Intégrer Active Directory à l’aide d’Utilitaire de répertoire sur Mac
Vous pouvez utiliser le connecteur Active Directory (dans la sous-fenêtre Services d’Utilitaire de répertoire) pour configurer un ordinateur Mac de façon à accéder aux informations de base des comptes utilisateurs dans un domaine Active Directory sur un serveur Windows 2000 ou ultérieur.
Le connecteur Active Directory génère tous les attributs requis pour l’authentification macOS à partir des comptes utilisateur Active Directory. Il prend également en charge les règlements d’authentification Active Directory, y compris la modification, l’expiration et la modification forcée des mots de passe, ainsi que les options de sécurité. Dans la mesure où le connecteur prend en charge ces fonctions, vous pouvez accéder aux informations de base des comptes utilisateurs sans effectuer des modifications de schéma dans le domaine Active Directory.
Remarque : Les ordinateurs exécutant macOS 10.12 ou une version ultérieure ne pourront pas rejoindre un domaine Active Directory sans un niveau fonctionnel de domaine supérieur ou égal à Windows Server 2008, sauf si vous activez expressément un « chiffrement faible ». Même si les niveaux fonctionnels de tous les domaines sont supérieurs ou égaux à 2008, l’administrateur doit spécifier expressément que chaque autorisation de domaine doit utiliser le chiffrement AES via Kerberos.
Lorsque macOS est complètement intégré à Active Directory, les utilisateurs :
sont soumis aux règles de mot de passe du domaine de l’organisation;
utilisent les mêmes informations d’identification pour s’authentifier et pour demander une autorisation d’accès aux ressources sécurisées;
reçoivent des identités de certificat de machine et d’utilisateur de la part d’un serveur de services de certification Active Directory;
peuvent automatiquement parcourir un espace de nom DFS (Distributed File System) et monter le serveur SMB (Server Message Block) sous-jacent adéquat.
Astuce : Les clients Mac bénéficient d’un accès en lecture complet aux attributs ajoutés à l’annuaire. C’est pourquoi il peut s’avérer nécessaire de modifier la liste de contrôle d’accès de ces attributs pour autoriser des groupes d’ordinateurs à lire ces attributs ajoutés.
Outre la prise en charge des règlements d’authentification, le connecteur Active Directory prend également en charge les éléments suivants :
Les options de chiffrement et de signature des paquets pour tous les domaines Active Directory de Windows : Cette fonctionnalité est définie par défaut sur « autoriser ». Vous pouvez définir le réglage par défaut sur la position désactivée ou requise à l’aide de la commande
dsconfigad
. Les options de chiffrement et de signature des paquets garantissent la protection de toutes les données transitant entre l’ordinateur et le domaine Active Directory lors des recherches de fiches.La génération dynamique d’identifiants uniques : Le contrôleur génère un identifiant d’utilisateur unique et un identifiant de groupe principal, basés sur l’identifiant global unique (GUID) du compte utilisateur dans le domaine Active Directory. Les identifiants d’utilisateur et de groupe principal générés restent les mêmes pour chaque compte utilisateur, même si le compte est utilisé pour se connecter à différents ordinateurs Mac. Consultez Mapper l’identifiant de groupe, l’identifiant de groupe principal et l’identifiant d’utilisateur avec un attribut Active Directory.
La réplication et le basculement Active Directory : Le connecteur Active Directory détecte plusieurs contrôleurs de domaine et détermine le plus proche. Si un contrôleur de domaine devient indisponible, le connecteur utilise un autre contrôleur de domaine proche.
La détection de tous les domaines d’une forêt Active Directory : Vous pouvez configurer le connecteur pour autoriser les utilisateurs de n’importe quel domaine de la forêt à s’authentifier sur un ordinateur Mac. Vous pouvez également autoriser l’authentification de certains domaines uniquement sur le client. Consultez Contrôler l’authentification à partir de tous les domaines de la forêt Active Directory.
Le montage de dossiers de départ Windows : Lorsqu’un utilisateur ouvre une session Mac sous un compte utilisateur Active Directory, le connecteur Active Directory peut monter le dossier de départ réseau Windows désigné comme dossier de départ de l’utilisateur dans le compte utilisateur Active Directory. Vous pouvez indiquer s’il faut utiliser le dossier de départ réseau défini par l’attribut de répertoire de départ standard d’Active Directory ou par celui de macOS (si le schéma Active Directory est étendu pour l’inclure).
L’utilisation d’un dossier de départ local sur le Mac : Vous pouvez configurer le connecteur afin de créer un dossier de départ local sur le volume de démarrage du Mac. Dans ce cas, le connecteur monte aussi le dossier de départ réseau Windows de l’utilisateur (défini dans le compte utilisateur Active Directory) en tant que volume réseau, comme un point de partage. À l’aide du Finder, l’utilisateur peut alors copier des fichiers entre le volume réseau du dossier de départ Windows et le dossier de départ local de Mac.
La création de comptes mobiles pour les utilisateurs : Un compte mobile dispose d’un dossier de départ local sur le volume de démarrage du Mac. (L’utilisateur dispose également d’un dossier de départ réseau, comme spécifié dans le compte Active Directory de l’utilisateur.) Consultez Configurer des comptes utilisateur mobiles.
L’utilisation de LDAP pour l’accès et de Kerberos pour l’authentification : Le connecteur Active Directory n’utilise pas l’interface propriétaire ADSI (Active Directory Services Interface) de Microsoft pour accéder aux services d’annuaire ou d’authentification.
La détection d’un schéma étendu et l’accès à ce schéma : Si le schéma Active Directory a été étendu pour inclure les attributs et les types de fiches (classes d’objets) macOS, le connecteur Active Directory les détecte et y accède. Par exemple, le schéma Active Directory peut être modifié à l’aide des outils d’administration Windows pour inclure des attributs de client géré macOS. Cette modification du schéma permet ainsi au connecteur Active Directory d’utiliser les solutions de gestion des appareils mobiles (GAM).