ディレクトリ・サーバにバインド

MobiControl v14 Manual


ディレクトリ・サーバにバインド(紐づけ)

MobiControlは、macOSコンピュータを管理するためのディレクトリ・サーバとして、Microsoft AD_DS(Active Directory Domain Service)、Apple OD(Open Directory)及びLDAPをサポートします。
このページで説明する構成プロファイルで、macOSコンピュータ(群)を、ディレクトリ・サーバにバインド(紐づけ)します。

バインドすることにより、ネットワーク・ユーザアカウント( = ログイン名とパスワード)で、macOSコンピュータにログインできるようになります。 ネットワーク・ユーザアカウントとは、AD_DS、OD 及び LDAPのメンバーアカウントです。

AD_DSのユーザアカウントの場合は、更に、ログイン画面に関する構成プロファイルで、macOSコンピュータ(群)にログインできるAD_DSのグループまたはユーザを登録しておく必要があります。 詳しくは、ログイン画面の「アクセス」の項を参照ください。
ログイン画面に関する構成プロファイルに登録されたユーザまたはグループのメンバーは、その構成プロファイルを展開したmacOSコンピュータ群の内のコンピュータなら どれにでも、ログインできるようになります。

AD_DSのユーザアカウントの場合、ユーザのホームフォルダをサーバ内に設定することができます。そうすると、どのコンピュータで作成した書類でも、同じホームフォルダに保存されるようになります。 この場合、下記の(図2)の「起動ディスクをローカルホームディレクトリに強制」のチェックをオフにしておきます。教室でのmacOSコンピュータの展開などに有用です。

ログイン画面の構成プロファイルの設定で、AD_DSのユーザがアクセスできるコンピュータを限定することもできます。 その場合、当該ユーザのホームフォルダは、ローカルホームフォルダとします。 この場合は、下記の(図2)の「起動ディスクをローカルホームディレクトリに強制」のチェックをオンにしておきます。
このユーザに対しては、「モバイルアカウント」を発行できます。「モバイルアカウント」なら、当該のmacOSコンピュータが、AD_DSサーバに接続できない環境に移動しても、ログインができます。

AD_DS用の構成プロファイル以外に、OD用の構成プロファイルも作成し、端末に配布することで、一つのmacOSコンピュータを、 AD_DSとODの両方にバイド(紐づけ)することもできます。

構成プロファイルのメニュー

(図1)の「macOS端末の構成プロファイル・メニュー」の画面を表示します。
表示方法は、「macOS端末構成プロファイルの作成」を参照ください。

(図1)
macOS端末構成プロファイルのメニュー

ディレクトリ・サーバを指定

(図1)の中の「ディレクトリ」を選択すると、(図2)がポップアップ表示されます。

(図2)

バインドするディレクトリ・サーバが、AD_DSでなく、ODまたはLDAPの場合、指定できる項目は、下表の赤文字の項目だけです。

全般設定

(図2)の項目説明
ディレクトリタイプバインドするディレクトリ・サーバのタイプを選択します。右端をプルダウンして、下記のどちらかを選択します。
  • アクティブディレクトリ
  • オープンディレクトリ若しくはLDAP
組織的なユニット対象となるAD_DSの組織単位 = OU(Organizational Unit)を入力
サーバーホスト名ディレクトリ・サーバのIPアドレス又は、完全修飾ドメイン名を入力。
ユーザ名 ディレクトリ・サーバに対するAdministratorsアカウントのユーザ名を入力。
ユーザ名だけを入力します。ドメイン\ユーザ名 の形式では入力しないでください。
パスワード ディレクトリ・サーバに対するAdministratorsアカウントのユーザ名に対応するパスワードを入力
Client IDディレクトリ・サーバで、当該端末を識別するIDを指定します。 次のマクロ文字列のいずれか1つ又は、複数を組み合わせて入力します。
%AUTONUM%0001 からの追番の番号。ディレクトリ・サーバに登録される順番で、端末に割り当てられる。
%MAC%端末のMACアドレス
%MANUFACTURE%製造会社名。macOSコンピュータの場合はAPLLE
%MODEL%モデル名
%PERSONALIZED_DEVICE_NAME%端末ユーザがマシンに名付けた名前
%PLATFORM%macOSコンピュータの場合は、iMac
%SERIALNUM%メーカーが出荷時に附番したシリアル番号
例えば、%MANUFACTURE%%AUTONUM% と指定すると、ディレクトリ・サーバでは、APPLE00001からAPPLE99999 のどれかが、Client IDとして 記録されます。

ユーザーエクスペリエンス

ログイン時にモバイルアカウントを構成チェックを入れると、AD_DSユーザアカウントでの初回ログイン時に、モバイルアカウントが作成されます。 端末がAD_DSサーバにアクセスできない環境にある場合でも、モバイルアカウントで、当該端末にログインできるようになります。
モバイルアカウントを作成する前に確認が必要 モバイルアカウントの作成にあたって、端末ユーザに、モバイルアカウントを作成するかどうかの確認を求めます。通常はここにチェックをいれません。
ログイン画面の構成プロファイルで、「モバイルアカウントを表示」にチェックを入れておく必要があります。 「ログイン画面」のページの(図2)を参照ください。
起動ディスクをローカルホームディレクトリに強制 チェックを外すと、AD_DSユーザには、ネットワーク・ホームフォルダが与えられます。
チェックを入れると、AD_DSユーザアカウントのユーザに対し、起動ディスクの「/ユーザ」フォルダ内にローカル・ホーム・フォルダが作成されます。
「ログイン時にモバイルアカウントを構成」にチェックを入れた場合、 この項目にもチェックを入れる必要があります。
Appleのドキュメント:「Active Directory ユーザアカウントのホームフォルダを設定する」を参照ください。
UNCパスを使用ネットワークにホームフォルダを設定した場合の ホームフォルダの場所として AD_DSの標準属性を使用するときに、チェックを入れます。
ホームフォルダの場所として macOSの属性を使用するときには、チェックを外します。
マウントスタイル上記にチェックを入れたときのネットワークプロトコルを選択します。
右端をプルダウンして、smbかafpかを選択します。
デフォルトユーザシェルAD_DSユーザアカウントでmacOSコンピュータにログインしているユーザが、ターミナルを利用するとします。 そのターミナルへのパスを指定します。通常は、/bin/bash です。ターミナルは、CUI(Character User Interface)で、コマンドを入力し、コンピュータを操作できるアプリです。

マッピング

MobiControlでは、この構成プロファイルを送付することで、多くのmacOSコンピュータでの UID、ユーザGID,グループGIDを一斉にマッピングします。
これらのマッピングの設定を後から変更した場合、変更前に作成されたファイルにユーザーがアクセスできなくなることがあります。
ローカルマシンで個別に設定する場合は、 Appleのドキュメント:「 Mac のディレクトリユーティリティでグループ ID、プライマリ GID、および UID を Active Directory 属性にマップする」を参照ください。
(図2)の項目説明
UIDを属性にマップmacOSコンピュータのUID(User ID)属性をマッピングするAD_DS属性の名前を入力します。通常は、uniqueID です。
Appleのドキュメント:「UID を Active Directory 属性にマップする」を参照ください。 このドキュメントでは、ローカル操作でマッピングする方法を記述してあります。
ユーザGIDを属性にマップmacOSコンピュータのUser GID(Group ID)をマッピングするAD_DS属性の名前を入力します。通常は、primaryGroupID です。
グループGIDを属性にマップmacOSコンピュータのGroup GID(Group ID)をマッピングするAD_DS属性の名前を入力します。通常は、gidNumber です。

管理

(図2)の項目説明
希望のドメインサーバーコンピュータがデフォルトでアクセスする AD_DSのドメインサーバのIPアドレス又は、完全修飾ドメイン名を入力。
管理を許可「端末設定」ボタンを押して、AD_DSのグループを登録または追加します。このグループの全てのメンバーには、 コンピュータにアプリをインストールするなどの管理者権限が付与されます。
フォレストのドメインから認証を許可チェックを入れると、フォレスト内のすべてのドメインに存在するユーザが、ログインできるようになります。
名前空間ユーザの名前規則として、右端をプルダウンして、ドメインかフォレストかを選択します。
  • ドメイン
    名前空間のサポートが無効になります。ユーザーのログイン名は一意である必要があります。
  • フォレスト
    名前空間のサポートが有効になります。AD_DSのフォレスト内の異なるドメインに同じログイン名を持つ複数のユーザーのログインが可能です。 ユーザーはドメイン名\ユーザー名 という形式でログイン名を入力する必要があります。
デフォルトは、ドメインです。
パケットサイン右端をプルダウンして、パケット署名を「許可」「無効」「必須」のどれかを選択します。 パケット署名だけでは暗号化処理は伴わないため、盗聴を防ぐことはできないものの、データの改ざんやなりすましの防止に効果があります。その反面通信速度が遅くなります。 通信が閉域構内に終始し、なりすましのリスクがない場合は、パケット署名を「無効」にすると、速くなります。
パケット暗号化右端をプルダウンして、パケット暗号化を「許可」「無効」「必須」「SSL]から選択します。
DDNSを制限AD_DSサーバは、DDNS(ダイナミックDNS)を導入しています。 その場合、macOSコンピュータは、設定済のネットワークインターフェイスアドレスをDNSに登録してしまうことがあります。 これを防ぐために、DDNSの登録を単一のネットワークインターフェイスに制限します。「端末設定」ボタンを押して、en0、en1、en2などのネットワークインターフェイスの BSD名を指定します。有線イーサネットの第1ポートのネットワークインターフェイスのBSD名は、en0です。
パスワード信頼間隔AD_DSユーザアカウントのパスワードの有効日数を入力します。デフォルトでは14日です。0と入力すると、有効日数は無期限となります。

 

構成プロファイルの作成が終わると、「OK」ボタンを押します。
macOS 端末プロファイルの作成が終わると、これを適用対象とする端末グループに割り当てます。 詳しくは、 「macOS 端末プロファイルの作成」 のページの「G. 構成プロファイルの端末のグループへの割り当て」以下を参照ください。