MotionWorks.jp | EDIT / VFX / Grading

【 Lion Server 】Mac OSX Lionでオープンディレクトリを作成

個人でMacを使う分にはかまわないのですが、複数人でMacを使う場合いろいろな問題が発生する場合があります。たとえば、どのマシンでも同じアカウントで接続したい、このアカウントにこのアプリケーションは使わせたくない…。これを解決するのがディレクトリサービスです。

ディレクトリサービスはMac OSX Serverで最も重要なサービスの一つです。アクティブディレクトリという言葉を聞いたことがある方は多いかもしれません。多くの企業ではWindowsが採用され、ネットワークでログオンする際このアクティブディレクトリが使用されています。Open DirectoryとはこれのMac版です。

ディレクトリサービスではマシン名の名前解決をDNS(ドメインネームシステム)で行います。DNSはネットワーク接続したマシンに与えられた固有のIPアドレスに対し、そのアドレスから名前を割り出すのがの役目です。(例えるなら郵便番号と住所で〇〇さんの家とわかるようなものです。)ここではDNSの設定は割愛し、ローカルで設定をしてみます。(本来はDNSの設定が最優先です。Macの場合ローカルネットワークの名前解決は Bonjourが行っているのでMac同士の場合あまり気にせずに設定できます。)

サーバーアプリケーションにオープンディレクトリの設定はありません。サーバー管理ツールを利用します。(サーバー管理ツールは別途ダウンロードが必要です。)「サーバー管理」を立ち上げるとサーバーに接続します。

オープンディレクトリの開始

サーバーにサービスを追加するには「サーバー管理」アプリケーションの左ペインからサーバーを選択し、設定→サービスもしくは左下のポップアップから「サービスを追加」から追加することが可能です。OpenDirectoryサービスをチェックし設定を開始します。

設定タブに移動し、一般から役割を変更します。

Open Directoryアシスタントが起動するので『マスターを設定』にチェックを入れます。(設定を変更する場合、前に設定したOpen Directoryの内容がすべて破棄されるのでご注意ください。)『別のディレクトリに接続』は他のディレクトリサービス(アクティブディレクトリなど)に接続する場合に使用し、『複製を設定』はリプリケーションとして使用する場合に使用します。

次にディレクトリ管理者を作成します。ディレクトリ管理者はマスター管理者と区別されオープンディレクトリで作成されたユーザーのみを管理するためのユーザーです。これにパスワードを設定し、次に進みます。

kerberosとは認証の暗号化の方式で強固な認証化を可能にします。今回はローカル限定なのでそのままで結構です。 LDAPとはディレクトリサービスのプロトコルでMacではLDAPv3を用いてユーザー情報を検索しています。組織名、CA管理者のメールアドレスはSSLの認証ファイルに作成に必要な項目ですのでこれを記述します。

設定の確認後Open Directoryのマスターが機能するようになります。

オープンディレクトリの関連付け

次にオープンディレクトリのユーザーを検索できるように関連付けを行います。環境設定の『ユーザーとグループ』でログインオプションを選択します。ネットワークアカウントサーバーのインジケーターが緑になっていることを確認します。(別のマシンからログインできるように設定する場合は『編集』でサーバーを指定する必要があります。)
ネットワークユーザーがマシンにログインできるように許可(拒否)する場合は上のオプションから該当アカウントを指定できます。

ユーザーとグループの登録

通常ユーザーアカウントの登録は環境設定の「ユーザーとグループ」でおこないますが、ネットワークアカウントの管理は「サーバー」アプリケーションを使用します。サーバーアプリケーションではローカルアカウント、ネットワークアカウント双方を参照しています。ここで作成されたユーザー、グループはネットワークアカウントになります。

さらに、ワークグループマネージャーを使用し細かいユーザー設定を行うことができます。LDAPv3にアクセスし、ユーザー設定を変更することができます。ロックを外すためにはオープンディレクトリ管理者で認証する必要があります。

使用するアプリケーションを限定したり、デスクトップの操作などアカウントごとに環境設定を管理することができます。さらに詳細な情報の中の環境設定エディタを使用し、アプリケーションごとのプリファレンスを管理することができます。

Managed Client:環境設定エディタを使って設定を管理する方法を参照してください。

他のマシンからアクセスする場合、ログイン方法が『ユーザーのリスト』になっている場合、他のユーザーが表示されない場合があります。矢印が表示されるまでしばらく待ってクリックするとその他のユーザーが現れます。

コメントを残す