Integrare Active Directory utilizzando Utility Directory sul Mac
Puoi utilizzare il connettore Active Directory (nel pannello Servizi di Utility Directory) per configurare un Mac in modo che acceda alle informazioni di base dell'account utente in un dominio Active Directory di un server Windows 2000 o versione successiva.
Il connettore Active Directory genera tutti gli attributi richiesti per l'autenticazione di macOS dagli account utente di Active Directory. Supporta anche le politiche di autenticazione Active Directory, compresi le modifiche, le scadenze, i cambiamenti forzati e le opzioni di sicurezza della password. Poiché il connettore supporta queste funzionalità, non è necessario modificare lo schema del dominio Active Directory per ottenere le informazioni di base dell'account utente.
Nota: con macOS Sierra e versioni successive è possibile accedere a un dominio Active Directory solo se il livello di funzionalità del dominio è almeno Windows Server 2008, a meno che non abiliti esplicitamente una “crittografia vulnerabile”. Anche se i livelli di funzionalità del dominio sono del 2008 o successivi, l'amministratore potrebbe dover specificare esplicitamente l'attendibilità di ciascun dominio per utilizzare la codifica AES Kerberos. Consulta l'articolo del supporto Apple Preparazione per macOS Sierra 10.12 con Active Directory.
Quando macOS è completamente integrato con Active Directory, gli utenti:
Sono soggetti alle politiche per le password di dominio dell'organizzazione
Utilizzano le stesse credenziali per l'autenticazione e ottenere l'autorizzazione di accesso alle risorse protette
Vengono rilasciate le identità dei certificati dell'utente e del computer da un server Active Directory Certificate Services
Possono esaminare automaticamente un namespace DFS (Distributed File System) e attivare il server SMB (Server Message Block) appropriato sottostante
Suggerimento: i client Mac ammettono il pieno accesso in lettura agli attributi che vengono aggiunti alla directory. Pertanto, potrebbe essere necessario modificare l'ACL di quegli attributi che consentono ai gruppi del computer di leggere questi attributi aggiunti.
Oltre a supportare le politiche di autenticazione Active Directory, il connettore supporta:
Le opzioni di crittografia e di firma dei pacchetti per tutti i domini Active Directory di Windows: questa funzionalità è attiva per default con l'opzione “Consenti” abilitata. Puoi modificare l'impostazione di default in disabilitato o richiesto utilizzando il comando
dsconfigad
. Le opzioni di crittografia e di firma dei pacchetti consentono di proteggere tutti i dati da e verso il dominio Active Directory per le ricerche dei record.Generazione dinamica di un ID univoco: il controller genera dinamicamente un ID utente univoco e un ID del gruppo principale, basato sulle GUID (globally unique ID) nel dominio Active Directory. L'ID generata dell'utente e l'ID primaria del gruppo sono le stesse per ogni account utente anche se l'account è utilizzato per eseguire il login su diversi Mac. Consulta Assegnare l'ID gruppo, il GID primario e l'UID a un attributo Active Directory.
Replica e il failover di Active Directory: il connettore Active Directory scopre i controllori dei domini multipli e determina qual è il più vicino. Se il controllore non è disponibile, il connettore utilizza un altro controllore di dominio che si trovi nelle vicinanze.
Scoperta di tutti i domini in una foresta Active Directory: puoi configurare il connettore di modo che consenta a tutti gli utenti provenienti da qualsiasi dominio nella foresta di autenticarsi su un Mac. In alternativa, puoi consentire l'autenticazione sul client esclusivamente a domini specifici. Consulta Controllare l'autenticazione da tutti i domini nella foresta Active Directory.
Caricamento delle cartelle inizio di Windows: quando qualcuno accede a Mac con un account utente Active Directory, il connettore Active Directory può attivare la directory Inizio della rete di Windows specificata nell'account utente di Active Directory come cartella Inizio dell'utente. Puoi specificare se utilizzare la cartella Inizio della rete specificata dall’attributo standard home directory di Active Directory oppure dall’attributo home directory di macOS (se lo schema Active Directory è esteso in modo da includerlo).
Utilizzo di una cartella inizio locale su Mac: puoi configurare il connettore per creare una cartella Inizio locale sul volume di avvio di Mac. In questo caso, il connettore attiva anche la cartella Inizio della rete Windows (specificata nell’account utente di Active Directory) come un volume di rete, allo stesso modo di un punto di condivisione. Utilizzando il Finder, l'utente può quindi copiare file fra la cartella Inizio di Windows sul volume di rete e la cartella Inizio di Mac locale.
Creazione di account mobili per gli utenti: un account mobile ha una cartella Inizio locale sul volume di avvio di Mac. (L’utente ha anche una cartella Inizio sulla rete come specificato nell'account utente di Active Directory). Consulta Impostare account utente mobili.
LDAP per l'accesso e Kerberos per l'autenticazione: il connettore Active Directory non utilizza l'ADSI (Active Directory Services Interface) proprietaria di Microsoft per ottenere servizi di directory o di autenticazione.
Rilevamento e accesso allo schema esteso: se lo schema di Active Directory è stato esteso in modo da includere i tipi di record (classi di oggetti) e gli attributi di macOS, il connettore Active Directory li rileva e vi accede. Ad esempio, lo schema Active Directory può essere modificato utilizzando gli strumenti di amministrazione di Windows, per includere gli attributi dei client gestiti da macOS. Questa modifica dello schema attiva il connettore Active Directory in modo che supporti le impostazioni del client gestito definite utilizzando macOS Server.