Configurarea accesului la domenii în Utilitar director pe Mac
Important: cu opțiunile avansate ale conectorului Active Directory, puteți mapa atributele GID ale grupului, ID-ul de grup principal (GID) și ID-ul unic de utilizator (UID) macOS la atributele corecte din schema Active Directory. Cu toate acestea, dacă modificați ulterior aceste configurări, utilizatorii ar putea pierde accesul la fișierele create anterior.
Asociază utilizând Utilitar director
În aplicația Utilitar director pe Mac, faceți clic pe Servicii.
Faceți clic pe pictograma lacăt.
Introduceți un nume și o parolă de administrator, apoi faceți clic pe Schimbă configurația (sau utilizați Touch ID).
Selectați Active Directory, apoi faceți clic pe butonul Editare (are aspectul unui creion).
Introduceți numele de gazdă al domeniului Active Directory pe care doriți să îl asociați la computerul pe care îl configurați.
Administratorul domeniului Active Directory vă poate comunica numele de gazdă DNS.
Dacă este necesar, editați ID-ul computerului.
ID-ul computerului este numele sub care computerul este cunoscut în domeniul Active Directory și este preconfigurat la numele computerului. Îl puteți modifica pentru a fi conform cu schema de denumire a organizației dvs. Dacă aveți dubii, întrebați administratorul de domeniu Active Directory.
Important: dacă numele computerului conține o cratimă, este posibil să nu vă puteți asocia la un domeniu de director precum LDAP sau Active Directory. Pentru a stabili asocierea, utilizați un nume de computer care nu conține o liniuță.
(Opțional) Selectați opțiunile din panoul Experiență utilizator.
Consultați Configurarea conturilor mobile de utilizator, Configurarea dosarelor de reședință pentru conturile de utilizator și Configurarea unui shell UNIX pentru conturile de utilizator Active Directory.
(Opțional) Selectați opțiunile din panoul Mapări.
Consultați Maparea ID de grup, GID principal și UID la un atribut Active Directory.
(Opțional) Selectați opțiunile avansate. Puteți schimba ulterior configurările opțiunilor avansate.
Dacă opțiunile avansate sunt ascunse, faceți clic pe triunghiul de dezvăluire din fereastră.
Preferă acest server de domeniu: Implicit, macOS utilizează informațiile site-ului și reacția controllerului domeniului pentru a determina controlerul de domeniu care trebuie utilizat. Dacă un controller de domeniu de pe același site este specificat aici, acesta este consultat primul. Dacă domeniul de controller nu este disponibil, macOS revine la comportamentul implicit.
Permite administrarea de către: Atunci când această opțiune este activată, membrii grupurilor Active Directory listate (implicit, administratorii de domeniu și întreprindere) primesc privilegii administrative pe Mac-ul local. De asemenea, aici puteți specifica grupurile de securitate dorite.
Permite autentificarea de pe orice domeniu din pădure: Implicit, macOS caută automat toate domeniile pentru autentificare. Pentru a restricționa autentificarea doar la domeniul la care este asociat Mac-ul, deselectați această casetă de validare.
Consultați:
Faceți clic pe Asociere, apoi introduceți informațiile următoare:
Notă: utilizatorul trebuie să aibă privilegii în Active Directory pentru a asocia un computer la domeniu.
Nume de utilizator și parolă: V-ați putea autentifica prin introducerea numelui și parolei contului dvs. de utilizator Active Directory sau administratorul domeniului Active Directory ar putea să trebuiască să furnizeze un nume și o parolă.
OU Computer: Introduceți unitatea organizațională (OU) pentru computerul pe care îl configurați.
Utilizează pentru autentificare: Selectați dacă doriți ca Active Directory să fie adăugat la politica de căutare a autentificării computerului.
Utilizează pentru contacte: Selectați dacă doriți ca Active Directory să fie adăugat la politica de căutare a contactelor computerului.
Faceți clic pe OK.
Utilitar director configurează asocierea de încredere între computerul pe care îl configurați și serverul Active Directory. Politicile de căutare ale computerului sunt configurate în conformitate cu opțiunile pe care le-ați selectat când v-ați autentificat, iar Active Directory este activat în panoul Servicii din Utilitar director.
Utilizând configurările implicite pentru opțiunile avansate Active Directory, pădurea Active Directory este adăugată la politica de căutare a autentificării computerului și la politica de căutare a contactelor dacă ați selectat “Utilizează pentru autentificare” sau “Utilizează pentru contacte”.
Cu toate acestea, dacă deselectați “Permite autentificarea din orice domeniu din pădure” în panoul de Opțiuni administrative avansate, înainte de a face clic pe Asociere, cel mai apropiat domeniu Active Directory este adăugat în locul pădurii.
Puteți schimba ulterior politicile de căutare prin adăugarea sau eliminarea pădurii Active Directory sau a domeniilor individuale. Consultați Definirea politicilor de căutare.
Asociere utilizând un profil de configurare
Sarcina directorului dintr-un profil de configurare poate configura un singur Mac sau poate automatiza sute de computere Mac pentru asociere la Active Directory. La fel ca alte sarcini ale profilului de configurare, puteți implementa sarcina directorului manual, utilizând un script, ca parte a unei înscrieri MDM sau prin utilizarea unei soluții de management al clientului.
Sarcinile fac parte din profiluri de configurare și permit administratorilor să gestioneze părți specifice ale macOS. Selectați aceleași caracteristici în Profile Manager pe care le-ați selecta în Utilitar director. Apoi, alegeți modul în care computerele Mac vor obține profilul de configurare.
În aplicația Server de pe Mac, efectuați următoarele:
Pentru a configura Profile Manager, consultați Pornirea Profile Manager în manualul de utilizare macOS Server.
Pentru a crea o sarcină Active Directory, consultați Configurările sarcinii Director în Configurări Gestionare dispozitive mobile pentru administratorii IT.
Dacă nu aveți aplicația Server, puteți să o descărcați din Mac App Store.
Asocierea utilizând linia de comandă
Puteți utiliza comanda dsconfigad
din aplicația Terminal pentru a asocia un Mac la Active Directory.
De exemplu, următoarea comandă poate fi utilizată pentru a asocia un Mac la Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
După ce asociați un Mac la domeniu, puteți utiliza dsconfigad
pentru a seta opțiunile administrative în Utilitar director:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opțiuni avansate pentru linie de comandă
Suportul nativ pentru Active Directory include opțiuni pe care nu le vedeți în Utilitar director. Pentru a vedea aceste opțiuni avansate, utilizați sarcina Active Directory într-un profil de configurare; sau instrumentul în linie de comandă dsconfigad
.
Începeți previzualizarea opțiunilor în linie de comandă prin deschiderea paginii dsconfigad man.
Interval parolă obiect computer
Atunci când sistemul Mac este asociat la Active Directory, acesta configurează o parolă a contului computerului care este stocată în portcheiul sistemului și este modificată automat de Mac. Intervalul parolei implicite este de 14 zile, dar puteți utiliza sarcina directorului sau instrumentul în linie de comandă dsconfigad
pentru a seta orice interval necesar pentru politica dvs.
Setarea valorii la 0 dezactivează modificarea automată a parolei contului: dsconfigad -passinterval 0
Notă: parola obiectului computer este stocată ca o valoare de parolă în portcheiul sistemului. Pentru a recupera parola, deschideți Acces portchei, selectați portcheiul sistemului, apoi selectați categoria Parole. Găsiți intrarea care arată precum /Active Directory/DOMENIU unde DOMENIU este numele NetBIOS al domeniului Active Directory. Faceți dublu clic pe această intrare, apoi selectați caseta de validare “Afișează parola”. Autentificarea ca administrator local după caz.
Suport spațiu de nume
macOS aceptă autentificarea mai multor utilizatori cu aceleași nume scurte (sau nume de login) care există în diferite domenii din pădurea Active Directory. Prin activarea suportului pentru spațiu de nume cu sarcina Active Directory sau instrumentul în linie de comandă dsconfigad
, un utilizator dintr-un domeniu poate avea același nume scurt ca un utilizator dintr-un domeniu secundar. Ambii utilizatori trebuie să facă log in utilizând numele domeniului lor urmat de numele lor scurte (DOMENIU\ nume scurt), similar cu efectuarea loginului la un Windows PC. Pentru a activa acest suport, utilizați următoarea comandă:
dsconfigad -namespace <forest>
Semnarea și criptarea pachetului
Clientul Open Directory poate semna și cripta conexiunile LDAP utilizate pentru a comunica cu Active Directory. Cu suportul SMB semnat în macOS, nu ar trebui să fie necesar să convertiți politica de securitate a site-ului pentru a include computere Mac. Conexiunile LDAP semnate și criptate elimină, de asemenea, orice necesitate de a utiliza LDAP prin SSL. Dacă sunt necesare conexiuni SSL, utilizați următoarea comandă pentru a configura Open Directory pentru a utiliza SSL:
dsconfigad -packetencrypt ssl
Rețineți că certificatele utilizate pe controllerele de domeniu trebuie să fie de încredere pentru criptarea SSL cu succes. Dacă certificatele controllerului domeniului nu sunt emise de la rădăcinile sistemului de încredere nativ macOS, instalați și acordați încredere lanțului de certificate din portcheiul Sistem. Autoritățile de certificare considerate implicit de încredere în macOS sunt în portcheiul Rădăcini sistem. Pentru a instala certificate și a stabili încrederea, procedați după cum urmează:
Importați certificatul rădăcină și orice certificate intermediare necesare utilizând sarcina certificatelor într-un profil de configurare
Utilizați Acces portchei, din /Aplicații/Utilitare/
Utilizați comanda de securitate după cum urmează:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Restricționează DNS dinamic
macOS încearcă să-și actualizeze înregistrarea Adresă (A) în DNS pentru toate interfețele implicit. Dacă sunt configurate mai multe interfețe, aceasta poate avea ca rezultat mai multe înregistrări în DNS. Pentru a gestiona acest comportament, specificați interfața care va fi utilizată atunci când actualizați Sistemul de nume de domeniu dinamic (DDNS) prin utilizarea sarcinii Active Directory sau a instrumentului în linie de comandă dsconfigad
. Specificați numele BSD al interfeței în care sunt asociate actualizările DDNS. Numele BSD este același ca și câmpul Dispozitiv, returnat prin rularea acestei comenzi:
networksetup -listallhardwareports
Atunci când utilizați dsconfigad
într-un script, trebuie să includeți parola în text clas utilizată pentru a asocia domeniul. De obicei, unui utilizator Active Directory fără alte privilegii de administrator îi este delegată responsabilitatea de a asocia computere Mac la domeniu. Această pereche de nume de utilizator și parolă este memorată în script. Este o practică obișnuită ca scriptul să se șteargă singur în mod securizat astfel încât aceste informații nu se mai află pe dispozitivul de stocare.