MacのログインをActive Directory認証にしてみたら情シスがうれしいかもしれない

MacのログインをActive Directory認証にしてみたら情シスがうれしいかもしれない
245件のシェア(すこし話題の記事)

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは植木和樹@上越妙高オフィスです。最近社内ユーザー認証基盤の整理統合を進めています。その流れで先日自分のMacをActive Directoryでログイン認証できるようにしてみました。

いま社内のMacは端末個別にユーザー登録して利用しています。Active Directory認証に移行するとなにがうれしいのか?今後Active Directory認証に移行し、運用するときに問題になりそうなのはなにか?というのを調べるため自身のユーザーでいろいろ試してみました。

前提条件

  • macOS Sierra 10.12.6
  • Active Directory ... Windows Server 2012 R2 Standard

事前に必要なもの

  • ADドメイン管理者のユーザーとパスワードが必要です。
  • ADにご自身のユーザーが必要です。
  • Macに管理者権限をもった既存ユーザーが必要です。
  • MacにADと同じ名前のユーザーが いないこと を確認してください(後述)。

設定方法

設定方法は飛ばして、Active Directory認証での疑問を知りたいかたはQAに飛んでください。

Macの管理者ユーザーで作業

Active Directoryの設定は ディレクトリユーティリティ で行います。Spotlightで検索して実行するか、Finderで システム - ライブラリ - CoreServices - Applications から起動します。

が、システム環境設定 - ユーザとグループ からも起動できるので今回はそちらで進めます。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

設定がロックされていたらクリックして解除します。 この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

20171023_osx_ad_001

ネットワークアカウントサーバーの「接続」をクリックします。

20171023_osx_ad_002

サーバにドメインコントローラーのサーバー名を入力します。

20171023_osx_ad_003

Active Directoryドメイン管理者のIDとパスワードを入力します。この情報は情報システムチームに聞いてください。

20171023_osx_ad_004

正しく設定できると緑色のマークが表示されます。

20171023_osx_ad_005

次にActive DirectoryユーザーでMacにログインします。 TIPS:「ファストユーザースイッチメニュー」が有効になっていれば、既存ユーザーをログアウトしなくてもユーザーを切り替えることができます。

ADユーザーで作業(ローカルPCへの管理者権限付与)

Active Directory設定が終わったら、ADユーザーとパスワードでMacにログインします。 もしログインできなければADユーザーとパスワードが間違っている可能性があるので情報システムチームに聞いてください。

いまの状態だとPCの管理者権限がなく、アプリケーションのインストール等ができません。 そこで管理者権限を付与します。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

ログインしたADユーザーにPCの管理者権限を与えます。(下記画像だとすでに付与してるのでグレーアウトされてます) この時既存ユーザー(Macの管理者権限)のID・パスワードを聞かれるので入力してください。

20171023_osx_ad_006

上記画像のようにユーザーに 管理者 と表示されていればOKです。

ADユーザーに管理者権限を正しく割り当てられたかどうかは、Terminalを起動してsudo -sができればOKです。

ADユーザーで作業(ネットワーク未接続時もログイン可能にする)

いまの状態だとネットワークオフライン時にはログインすることができません。 そこでモバイルアカウントを作成します。

システム環境設定の「ユーザとグループ」を開きます。

20171023_osx_ad_000

ADユーザーを選択し、モバイルアカウントの「作成」を開きます。

20171023_osx_ad_101

そのまま「作成」をクリックします。

20171023_osx_ad_102

そのまま「作成」をクリックします。

20171023_osx_ad_103

クリックすると一度ユーザーはログアウトします。ログアウト後に再度パスワードを聞いてくるので入力してください。

パスワード入力後にログインメニューが表示されます。ネットワークオフライン状態(LANケーブルを抜いり、Wifiをオフにした状態)でもADユーザーでログインできることを確認してください。

参考ページ

QA

Active Directory認証にするとなにがうれしいの?

WindowsとmacOSで同じユーザー名、パスワードでログイン認証できるようになります。

利用者からみたメリットはあまりないかもしれませんが、管理者視点でみるとユーザー情報を一元管理できるという点があります。 例えばActive Directory側でユーザーを無効にすると(Windowsと同様)macOSでもログインできなくなります。

すでにActive Directoryと同名のユーザーがいるとどうなるの?

ローカルとADで同じユーザーを作成することはできません。設定自体はできますが、ADユーザーでログインが弾かれます(既存ユーザーが優先されます)。

すでにADと同じユーザーで利用している場合は、一時的に別の管理者ユーザーを作成し、既存のユーザーを削除する必要があります。 削除時にユーザーのホームディレクトリを(.dmgファイルに)アーカイブすることができます。ただファイルサイズが巨大になりディスク容量が不足するかもしれないので注意してください。

※既存ユーザーのアカウント名とホームディレクトリを無理矢理書き換えるという方法もありますが、オススメしません。

20171023_osx_ad_201

既存環境はどうなるの?

ユーザー固有の設定は再度やり直す必要があります。

下記のものは事前にエクスポートしておき、新しい環境へインポートすると再設定が簡単です。

  • ブラウザのブックマーク
  • 各種ソフトウェアのライセンスキー
  • 日本語IMEの単語辞書
  • Clipy などクリップボードユーティリティのスニペット

Active DirectoryのパスワードはMacから変更できる?

はい、できます。 パスワードは、システム環境設定 - ユーザとグループから変更できます。またTerminalを起動してpasswdコマンドからも変更できます。

Windowsでパスワード変えたらMacのパスワードも変わる?

はい、変わります

Active Directoryに接続できない環境でもログインできる?

はい、ユーザーのモバイルアカウントを作成すると、Active Directoryに接続できない環境(ネットワークがオフライン等)でもログインすることができます。

Active Directoryでアカウントが無効にされるとどうなる?

Macでもログインできなくなります。

Active Directoryでアカウントロックされるとどうなる?

ごめんなさい、未検証です。もしご存知の方がいれば教えてください。

ADでは何度かログオンに失敗すると、そのユーザーが一時的にロックアウトされます。その後数分間そのユーザーでログインできなくなるのが正常です。

Active Directoryのパスワードが期限切れになるとどうなる?

ADでパスワードリセット時にユーザーは次回ログオン時にパスワード変更が必要にチェックがついていた場合は、次回Macログイン時に新しいパスワードを求められます。(便利!)

パスワードの有効期限が近づいたらMacでもパスワード変更を求めてくる?

ごめんなさい、未検証です。もしご存知の方がいれば教えてください。

このMacにログインできるユーザーを限定できる?

はい、できます

システム環境設定 - ユーザとグループ - ログインオプションネットワークユーザにログインウィンドウでログインすることを許可をチェックし、オプションでログイン可能ユーザーを指定することができます。

20171023_osx_ad_202

20171023_osx_ad_203

20171023_osx_ad_204

ただ設定を誤るとADユーザーで一切ログインできなくなるので注意が必要です。ローカル管理者でログインできる状態にしてから(設定を解除してやり直せる状態にしてから)設定するのが良いです。

まとめ

利用者視点からいうと、ログイン等の使い勝手はあまり変わらなかったです。(ADに問い合わせるため、やや時間がかかるくらい) あとADで認証を一元管理している環境だと、Windowsを持っていなくてもパスワード変更ができるのは便利です。

管理者視点でいうと、ユーザーの管理がActive Directoryで一元化できるのは便利ですね。パスワードポリシーもWindowsと合わせることができますし、ユーザーの無効化もADだけでできます。

巷では各種認証まわりのサービスがでていますが、Acitive Directoryに対応しているサービスがほとんどです。AWSもAzureもAD ConnectorでサービスとADの連携できますし。 Windowsを利用している企業は既にADを導入していることが多いでしょうから、Macも含めActive Directoryに認証基盤を一元化していくというのが筋がいいんじゃないかなと思っているのですが、どうでしょう?