Active Directory に接続されているMacでActive Directory のパスワードを安全に変更する

既に Active Directory に接続されている Mac や PC など複数台を利用している場合は、PCからではなく、Macを使用してActive Directory のパスワードを変更するのが、キーチェーンの情報も自動的に更新されるので、最も安全です。

なお、この記事の通りに作業しても通信障害、或いは、そのほかの問題により障害が発生する可能性はありますから、パスワード更新の前には、必ずバックアップを取ってから作業を進めてください。

可能ならばWi-Fi接続よりも確実性が高い、有線LANで接続してから作業してください。

特に、下記の macOS バージョンを使用 している場合は、そのMacで、Active Directory のパスワードを変更しないと、キーチェーンパスワードが壊れてしまう可能性が非常に高いので注意してください。


Catalina 10.15.3 (現在公開されている最新バージョンになります)

Catalina 10.15.2

Catalina 10.15.1

Mojave 10.14.6 (Mojave の最終バージョンになります)

Mojave 10.14.5

Mojave 10.14.4


なお、Catalina 10.15.0 は比較的に安全と見られています。

それに対して、Catalina 10.15.3 はキーチェーンの問題以外にもインシデントが確認されているので、Active Directory に接続して使用している場合は、避けた方が良いかと思います。

つまり、Active Directory アカウントでログインしている Mac は、今現在は最新 macOS 最新バージョンにしない方が良いです。

さて、キーチェーンパスワードが壊れてしまうと次のような症状が発生します。

  • Macで、WEBサイトのログインIDとパスワードの情報を再度入力しないといけなくなる。
  • Macで、メールなどのアプリケーションでパスワードを要求される。
  • Macの、証明書がリセットされるのでWebサイトによっては、警告が出るようになる。

そのほか、パスワード絡みの箇所が再度入力する必要が出てしまいます。

複数の MacをActive Directory の同じアカウントで使用している場合は、もっとも重要なMacで Active Directory のパスワードを変更してください。

パスワードやアカウント情報、秘密メモ等を保管するmacOSアプリケーションの「キーチェーンアクセス」が現在の macOS には標準で搭載されていますが。このキーチェーンのパスワードはユーザーパスワード(ログインパスワード)となります。

macOS で Active Directory のパスワードを変更した場合は、キーチェーンのパスワードも自動的に同期して変更されるので、とても便利です。

それに対して、他のPCや、管理者側で Active Directory のパスワードを変更した場合は、この同期が崩れてしまうために、後でキーチェーンアクセスのパスワードを手動で修正する手間が発生する場合がありますし、特定の macOS のバージョンの場合、正常に修正を行うのにとても手間がかかります。

しかし、この同期機能を使用しながらActive Directoryのパスワードを変更するためには、条件があります。

  • Active Directory サーバーに接続されている状態で操作する
  • Active Directory のパスワードは、管理者が設定したポリシーに沿った内容にする

という事です。Active Directory のパスワードを変更するので、サーバに接続されていることは確認してください。
また、 Active Directory のパスワードポリシーに沿った内容で変更することが必要になります。

Active Directory のパスワードポリシーは以下のような内容等となります。実際にどのようなポリシーが設定されているのか(或いは設定されていないのか)は、組織の管理者にお問い合わせください。

種類 説明
パスワードの長さ パスワードに使用できる最少文字数を決定します
パスワードの変更禁止期間

パスワードが変更可能になるまでの最低使用日数 を決定します。この期間内は、同じパスワードを使わなければなりません。

複雑さの要件を満たす必要があるパスワード

パスワードが複雑さの要件を満たす必要があるかどうかを決定します。パスワードは次の最小要件を満たす必要があります。

ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
長さは 6 文字以上にする。
次の 4 つのカテゴリのうち 3 つから文字を使う。
英大文字 (A から Z)
英小文字 (a から z)
10 進数の数字 (0 から 9)
アルファベット以外の文字 (!、$、#、% など)

パスワードの履歴を記録する

以前使ったことがあるパスワードを記録して、再利用しないようにする。

 

パスワード変更手順

それでは、実際に、Macでパスワードを変更してみましょう。

サンプルの図は、macOS 10.15 Catalina で作成しましたが、他のバージョンでも大きな差は無いと思います。


  1. Active Directory のアカウントでログインしてから、アップルメニューから「システム環境設定」を選びます。

  2. ユーザとグループを選択します。(OSのバージョンによっては、位置が違います)
  3. 最初にログインオプションを選択します。
  4. 【重要】「ネットワークアカウントサーバ」横の丸が、必ず緑色になっている事を確認してください。ここが緑色以外の場合には、まだパスワード変更の準備ができていません。しばらく待つか(数分)組織内のネットワークに確実に接続されているか、確認してください。また、Macの時間が正確に設定されているかも確認してください。5分以上の時間のズレがあると、Active Directoryに正常に接続できません。(時間帯が異なる地域間での接続のために、分の部分だけチェックしています。時の部分はチェックしていません)それでも緑色にならない場合は、一度Macを再起動して、最初から試してください。ここが緑色以外の場合に先に進むと、とても面倒な事になります。
  5. 次に、ターミナル.app を使用して、Active Directory のユーザ情報が正しく入ってきているかを確認します。
    1. Mac 画面右上の虫眼鏡アイコンを選択してSpotlight検索画面を開きます。
    2. 検索文字欄に terminal と入力します。
    3. アプリケーション欄に ターミナル が表示されますから選択してください。ターミナル.appが開きます

  6. ターミナル.app の画面に、下の文字を入力して、リターンキーを押してください。これは Active Directory のサーバーに接続して、 krbtgt というユーザ(Active Directory が自動的に作成するユーザです)が存在するか Mac  の id コマンドで確認する方法です。


    id krbtgt

      “uid=” で始まる文字が沢山でてきたら、Active Directory に正常に接続されています。(一部ぼかしていますが、下記図参照)

    X ”id: krbtgt: no such user” と表示された場合は Active Directory に接続されていません。ネットワークなどを確認しなおしてください。この状態で先に進むと、とても面倒な事になります

  7. 「ユーザとグループ」画面に戻り、現在のユーザを選択します。ご自分のアカウント名になっていると思います。
    次に「パスワードを変更」を選択します。
  8. 今のパスワードと、新しいパスワードを2箇所入力します。新しいパスワードは組織の設定したパスワードポリシー条件を満たすものにしてください。最後に「パスワードを変更」を選択します。
    パスワードのヒントは任意項目です。
    組織の設定したパスワードポリシー条件を満たしていない場合は変更できません。特にありがちなのが、1日に何度も変更する事を禁止している場合があります。組織の管理者に変更禁止日数などお尋ねください。
  9. これで終了です、一度ログアウトして、新しいパスワードで再ログインしてみてください。