Konfigurowanie usług Active Directory za pomocą Narzędzia katalogowego na Macu
Możesz użyć wtyczki Active Directory (dostępnej w panelu Usługi w Narzędziu katalogowym), aby skonfigurować na Macu dostęp do podstawowych danych konta użytkownika w domenie Active Directory na serwerze Windows 2000 lub nowszym.
Wtyczka Active Directory generuje wszystkie atrybuty wymagane podczas uwierzytelniania w macOS użytkowników kont Active Directory. Obsługuje ona również zasady uwierzytelniania Active Directory, w tym zmianę haseł, wygasanie, wymuszanie zmian oraz opcje zabezpieczeń. Wtyczka obsługuje te funkcje, więc nie ma potrzeby wprowadzania zmian schematów w domenie Active Directory w celu uzyskania podstawowych informacji o koncie użytkownika.
Uwaga: Komputery z systemem macOS 10.12 lub nowszym nie mogą łączyć się z domeną Active Directory o poziomie funkcjonalności domeny niższym niż poziom systemu Windows Server 2008, chyba że jawnie włączysz funkcję „weak crypto”. Nawet jeśli poziomy funkcjonalności wszystkich domen ustawione są na 2008 lub wyżej, konieczne może być jawne ustawienie przez administratora zaufania każdej domeny do użycia szyfrowania AES dla protokołu Kerberos.
Pełne zintegrowanie macOS z Active Directory daje użytkownikom następujące możliwości:
Podlegają oni zasadom haseł domeny w danej organizacji.
Używają tych samych danych do uwierzytelniania i uzyskiwania dostępu do zabezpieczonych zasobów.
Otrzymują certyfikaty tożsamości użytkownika i sprzętu z serwera usług certyfikatów Active Directory.
Mogą automatycznie przechodzić przez przestrzeń nazw DFS i montować odpowiednie rzeczywiste serwery SMB.
Porada: Komputery klienckie Mac zakładają pełen dostęp do odczytu atrybutów dodanych do usługi katalogowej. Konieczna może być więc zmiana ACL tych atrybutów, aby pozwalały grupie komputerów na odczytanie tych dodanych atrybutów.
Oprócz obsługi zasad uwierzytelniania wtyczka Active Directory obsługuje również:
Szyfrowanie pakietów, jak i podpisywanie pakietów we wszystkich domenach Active Directory w Windows: Ta funkcjonalność jest domyślnie włączona jako „pozwalaj”. Możesz zmienić domyślne ustawienia na „wyłączone” lub „wymagane”, używając polecenia
dsconfigad. Opcje szyfrowania i podpisywania pakietów zapewniają zabezpieczenie wszystkich danych wyszukiwania rekordów do i z domeny Active Directory.Dynamiczne generowanie unikatowych identyfikatorów: Kontroler generuje unikatowy ID użytkownika oraz ID grupy podstawowej w oparciu o GUID konta użytkownika w domenie Active Directory. Wygenerowane ID użytkownika i ID grupy podstawowej są takie same dla każdego konta użytkownika, nawet gdy to konto używane jest do logowania na innych Macach. Zobacz: Odwzorowywanie ID grupy (GID), ID grupy podstawowej (podstawowego GID) i unikatowego ID użytkownika (UID) na atrybuty Active Directory.
Replikacja i przejmowanie Active Directory: Wtyczka Active Directory wykrywa wiele kontrolerów domen i wybiera najbliższy. Jeśli kontroler domeny stanie się niedostępny, wtyczka użyje innego kontrolera domeny, znajdującego się w pobliżu.
Wykrywanie wszystkich domen lasu Active Directory: Możesz tak skonfigurować wtyczkę, aby pozwalała użytkownikom z dowolnych domen w lesie na uwierzytelnianie na Macu. Ewentualnie możesz pozwolić tylko określonym domenom na uwierzytelnienie na kliencie. Zobacz: Kontrolowanie uwierzytelnienia ze wszystkich domen z lasu Active Directory.
Montowanie katalogów domowych Windows: Kiedy ktoś loguje się do Maca wykorzystując do tego dane konta użytkownika Active Directory, wtyczka Active Directory może zamontować sieciowy katalog domowy Windows zdefiniowany na koncie użytkownika Active Directory jako katalog domowy użytkownika. Możesz zdecydować, czy używać sieciowego katalogu domowego określonego przez standardowy atrybut „home directory” w Active Directory lub przez atrybut „home directory” w macOS (jeśli schemat Active Directory został o niego rozszerzony).
Używanie lokalnego katalogu domowego na Macu: Wtyczkę można skonfigurować tak, aby tworzyła lokalny katalog domowy na woluminie startowym Maca. W takim wypadku wtyczka montuje również sieciowy katalog domowy użytkownika Windows (określony na koncie użytkownika Active Directory) jako wolumin sieciowy, tak jak punkt udostępniania. Używając Findera, użytkownik może wtedy kopiować pliki między woluminem sieciowym katalogu domowego Windows, a lokalnym katalogiem domowym Maca.
Tworzenie kont mobilnych dla użytkowników: Konto przenośne posiada lokalny katalog domowy na woluminie startowym Maca. (Użytkownik ma też sieciowy katalog domowy określony na koncie Active Directory użytkownika). Zobacz: Konfigurowanie kont przenośnych użytkownika.
LDAP na potrzeby dostępu i Kerberos do uwierzytelniania: Wtyczka Active Directory nie używa interfejsu Microsoft Active Directory Services Interface (ADSI) z usługami katalogowymi i uwierzytelniającymi.
Wykrywanie i uzyskiwanie dostępu do schematów rozszerzonych: Jeśli schemat Active Directory został rozszerzony o typy rekordów macOS (klasy obiektów) oraz atrybuty, wtyczka Active Directory wykryje je i użyje ich. Na przykład, schemat Active Directory może zostać zmieniony za pomocą narzędzi administracyjnych Windows i zawierać atrybuty zarządzanego klienta macOS. Ta zmiana schematu umożliwia wtyczce Active Directory używać obsługiwanych rozwiązań MDM (zarządzanie urządzeniami mobilnymi).