くらめその情シス“技”【番外編】:MacのログインをActive Directory認証にする

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 今回は番外編です。


くらめその情シス“技”【番外編】:MacのログインをActive Directory認証にする

前回はユーザー管理(Active Directory)のお話をしましたが、本日はこれに関連するMacでのAD認証についてご紹介します。しかしながら、1年以上前に実施した内容であり、情報が古い部分もございますので、そのことはご了承願います。

前回説明したように社内ユーザー認証基盤の整理統合を行いました。当時、社内のMacは端末個別にユーザー登録し、利用している状況でした。そこで、Active Directory認証に移行すると何がうれしいのか?今後Active Directory認証に移行し、運用するときに問題になりそうなことは何か?というのを調べるため、自身のMacをActive Directoryでログイン認証できるようにし、いろいろ試した内容になります。

前提条件

  • macOS Sierra 10.12.6
  • Active Directory … Windows Server 2012 R2 Standard

事前に必要なもの

  • ADドメイン管理者のユーザーとパスワードが必要です。
  • ADにご自身のユーザーが必要です。
  • Macに管理者権限をもった既存ユーザーが必要です。
  • MacにADと同じ名前のユーザーが いないこと を確認してください(その理由は後述致します)。

設定方法

設定方法は飛ばして、Active Directory認証での疑問を知りたいかたはQ&Aをご覧下さい。

Macの管理者ユーザーで作業

Active Directoryの設定は ディレクトリユーティリティ で行います。Spotlightで検索して実行するか、Finderで システムライブラリCoreServicesApplications から起動します。

が、システム環境設定ユーザとグループ からも起動できるので今回はそちらで進めます。

システム環境設定の「ユーザとグループ」を開きます。

設定がロックされていたらクリックして解除します。 この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

ネットワークアカウントサーバーの「接続」をクリックします。

サーバにドメインコントローラーのサーバー名を入力します。

Active Directoryドメイン管理者のIDとパスワードを入力します。この情報は情報システム担当者に聞いてください。

正しく設定できると緑色のマークが表示されます。

次にActive DirectoryユーザーでMacにログインします。 TIPS:「ファストユーザースイッチメニュー」が有効になっていれば、既存ユーザーをログアウトしなくてもユーザーを切り替えることができます。

ADユーザーで作業(ローカルPCへの管理者権限付与)

Active Directory設定が終わったら、ADユーザーとパスワードでMacにログインします。 もしログインできなければADユーザーとパスワードが間違っている可能性があるので情報システム担当者に確認してください。

今の状態ではPCの管理者権限がなく、アプリケーションのインストール等ができません。 そこで管理者権限を付与します。

システム環境設定の「ユーザとグループ」を開きます。

ログインしたADユーザーにPCの管理者権限を与えます。(下記画像だとすでに付与してるのでグレーアウトされてます) この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

上記画像のようにユーザーに 管理者 と表示されていればOKです。

ADユーザーに管理者権限を正しく割り当てられたかどうかは、Terminalを起動し、sudo -sができればOKです。

今の状態ではネットワークオフライン時にはログインすることができません。 そこでモバイルアカウントを作成します。

システム環境設定の「ユーザとグループ」を開きます。

ADユーザーを選択し、モバイルアカウントの「作成」を開きます。

そのまま「作成」をクリックします。

そのまま「作成」をクリックします。

クリックすると一度ユーザーはログアウトします。ログアウト後に再度パスワードを聞いてくるので入力してください。

パスワード入力後にログインメニューが表示されます。ネットワークオフライン状態(LANケーブルを抜いり、Wifiをオフにした状態)でもADユーザーでログインできることを確認してください。

 

Q&A

Q)Active Directory認証にするとなにが嬉しいのか?

WindowsとmacOSで同じユーザー名、パスワードでログイン認証できるようになります。

利用者からみたメリットはあまりないかもしれませんが、管理者視点でみるとユーザー情報を一元管理できるという点があります。 例えばActive Directory側でユーザーを無効にすると(Windowsと同様)macOSでもログインできなくなります。

Q)すでにActive Directoryと同名のユーザーがいるとどうなるの?

ローカルとADで同じユーザーを作成することはできません。設定自体はできますが、ADユーザーでログインが弾かれます(既存ユーザーが優先されます)。

すでにADと同じユーザーで利用している場合は、一時的に別の管理者ユーザーを作成し、既存のユーザーを削除する必要があります。 削除時にユーザーのホームディレクトリを(.dmgファイルに)アーカイブすることができます。ただファイルサイズが巨大になりディスク容量が不足するかもしれないので注意してください。

※既存ユーザーのアカウント名とホームディレクトリを無理矢理書き換えるという方法もありますが、オススメしません。

Q)既存環境はどうなるのか?

ユーザー固有の設定は再度やり直す必要があります。

下記のものは事前にエクスポートしておき、新しい環境へインポートすると再設定が簡単です。

  • ブラウザのブックマーク
  • 各種ソフトウェアのライセンスキー
  • 日本語IMEの単語辞書
  • Clipy などクリップボードユーティリティのスニペット

Q)Active DirectoryのパスワードはMacから変更できる?

はい、できます。 パスワードは、システム環境設定ユーザとグループから変更できます。またTerminalを起動してpasswdコマンドからも変更できます。

Q)Windowsでパスワード変えたらMacのパスワードも変わる?

はい、変わります

Q)Active Directoryに接続できない環境でもログインできる?

はい、ユーザーのモバイルアカウントを作成すると、Active Directoryに接続できない環境(ネットワークがオフライン等)でもログインすることができます。

Q)Active Directoryでアカウントが無効にされるとどうなる?

Macでもログインできなくなります。

Q)Active Directoryでアカウントロックされるとどうなる?

申し訳ありません、未検証です。(もし、ご存知の方がいれば教えてください。)

ADでは何度かログオンに失敗すると、そのユーザーが一時的にロックアウトされます。その後数分間そのユーザーでログインできなくなるのが正常です。

Q)Active Directoryのパスワードが期限切れになるとどうなる?

ADでパスワードリセット時にユーザーは次回ログオン時にパスワード変更が必要にチェックがついていた場合は、次回Macログイン時に新しいパスワードを求められます。(便利!)

Q)パスワードの有効期限が近づいたらMacでもパスワード変更を求めてくる?

申し訳ありません、未検証です。(もし、ご存知の方がいれば教えてください。)

Q)このMacにログインできるユーザーを限定できる?

はい、できます

システム環境設定ユーザとグループログインオプションネットワークユーザにログインウィンドウでログインすることを許可をチェックし、オプションでログイン可能ユーザーを指定することができます。

ただ設定を誤るとADユーザーで一切ログインできなくなるので注意が必要です。ローカル管理者でログインできる状態にしてから(設定を解除してやり直せる状態にしてから)設定するのが良いです。

まとめ

利用者視点からいうと、ログイン等の使い勝手はあまり変わらなかったです。(ADに問い合わせるため、やや時間がかかるくらい) あとADで認証を一元管理している環境だと、Windowsを持っていなくてもパスワード変更ができるのは便利です。

管理者視点でいうと、ユーザーの管理がActive Directoryで一元化できるのは便利ですね。パスワードポリシーもWindowsと合わせることができますし、ユーザーの無効化もADだけでできます。

巷では各種認証まわりのサービスが登場していますが、Acitive Directoryに対応しているサービスがほとんどです。AWSもAzureもAD ConnectorでサービスとADの連携できますし。 Windowsを利用している企業は既にADを導入していることが多いでしょうから、Macも含めActive Directoryに認証基盤を一元化していくというのが、もっとも筋が良いかなと思っているのですが、いかがでしょうか?


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

関連記事

カテゴリー:

ナレッジ情シス仕事術

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る