กำหนดค่าการเข้าถึงโดเมนในยูทิลิตี้ไดเรกทอรีบน Mac
สิ่งสำคัญ: ด้วยตัวเลือกขั้นสูงของตัวเชื่อมต่อ Active Directory คุณสามารถเทียบผังคุณลักษณะ ID ผู้ใช้เฉพาะ macOS (UID), ID กลุ่มหลัก (GID) และ GID กลุ่ม กับคุณลักษณะที่ถูกต้องในแบบแผน Active Directory ได้ อย่างไรก็ตาม ถ้าคุณเปลี่ยนแปลงการตั้งค่าเหล่านี้ในภายหลัง ผู้ใช้อาจสูญเสียการเข้าถึงไฟล์ที่สร้างก่อนหน้านั้นได้
ผูกโดยใช้ยูทิลิตี้ไดเรกทอรี
ในแอปยูทิลิตี้ไดเรกทอรี บน Mac ของคุณ ให้คลิก บริการ
คลิกไอคอนล็อค
ป้อนชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ จากนั้นคลิกปรับการกำหนดค่า (หรือใช้ Touch ID)
เลือก Active Directory จากนั้นคลิกปุ่ม “แก้ไขการตั้งค่าของบริการที่เลือก”
ป้อนชื่อโฮสต์ DNS ของโดเมน Active Directory ที่คุณต้องการผูกไปยังคอมพิวเตอร์ที่คุณกำลังกำหนดค่า
ผู้ดูแลระบบของโดเมน Active Directory สามารถบอกชื่อโฮสต์ DNS กับคุณได้
ถ้าจำเป็น ให้แก้ไข ID คอมพิวเตอร์
ID คอมพิวเตอร์ ซึ่งเป็นชื่อคอมพิวเตอร์ที่รู้จักในโดเมน Active Directory จะถูกตั้งค่าไว้ล่วงหน้าให้เป็นชื่อของคอมพิวเตอร์ คุณสามารถเปลี่ยนชื่อคอมพิวเตอร์เพื่อให้สอดคล้องกับแบบแผนการตั้งชื่อขององค์กรคุณได้ ถ้าคุณไม่แน่ใจ ให้ถามผู้ดูแลระบบโดเมน Active Directory
สิ่งสำคัญ: ถ้าชื่อคอมพิวเตอร์ของคุณมีเครื่องหมายขีดสั้น คุณอาจไม่สามารถผูกกับโดเมนไดเรกทอรีอย่าง LDAP หรือ Active Directory ได้ ในการสร้างการผูก ให้เปลี่ยนชื่อคอมพิวเตอร์ของคุณเป็นชื่อที่ไม่มีเครื่องหมายขีดสั้น
ถ้าตัวเลือกขั้นสูงถูกซ่อนอยู่ ให้คลิกสามเหลี่ยมแสดงผลที่อยู่ถัดจากคำว่าแสดงตัวเลือก คุณยังสามารถเปลี่ยนแปลงการตั้งค่าตัวเลือกขั้นสูงได้ในภายหลัง
(ไม่บังคับ) เลือกตัวเลือกความพอใจของผู้ใช้
ให้ดูที่ตั้งค่าบัญชีผู้ใช้เคลื่อนที่, ตั้งค่าโฟลเดอร์เริ่มต้นสำหรับบัญชีผู้ใช้ และตั้งค่าเชลล์ UNIX สำหรับบัญชีผู้ใช้ Active Directory
(ไม่บังคับ) เลือกตัวเลือกการเทียบผังโครงสร้าง
ให้ดูที่เทียบผัง ID กลุ่ม, GID หลัก และ UID ไปยังคุณลักษณะ Active Directory
(ไม่บังคับ) เลือกตัวเลือกผู้ดูแลระบบ
แนะนำเซิร์ฟเวอร์โดเมนนี้: ตามค่าเริ่มต้น macOS จะใช้ข้อมูลไซต์และการตอบสนองของแถบควบคุมโดเมนเพื่อกำหนดแถบควบคุมโดเมนที่จะใช้ ถ้ามีการระบุแถบควบคุมโดเมนในไซต์เดียวกันที่นี่ จะมีการปรึกษาก่อน ถ้าไม่มีแถบควบคุมโดเมนให้ใช้งาน macOS จะแปลงกลับเป็นลักษณะการทำงานตามค่าเริ่มต้น
อนุญาตการจัดการโดย: เมื่อเปิดใช้งานตัวเลือกนี้ สมาชิกกลุ่ม Active Directory ในรายการ (ตามค่าเริ่มต้น คือผู้ดูแลระบบโดเมนและผู้ดูแลระบบส่วนองค์กร) จะได้รับสิทธิ์ของผู้ดูแลระบบในเครื่อง Mac และคุณสามารถระบุกลุ่มความปลอดภัยที่ต้องการได้ด้วย
อนุญาตการตรวจสอบสิทธิ์จากโดเมนใดๆ ใน Forest: ตามค่าเริ่มต้น macOS จะค้นหาโดเมนทั้งหมดเพื่อตรวจสอบสิทธิ์โดยอัตโนมัติ ถ้าต้องการจำกัดการตรวจสอบสิทธิ์เฉพาะกับโดเมนที่รวมกับ Mac เท่านั้น ให้เลิกเลือกกล่องกาเครื่องหมายนี้
ให้ดูที่ควบคุมการตรวจสอบสิทธิ์จากโดเมนทั้งหมดใน Active Directory Forest
คลิก ผูก แล้วป้อนข้อมูลต่อไปนี้:
หมายเหตุ: ผู้ใช้ต้องมีสิทธิ์ใน Active Directory เพื่อผูกคอมพิวเตอร์กับโดเมน
ชื่อผู้ใช้และรหัสผ่าน: คุณอาจสามารถตรวจสอบสิทธิ์ได้โดยการป้อนชื่อและรหัสผ่านของบัญชีผู้ใช้ Active Directory ของคุณ หรือผู้ดูแลระบบโดเมน Active Directory อาจต้องจัดหาชื่อและรหัสผ่านมาให้คุณ
OU คอมพิวเตอร์: ป้อนหน่วยองค์กร (OU) สำหรับคอมพิวเตอร์ที่คุณกำลังกำหนดค่า
ใช้สำหรับการตรวจสอบสิทธิ์: เลือกว่าคุณต้องการให้เพิ่ม Active Directory ไปยังนโยบายการค้นหาการตรวจสอบสิทธิ์ของคอมพิวเตอร์หรือไม่
ใช้สำหรับรายชื่อ: เลือกว่าคุณต้องการให้เพิ่ม Active Directory ไปยังนโยบายการค้นหารายชื่อของคอมพิวเตอร์หรือไม่
คลิก ตกลง
ยูทิลิตี้ไดเรกทอรีจะตั้งค่าการผูกที่เชื่อถือได้ระหว่างคอมพิวเตอร์ที่คุณกำลังกำหนดค่าและเซิร์ฟเวอร์ Active Directory นโยบายการค้นหาของคอมพิวเตอร์จะถูกตั้งค่าตามตัวเลือกที่คุณเลือกเมื่อคุณตรวจสอบสิทธิ์ และ Active Directory จะถูกเปิดใช้ในบานหน้าต่างบริการของยูทิลิตี้ไดเรกทอรี
ค่าติดตั้งเริ่มต้นสำหรับตัวเลือกขั้นสูง Active Directory จะทำให้ Active Directory Forest ถูกเพิ่มไปยังนโยบายการค้นหาการตรวจสอบสิทธิ์และนโยบายการค้นหารายชื่อของคอมพิวเตอร์ถ้าคุณเลือก “ใช้สำหรับการตรวจสอบสิทธิ์” หรือ “ใช้สำหรับรายชื่อ”
อย่างไรก็ตาม ถ้าคุณเลิกเลือก “อนุญาตการตรวจสอบสิทธิ์จากโดเมนใดๆ ใน Forest” ในตัวเลือกขั้นสูงของผู้ดูแลระบบก่อนคลิก ผูก โดเมน Active Directory ที่ใกล้ที่สุดจะถูกเพิ่มแทนโดเมนใน Forest
คุณสามารถเปลี่ยนแปลงนโยบายการค้นหาได้ภายหลังโดยการคลิกหรือการลบ Active Directory Forest หรือโดเมนเฉพาะ ให้ดูที่กำหนดนโยบายการค้นหา
ผูกโดยใช้โปรไฟล์การกำหนดค่า
เพย์โหลดไดเรกทอรีในโปรไฟล์การกำหนดค่าสามารถกำหนดค่า Mac เครื่องเดียวหรือทำให้คอมพิวเตอร์ Mac หลายร้อยเครื่องทำงานอัตโนมัติเพื่อผูกกับ Active Directory ได้ เช่นเดียวกับเพย์โหลดโปรไฟล์การกำหนดค่าอื่นๆ คุณสามารถปรับใช้เพย์โหลดไดเรกทอรีได้ด้วยตัวเอง โดยใช้สคริปต์ เป็นส่วนหนึ่งของการลงทะเบียน MDM หรือโดยใช้โซลูชั่นการจัดการไคลเอนต์
เพย์โหลดเป็นส่วนหนึ่งของโปรไฟล์การกำหนดค่าและอนุญาตให้ผู้ดูแลระบบสามารถจัดการส่วนเฉพาะของ macOS ได้ ติดต่อผู้จำหน่าย MDM ของคุณสำหรับคำแนะนำเกี่ยวกับวิธีสร้างโปรไฟล์การกำหนดค่า
ผูกโดยใช้บรรทัดคำสั่ง
คุณสามารถใช้คำสั่ง dsconfigad
ในแอปเทอร์มินัลเพื่อผูก Mac เข้ากับ Active Directory ได้
ตัวอย่างเช่น คำสั่งต่อไปนี้สามารถใช้ในการผูก Mac เข้ากับ Active Directory ได้:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
หลังจากที่คุณผูก Mac เข้ากับโดเมนแล้ว คุณสามารถใช้ dsconfigad
เพื่อตั้งค่าตัวเลือกผู้ดูแลระบบในยูทิลิตี้ไดเรกทอรีได้:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
ตัวเลือกบรรทัดคำสั่งแบบขั้นสูง
การรองรับดั้งเดิมสำหรับ Active Directory จะมีตัวเลือกที่คุณมองไม่เห็นในยูทิลิตี้ไดเรกทอรี ถ้าต้องการดูตัวเลือกขั้นสูงเหล่านี้ ให้ใช้เพย์โหลดไดเรกทอรีในโปรไฟล์การกำหนดค่า หรือเครื่องมือบรรทัดคำสั่ง dsconfigad
เริ่มตรวจสอบตัวเลือกบรรทัดคำสั่งโดยเปิดหน้าคู่มือสำหรับ dsconfigad
ช่วงเวลาสำหรับรหัสผ่านอ็อบเจกต์คอมพิวเตอร์
เมื่อรวมระบบ Mac เข้ากับ Active Directory ระบบจะตั้งรหัสผ่านบัญชีคอมพิวเตอร์ที่จัดเก็บไว้ในพวงกุญแจระบบและถูกเปลี่ยนโดยอัตโนมัติโดย Mac ช่วงเวลาใช้งานรหัสผ่านเริ่มต้นคือทุก 14 วัน แต่คุณสามารถใช้เพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
เพื่อตั้งค่าช่วงเวลาใดๆ ที่นโยบายของคุณต้องใช้
การตั้งค่าเป็น 0 จะปิดใช้งานการเปลี่ยนรหัสผ่านบัญชีโดยอัตโนมัติ: dsconfigad -passinterval 0
หมายเหตุ: รหัสผ่านอ็อบเจกต์คอมพิวเตอร์จะถูกจัดเก็บเป็นค่ารหัสผ่านในพวงกุญแจระบบ ถ้าต้องการดึงข้อมูลรหัสผ่าน ให้เปิดการเข้าถึงพวงกุญแจ แล้วเลือกพวงกุญแจระบบ จากนั้นเลือกหมวดหมู่รหัสผ่าน ค้นหารายการที่มีลักษณะเช่น /Active Directory/DOMAIN โดย DOMAIN คือชื่อ NetBIOS ของโดเมน Active Directory คลิกสองครั้งที่รายการนี้ แล้วเลือกกล่องกาเครื่องหมาย “แสดงรหัสผ่าน” ตรวจสอบสิทธิ์ในฐานะผู้ดูแลระบบเฉพาะเครื่องตามที่จำเป็น
การรองรับเนมสเปซ
macOS รองรับการตรวจสอบสิทธิ์ของผู้ใช้หลายคนที่มีชื่อ (หรือชื่อเข้าสู่ระบบ) ที่สั้นเหมือนกันซึ่งมีอยู่แล้วในโดเมนอื่นภายใน Active Directory Forest ด้วยการเปิดใช้งานการรองรับเนมสเปซที่มีเพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
ผู้ใช้ในหนึ่งโดเมนจะสามารถมีชื่อที่สั้นได้เหมือนกับผู้ใช้ในโดเมนรอง ผู้ใช้ทั้งสองคนจำเป็นต้องเข้าสู่ระบบโดยใช้ชื่อของโดเมนผู้ใช้ซึ่งตามด้วยชื่อที่สั้น (DOMAIN\short name) ซึ่งคล้ายกับการเข้าสู่ระบบไปยังพีซี Windows ถ้าต้องการเปิดใช้งานการรองรับนี้ ให้ใช้คำสั่งต่อไปนี้:
dsconfigad -namespace <forest>
การลงชื่อและการเข้ารหัสแพ็คเกต
ไคลเอ็นต์ Open Directory สามารถลงชื่อและเข้ารหัสการเชื่อมต่อ LDAP ที่ใช้สื่อสารกับ Active Directory ได้ ด้วยการรองรับ SMB ที่ลงชื่อใน macOS คุณจึงไม่จำเป็นต้องดาวน์เกรดนโยบายความปลอดภัยของไซต์เพื่อปรับให้เหมาะกับคอมพิวเตอร์ Mac การเชื่อมต่อ LDAP ที่ลงชื่อและเข้ารหัสแล้วยังช่วยให้ไม่ต้องใช้ LDAP ผ่าน SSL อีกด้วย ถ้าต้องมีการเชื่อมต่อ SSL ให้ใช้คำสั่งต่อไปนี้ในการกำหนดค่า Open Directory เพื่อใช้ SSL:
dsconfigad -packetencrypt ssl
โปรดจำไว้ว่าใบรับรองที่ใช้ในแถบควบคุมโดเมนต้องเชื่อถือได้เพื่อให้เข้ารหัส SSL ได้สำเร็จ ถ้าใบรับรองของแถบควบคุมโดเมนไม่ได้กำหนดจากรากของระบบดั้งเดิมที่เชื่อถือได้ใน macOS ให้ติดตั้งและเชื่อถือลูกโซ่ใบรับรองในพวงกุญแจระบบ ผู้อนุมัติใบรับรองที่เชื่อถือได้ตามค่าเริ่มต้นใน macOS จะอยู่ในพวงกุญแจของรากของระบบ ถ้าต้องการติดตั้งใบรับรองและสร้างความเชื่อถือ ให้ปฏิบัติตามวิธีใดวิธีหนึ่งต่อไปนี้:
นำเข้ารากและใบรับรองที่จำเป็นในระดับกลางโดยใช้เพย์โหลดใบรับรองในโปรไฟล์การตั้งค่า
ใช้การเข้าถึงพวงกุญแจที่อยู่ใน /แอปพลิเคชัน/ยูทิลิตี้/
ใช้คำสั่งความปลอดภัยดังต่อไปนี้:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
จำกัด DNS แบบไดนามิค
macOS จะพยายามอัปเดตบันทึก Address (A) ใน DNS สำหรับอินเทอร์เฟซทั้งหมดตามค่าเริ่มต้น ถ้ามีการกำหนดค่าหลายอินเทอร์เฟซ การดำเนินการนี้อาจส่งผลให้มีหลายบันทึกใน DNS ในการจัดการลักษณะการทำงานนี้ ให้ระบุอินเทอร์เฟซที่จะใช้ในระหว่างที่อัปเดต Dynamic Domain Name System (DDNS) โดยใช้เพย์โหลดไดเรกทอรีหรือเครื่องมือบรรทัดคำสั่ง dsconfigad
ระบุชื่อ BSD ของอินเทอร์เฟซที่จะเชื่อมโยงรายการอัปเดต DDNS ชื่อ BSD เป็นชื่อเดียวกับช่องอุปกรณ์ ซึ่งส่งกลับโดยสั่งทำงานคำสั่งนี้:
networksetup -listallhardwareports
ในขณะที่กำลังใช้ dsconfigad
ในสคริปต์ คุณต้องใส่รหัสผ่านข้อความธรรมดาที่ใช้ในการผูกกับโดเมน ตามปกติ ผู้ใช้ Active Directory ที่ไม่มีสิทธิ์ผู้ดูแลระบบสิทธิ์อื่นๆ จะได้รับมอบสิทธิ์ความรับผิดชอบต่อการผูกคอมพิวเตอร์ Mac เข้ากับโดเมน การจับคู่ชื่อผู้ใช้และรหัสผ่านนี้จะจัดเก็บอยู่ในสคริปต์ เป็นเรื่องปกติที่สคริปต์จะลบตัวเองออกอย่างปลอดภัยหลังจากผูกกันแล้วเพื่อให้ข้อมูลนี้ไม่อยู่ในอุปกรณ์จัดเก็บอีกต่อไป