Skip to main content

Active Directory Publisher - macOS

このスクリプトは、Active Directory Publisher スクリプトの macOS 版であり、ユーザー証明書を Active Directory(AD)の userCertificate 属性に公開するように設計されています。ドメイン参加済みおよび非参加の macOS システムのいずれにも対応します。マシンがドメインに参加している場合、証明書はサイレントで公開されます。ドメインに参加していないシステムでは、証明書を公開するために Active Directory のユーザー名とパスワードの入力が求められます。

概要および Windows 版の詳細については、「Active Directory Publisher - Windows」を参照してください。

対応するオペレーティングシステムとアプリケーション

オペレーティングシステム

アプリケーション

macOS(特定のバージョンについては「Prerequisites」を参照)

Windows Server 2022、2025 上の Active Directory(AD)

パラメータ

ドメイン: オプションです。Active Directory ドメインのドメイン名です。これは、ユーザーの macOS デバイスがドメインに参加していない場合に必要です。ユーザーがポップアップダイアログで Active Directory のユーザー名とパスワードを入力し、指定されたドメインへのユーザーの認証を行うために使用されます。

値の例: digicert.com

前提条件の確認

証明書の公開を進める前に、スクリプトは環境が準備できていることを確認するため、次のとおりいくつかのチェックを実行します。

  • 必要な bash コマンドを確認します。klistkinitosascriptldapsearchldapmodifyrealpathgrepawksedcutheaddig などのコマンドが macOS でデフォルトで使用できるようにします。

  • 証明書プロファイルのパラメータとしてドメインが指定されている場合、そのドメインの IP アドレスが DNS 経由で解決可能かどうかを確認します。

  • 鍵配布センター(KDC、TCP ポート 88)のホストが DNS 経由で解決可能かどうかを確認します。次のコマンドを使用します。

    dig +short "_kerberos._tcp.$domain" SRV

  • LDAP ホスト(TCP ポート 389)が DNS 経由で解決可能かどうかを確認します。次のコマンドを使用します。

    dig +short "_ldap._tcp.$domain" SRV

  • ユーザーアカウントは、Active Directory の userCertificate 属性への書き込みに必要な権限を備えていなければなりません。デフォルトでは、AD ユーザーオブジェクトは通常この権限を備えています。ただし、スクリプト実行中に問題が発生した場合は、管理者にお問い合わせのうえ、必要な権限が適切に設定されていることを確認してください。詳細については、「How to check permission for userCertificate」を参照してください。

注記

ドメインコントローラの IP アドレスは双方向で解決できる必要があります。ドメインコントローラのホスト名から IP アドレスを取得できること、またその IP アドレスからホスト名を取得できることを確認してください。また、環境で IPv6 が有効になっている場合は、IPv6 アドレスも双方向で解決できることを確認してください。

Windows Server DNS を使用している場合は、設定の詳細について Microsoft のドキュメントを参照するか、DNS サーバー管理者に問い合わせてください。

しくみ

このスクリプトは次の手順を実行します。

  1. 前提条件のチェックがすべて満たされていることを確認します。

  2. 登録プロセス中にインストールされた証明書を参照します。

  3. コマンド klist -s を使用して、ユーザーが既にドメインにログインしているかどうかを確認します。ログインしていない場合、ダイアログボックスを開き、証明書プロファイルで指定されたドメインにログインするために、Active Directory のユーザー名とパスワードの入力が求められます。

  4. ドメインコントローラとの LDAP 接続を確立する ldapsearch コマンドを使用して、ユーザーの識別名(DN)を取得します。

  5. ldapmodify コマンドを使用して、ユーザーの Active Directory オブジェクトの userCertificate 属性に証明書を公開します。

管理者として、Active Directory 内で userCertificate 属性が適切に設定されているか確認できます。詳細については、「How to verify a user’s userCertificate attribute in Active Directory」を参照してください。

トラブルシューティング

システムの後処理スクリプトに関連する問題のトラブルシューティングに役立つ詳細については、「Common issues」を参照してください。

Active Directory Publisher - macOS に関連する問題のトラブルシューティングに役立つ詳細については、「Active Directory Publisher - macOS」を参照してください。

このセクションの内容: