• 締切済み

Leopard) Kerberosがうまく動作しない。

当社現在Active Directory (Windows 2003サーバー)でドメイン構築しています。 Macですが、Tigerの時は"Directory Access"、そしてLeopardでは、"Directory Utility"を使いドメインに参加(バインド)させます。 https://winservices.web.cern.ch/winservices/Help/Contents/Images/MacOSX/MacAD02.gif そしてログインは最初だけ「その他のユーザー」を選択して、ADで作成されたユーザー名、パスワードを入力します。 さてこの運用方法でTigerではうまくいってたものが、Leopardではうまくいかない事が1点あります。ファイルサーバー(Windows)へのアクセスです。 まずTigerがファイルサーバーにアクセスするときは「移動」-->「サーバーへ接続」を選んで 「smb://サーバー名(or IPアドレス)/共有名」を入力するだけ。 このとき http://pc.watch.impress.co.jp/docs/2007/0110/macos04_02.jpg この画面は表示されません。なぜならログイン時に既にADのユーザー名、パスワードでログインしていて認証が終わってるからです。 (何かのサイトでこの時のユーザ-名パスワードはkerberosに登録されていると見たことがあります。) Tigerの場合、これでめでたしめでたしです。 ところがLeopardの場合、「smb://サーバー名(or IPアドレス)/共有名」と入力したら、ADのユーザー名、パスワードを聞かれます。 http://pc.watch.impress.co.jp/docs/2007/0110/macos04_02.jpg 2年前バインドしないで運用していた時代は、Tigerであろうとこの方法でファイルサーバーにアクセスしていました。 これだとバインドした意味がありません。 今当社のMacは管理者の私がLeopardでそれ以外全員Tigerです。 もし会社から「全員Leopardにアップグレードしろ。」と指示が出ると、今のままでは運用が難しいです。 「変なの表示されたよ。」だの、そこで何これ?って入力を間違ったらアカウントロックがかかってしまいまって、ユーザーから電話鳴りまくりです。 何か解決策はありませんでしょうか。 「キーチェーンにパスワードを保存すれば?」の回答は根本的な解決方法ではありません。 ユーザー名、パスワードはあくまでもAD側で管理しているからです。 現状Tiger、Leopardは、例えばAD側でパスワードを変更したとします。するとMac側のそおのユーザーのログインパスワードもそのパスワードについてきます。 なんでキーチェーンパスワードは根本的な解決策ではありません。 それ以外で解決方法ありましたら、教えてください。 よろしくお願いいたします。

  • Mac
  • 回答数4
  • ありがとう数5

みんなの回答

  • sevenless
  • ベストアンサー率66% (374/561)
回答No.4

本人が叩けば確実です。 リモートログインでも可能かもしれません。試してないので分かりません。

  • sevenless
  • ベストアンサー率66% (374/561)
回答No.3

Ticket-granting ticket, Service-granting ticket です。

kokku5555
質問者

お礼

ありがとうございます。 http://discussions.apple.com/thread.jspa?messageID=7762855 Topic : Kerberos tickets not used for mounting CIFS/SMB shares この辺がそうですね。 タイトルが10.5.3ですが、10.5.5でも解決してないみたいですね。 ここに出てる、 mkdir /Volumes/manualmount mount_afp "afp://;AUTH=Client%20Krb%20v2@your_server/volume_name" /Volumes/manualvault だのはローカル管理者ログインしてターミナルで叩くのでしょうか。 それともWinにアクセスしたい本人のモバイルユーザーからターミナルで叩くのでしょうか。 教えて下さいませ!

  • sevenless
  • ベストアンサー率66% (374/561)
回答No.2

追加情報 ターミナルからコマンドを打ち込んでマウントすれば SMB file sharing でも Kerberos を使うようにできるそうです。 http://discussions.apple.com/thread.jspa?messageID=8257648 マウント用のシェルスクリプトでも配ってみるとか?

kokku5555
質問者

お礼

ありがとうございます。 TGT,SGTとは何の略ですか?

  • sevenless
  • ベストアンサー率66% (374/561)
回答No.1

一言で言って仕様の変更のようです。 http://forums.macosxhints.com/showthread.php?t=80265 あたりが参考になるでしょう。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Mac

関連するQ&A

  • 10.4.11/上級者用質問かも知れません。)「その他のユーザー」が現れない。

    こんばんは。 ある会社の社内SEをしています。 Windows 2003サーバーでドメインを形成して、全てのユーザーアカウントやパスワードはActive Directory(以降AD)で管理しています。 Windowsユーザーはドメインに参加、Macはバインドすれば、ADで管理されているユーザー名パスワードを入力すればログインできるシステムです。 Macintoshでのバインドの方法ですが、 「ディレクトリーアクセス」-->「ADを選ぶ」-->「設定」 -->「フォレスト、ドメイン、コンピューター名(共有名)」を入力。 -->「バインド」と選択。 そしてバインドを選択して「ログアウト」してログインメニューに「その他のユーザー」という人の影のアイコンが現れます。 (rootユーザーを有効にしたときと同じアイコンです。) ここでADのユーザー名、パスワードを入力してログインする。めでたしめでたしです。 ところがです!社内のMac10台を10.4.10から10.4.11にアップデートしたのですが、そのうち5台、以降「その他のユーザー」あ現れなくなりました。 バインドを解除して、再びバインドするなど、何やってもダメでした。 しかた無いので、最終手段の「アーカイブインストール」を行うと、「その他のユーザー」が現れました。 「アーカイブインストール」をすれば、当然工場出荷時のバージョンに戻ります。 そして10.4.11にアップデートすれば再び現れなくなりました。 10.4.11ではなぜ現れないのでしょうか。 ちなみに「rootユーザー」を有効にすれば当然「その他のユーザー」が現れました。しかしここでADのユーザー名、パスワードを入力しても入れませんので、バインドがうまくできてないのだと思います。 教えて下さい。

    • 締切済み
    • Mac
  • Leopard) パスワード有効期限が近づいた警告が出ない。

    ある会社のMac管理者しています。 社内のPC(XP)、Mac(Tiger,Leopard)は全てActive Directory(Windows2003サーバー)でドメイン構築されています。 http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/fig00.gif Leopardを下記の方法でドメインに参加しました。 http://allabout.co.jp/computer/macos/closeup/CU20080322A/index4.htm Mobileユーザーは、ユーザー名、パスワードともにWindows 2003サーバー側で作ったものとうまく同期してくれます。 しかし一点だけ問題があります。Leopardだけその問題が起こります。 パスワード有効期限が近づいた時、それを知らせる警告が表示されません。 社内にLeopard数台ありますが、全部ダメです。 添付のスクリーンショットはTigerのものです。Tigerだとちゃんと表示されます。 ついにパスワードが切れてしまうと、強制的にパスワードを変更する画面が表示されます。(これはTiger、Leopard同じです。) この時点でLeopardユーザーは、自分のパスワードの有効期限が切れたことに気づきます。 今日10.5.8にアップデートしても同じでした。どなたか解決方法ありましたら、教えて下さい。

    • 締切済み
    • Mac
  • TigerのみAD環境の共有フォルダにアクセス不可

    TigerのみActiveDirectory環境で共有フォルダにアクセスできない状況です。 原因及び対処方法がわからず、困っております。 ご教示頂けますようお願い致します。 【事象の状況】 1.Lion、Snow Leopard、Leopard、TigerでWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。(環境はワークグループ環境) 2.Lion、Snow Leopard、LeopardからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。 ただし、TigerからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスできない。(環境はActiveDirectory環境) 共有フォルダはActiveDirectoryサーバーに作成してあり、アクセス権の設定は問題ない。Lion、Snow Leopard、Leopardでは同じユーザーアカウントを使用して 共有フォルダにアクセスできているため。 3.ActiveDirectoryサーバーにTigerのコンピュータアカウントは追加できるが、コンピュータアカウント作成で使用したアカウントを使用してもアクセスできず。 4."Finder"より"サーバー接続"を選択して、サーバーアドレスにsmb://ActiveDirectoryサーバーのIPアドレスを入力すると"SMB/CIFSファイルシステムの認証"が表示され、ユーザアカウントを入力すると"名前またはパスワードが正しくないため、サーバに接続できませんでした。"が表示される。サーバーアドレスにsmb://ActiveDirectoryサーバーのコンピュータ名を入力しても状況には変わりがない。  

  • Snow Leopard Server で ユーザを追加し、追加後のユ

    Snow Leopard Server で ユーザを追加し、追加後のユーザに su したところメッセージが表示されました。困ったことにコマンドもほとんど使えません。 ◇ことの経緯  職場内の Snow Leopard server の管理をまかされました。  今のところ、引継ぎ元の方が使用していたユーザ名でログインを行っていますが、それは問題があると考え新たにユーザを作成しました。 ◇私がユーザを作成した方法  下記を参考にユーザを追加しました。  http://slashdot.jp/~hylom/journal/441679 ◇メッセージの内容  # su hoge  パスワード入力...  shell init error retrieving current directory: getcwd: cannot access parent directories: Permission denied ◇ほか気付いたこと  su した後   $ whoami と打っても    nobody と表示され「hoge」ユーザに切り替わっていないような感じです。   $ ls -la /Users/ と打っても追加したユーザのディレクトリが見当たりません。 CentOS は使用したことがあるのですが、Snow Leopard は様子が違い分かりません。 どなたかご存じの方いらっしゃいましたらよろしくお願いします。

  • SFU3.5単体でNISサーバーを利用できるのでしょうか

    現在はSolarisにNISサーバーを構築して運用しているのですが、リプレイスのついでに、ADとユーザー管理を一括で行えないかテスト環境を構築しています。 ユーザーは認識され正常に動作するように見えたのですが、ADのパスワードと同じものでログオンできませんでした。構築手順は下記の通りです。 1.新規インストールで、Windows 2003 Server SP2にADを構築。 2.Service for UNIX 3.5 をインストール。 3.ユーザーとグループを作成し、GUI画面で各々UNIX用の項目入力 4.Redhat Entarprise Linux 4でNISクライアントの設定。サーバーにADのマシン名を入力 5.ログイン時、ADに登録したパスワードではログインできない。 ただし、rootから「su - ユーザー名」でユーザー切り替えおよび、ホームディレクトリへの移動は可能。ypcatで、情報を取得できるがパスワード部分がABCD!efg~~と全員同じになっている。 以上のような状況です。 WEB情報を確認するとSFUとNISのパスワードの同期する方法などが掲載されていましたが、ADサーバーと別にNISサーバーを構築しなければ共通パスワードでのログインはできないのでしょうか?可能であればADサーバー単体でNISサーバーの機能を利用できればと考えております。

  • LinuxクライアントのAD参加

    LinuxクライアントをAD参加させるには、クライアント内にもユーザーを作成しないとダメですか? ADサーバーはWindows server 2008です。 Windows8などのWindows端末からは、PCにユーザーを設定しなくても、ADへの設定さえあればログインきます。 CentOS7の端末をドメインに参加させようとしました。 CentOS7のユーザー設定で何も設定せず、AD上のユーザーIDのみでログインしようと試みてもログインできません。 CentOS7のユーザー設定で、AD上のユーザーと同じユーザーを作成したらログインできました。 そして、AD上のアクセス権限は有効に働いていました。 AD上のユーザーのパスワードを変更しました。 Windows8などのWindows端末からログインすると、変更後のパスワードでログインできました。 CentOS7の端末からログインするには旧のパスワードでログインしないと入れませんでした。 旧のパスワードでログインしても、AD上のアクセス権限は無効で、見たいファイルが見れませんでした。 CentOS7のユーザー設定で新パスワードに変更し、AD上のパスワードと同じにしたら、また使えるようになりました。 何か悪いのでしょうか? それとも、そんなものなのでしょうか?

  • (10.4) 困っています。質問はシンプルですが、難問かも。

    アップルメニュー-->システム環境設定-->アカウント-->ユーザーアカウント-->ログイン項目タグ この「ログイン項目」にあるファイルは、ユーザーがログインしたら即座に実行されますよね。 さて本題です。 Macの管理をしていますが、各Macには下記のようにスクリプトを作成して「ログイン項目」にそのスクリプト追加しています。 "smb://ユーザー名:パスワード@サーバー名:共有ファイル名" こんな感じに。。。 ユーザーがログインすると、スクリプトが走って、ファイルサーバーにアクセスする。 デスクトップに丸いネットワークサーバーのアイコンが現れる仕組みです。 さて問題が発生しています。 1.macの電源をON 2.パスワード画面 3.パスワードを入力 このとき、スクリプトエラーが発生するんです。 原因はまだMacが立ち上がったばっかで、IPアドレスを取得する前にこのスクリプトが走ってしまうんです。 ユーザーには、 対策1)パスワード入力画面で、すぐログインせず、10秒待って下さい。 対策2)スクリプトエラーが表示されたら、一度ログアウトして、再度ログインして下さい。 どれも根本的な解決策となっていないので、何かいい方法はありませんか?

    • ベストアンサー
    • Mac
  • smbの設定について

    smbの設定について質問します。 やりたい事なんですが、smbサーバーには誰でもアクセスできて その中のディレクトリーにアクセスできる制限を付けたいと思って おります。 例えば、[public]と[user]の2つのディレクトリーがあったとして、 [public]には誰でもアクセスできるようにし、[user]にアクセスする 時は、ユーザー名とパスワードを入れないとアクセスできないように したいです。 色々やってみましたが、アクセス制限の設定にするとsambaにアクセス する時にユーザー名とパスワードが要求されます。 そうではなくて、誰でもアクセスできるディレクトリーと制限付き ディレクトリーを作りたいと思っております。 アドバイスの方よろしくお願いします。

  • Sambaサーバーに接続できない

    今、Linux(RedHat9)にSambaサーバーを設定し、Windows(XP)からアクセスしようとしているのですが、 ユーザー名とパスワードを入力すると、アクセスできないというエラーが出ます。 smb.confの編集箇所は、 workgroup = LINUX server string = Samba %h [homes] comment = %S's Home Directories path = /home/user1 browseable = no writable=yes ぐらいです。 Linuxで、samba専用ユーザーを作成しました。 useradd -m smb_user1 smbpasswd -a smbuser1 でユーザーとパスワードを設定し、 /etc/rc.d/init.d/smb start で起動をしました。 WindowsPCでは、\\IPアドレスで パス指定したディレクトリは見えるのですが、 そのディレクトリにアクセスするとユーザー名・パスワード入力が要求され、上記で設定したユーザー名・パスワードを入力するとエラーになります。 指定したディレクトリの権限は、user1 で、 追加したユーザーがsmb_user1です。 IPで指定してやるとパスのディレクトリは表示されていますし、pingも通っています。 色々調べたのですがどこをどうすればいいのかわかりません。 どうぞよろしくお願い致します。

  • サーバへのログイン時にユーザ名とパスワードの入力画面が表示されません。

    過去にWindowsXP(クライアント)でTestと言うサーバーのtestfolderフォルダにアクセスする際、ユーザ名とパスワードを入力して、「今後自動的にログインする」と言うようなチェックボックスにチェックを入れました。 今、サーバーのユーザ名が変わったために、クライアント側で新しくユーザ名とパスワードを入力したいのですが、前に自動でログインできるようにしてしまったためにユーザ名およびパスワードを聞いてくれません。 これはどのように解除すれば良いのでしょうか? お願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する