 110AppleTalkを有効にする／無効にする 111BSDへのアクセス 151BSDを有効にする／無効にする 111DHCP 経由の LDAPアクセス 119LDAPv3検索ベースとマッピング 130, 137LDAPv3サーバの紹介 135LDAPv3セキュリティオプション 128LDAPv3接続オプション 127LDAPv3接続を認証する 136LDAPv3設定を表示する／隠す 119LDAPv3による Active Directory 150LDAPv3のアイドルタイムアウト 134LDAPv3のクエリータイムアウト 134LDAPv3の再バインド試行の待ち時間 134LDAPv3の信頼されたバインディング 132, 133LDAPv3の設定を削除する 126LDAPv3の設定を追加する 120, 122LDAPv3の設定を複製する 125LDAPv3の設定を変更する 124

LDAPv3の開く／閉じるのタイムアウト 133LDAPv3を有効にする／無効にする 112LDAPv2接続を強制する 135NetInfoバインディングを設定する 154NetInfoを有効にする／無効にする 112NIS へのアクセス 151RFC 2307 137SLPを有効にする／無効にする 112SMB/CIFS を設定する 113SMB/CIFS を有効にする／無効にする 113カスタム検索方式を定義する 115検索方式 114–117自動検索方式を定義する 115使用 68リモートサーバの設定 109ローカルドメイン検索方式 116

ディレクトリアクセス制御（ DAC） 163ディレクトリサービス→「オープンディレクトリ」も参照 11管理者 73計画する 72状況 160ツールの概要 67ネットワークでの役割 20利点 19ログ 160

ディレクトリサービスとアクセス権 24ディレクトリサービスと自動マウント 25ディレクトリシステムへの接続 80ディレクトリドメイン計画する 57整理 28セキュリティ 60～内に格納されている情報 20, 59～のユーザアカウント 20～への変更を簡素化する 59要件 60

データベース Berkeley DB 11, 60Kerberos 48, 65LDAP 65, 88オープンディレクトリ・パスワード・サーバ 53, 65ディレクトリドメイン 20, 60

テンプレート , LDAPのマッピング 129

に認可 40認証

Kerberos 40, 44, 45, 81, 83, 85, 99暗号化パスワード 41オープンディレクトリ 40監視する 160シャドウパスワード 41セキュリティ 52, 53認証機関属性 43～と認可 40

索引

方法 50, 101, 102認証機関属性 43, 198認証機関のオブジェクトクラス 184認証検索方式赤色の項目 110, 111, 112カスタム 115, 117, 122, 123, 126, 150自動 114セキュリティと～ 117説明 33, 114ローカルディレクトリのみ 116

ねネットワークサービス検出プロトコル 26～で使用されるデータ項目 221

ネットワークホーム , Active Directory 143

はバインディング

Active Directory 141LDAP 37, 114, 132, 133NetInfo 153

バインドを解除する Active Directory 149LDAP 133

場所属性 198場所のオブジェクトクラス 184パスワード暗号化パスワードタイプ 41, 97オープンディレクトリに移行する 105オープンディレクトリのパスワードタイプ 40, 96オフライン攻撃 42解読する 42管理者 104クリアテキスト 50, 87, 129互換性がない 171作成する 93シャドウパスワードタイプ 41, 98複数をリセットする 95複製で変更を同期させる 79変更する 94変更できない 171問題の解決 171, 174読み込まれたユーザ 105

パスワードサーバ→「オープンディレクトリ・パスワード・サーバ」を参照

パスワードサービスのログ 160パスワードタイプ暗号化パスワード 41, 97オープンディレクトリのパスワード 40, 96シャドウパスワード 41, 98説明 39

変更する 96パスワード方式

Kerberos 44, 49オープンディレクトリ・パスワード・サーバ 44管理者 44, 101グローバル 99個々のユーザ 100複製 61モバイルユーザ 44

ハッシュ , パスワード 41, 51パフォーマンス , オープンディレクトリ 65

ひ開く／閉じるのタイムアウト、 LDAP 133

ふフェイルオーバー

Active Directory 140オープンディレクトリ 79, 120, 122

負荷分散 62複製

Active Directory 140オープンディレクトリ 120, 122→「オープンディレクトリの複製」を参照計画する 61低速のネットワークリンクと～ 61頻度 164フェイルオーバー 79複数の建物 62

プライマリ GIDのマッピング , Active Directory 146プリセットグループのオブジェクトクラス 182プリセットコンピュータリストのオブジェクトクラス 182プリセットユーザ属性 198プリセットユーザのオブジェクトクラス 183プリンシパル , Kerberos 48プリンタ属性 193プリンタのオブジェクトクラス 181プロトコル→「特定のプロトコル」も参照オープンディレクトリ 110サービスの検出 26ディレクトリサービス 110

身分証明書 , Kerberos 49

へヘルプを使用する 14無変換のディレクトリデータを編集する 161

ほホームディレクトリ 25ホームフォルダ

Active Directory 140, 143保護領域 , Kerberos 48, 76, 83

索引 241

242

まマウント属性 192マウントのオブジェクトクラス 180マウントレコード 206, 224–225マシン属性 191マシンのオブジェクトクラス 180マスター→「オープンディレクトリのマスター」を参照

マッピング Active Directory 146Active Directory属性 146, 145LDAPオブジェクトおよび属性 129グループレコード 205, 222–223個人レコード 210コンピュータリストレコード 208, 224コンピュータレコード 207, 223自動サーバ設定レコード 215設定レコード 209, 225場所レコード 216プリセットグループレコード 212プリセットコンピュータリストレコード 211プリセットユーザレコード 213プリンタレコード 214マウントレコード 206, 224–225ユーザレコード 201, 217–220

マニュアルアップデート 16オンスクリーンヘルプ 14ガイド 13, 15使用する 14資料 16

マルチキャスト DNS 26

もモバイルアカウント

Active Directory 140, 143

ゆユーザログインの手順 76

ユーザアカウント Active Directoryで変更する 149ディレクトリドメイン内の～ 20

ユーザのオブジェクトクラス 179ユーザ名（ショートネーム）を変更する 162ユーザレコードサーバで使用される方法 221属性 185, 202, 217–220マッピング 201, 221

よ要件ディレクトリと認証 60

読み込む／書き出す任意のタイプのレコード 164パスワード 105

読み込みと書き出し Authentication Manager ユーザ 107

りリモート管理 67リモートサーバの設定 109

るルートドメイン , NetInfo 153

れレコードタイプ→「特定のレコードタイプ」も参照 LDAPオブジェクトにマップする 130情報 28

ろローカル検索方式 34ローカル・ディレクトリドメイン

NetInfo 153検索方式 34, 116自動検索方式内の～ 36情報の格納 30スタンドアロンサーバ 73

ローカルホーム , Active Directory 143ログ

kadmin 160kdc 160LDAP 160lookupd 160NetInfo 160slapconfig 160ディレクトリサービス 160パスワードサービス 160

ログイン認証する 21, 24問題を解決する 172ユーザの手順 76

ログインウインドウサーバの～へのアクセスを制御する 158

わワークグループマネージャ使用 68～で LDAPドメインを格納する 138

索引

mac os x server...

Documents