Настроювання доступу до домену у Службі каталогів на Mac
Важливо! З експертними параметрами з’єднувача Active Directory можна зіставити атрибути унікального ідентифікатора користувача (UID), ідентифікатора первинної групи (GID) та групового ідентифікатора GID macOS із правильними атрибутами зі схеми Active Directory. Проте, якщо пізніше змінити значення цих параметрів, користувачі можуть втратити доступ до попередньо створених файлів.
Запуск Служби каталогів для мене
Прив’язування за допомогою Служби каталогів
У програмі «Служба каталогів» на Mac клацніть «Сервіси».
Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть Active Directory та натисніть кнопку «Редагувати» (у вигляді олівця).
Введіть ім’я вузла DNS домену Active Directory, до якого потрібно прив’язати комп’ютер, який ви настроюєте.
Ім’я потрібного вузла DNS можна дізнатися в адміністратора домену Active Directory.
За необхідності змініть ідентифікатор комп’ютера.
Ідентифікатор комп’ютера — це ім’я комп’ютера, під яким комп’ютер відомий у домені Active Directory. Це ім‘я попередньо задано з іменем комп’ютера. Його можна змінити для відповідності схемі найменування у вашій організації. Якщо ви не впевнені, зверніться до адміністратора домену Active Directory.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, використовуйте ім’я комп’ютера без дефіса.
(Додатково) Виберіть опції на панелі «Параметри користувача».
Див. Настроювання мобільних облікових записів користувачів, Настроювання домівок для облікових записів користувачів і Настроювання командного процесора UNIX для облікових записів Active Directory.
(Додатково) Виберіть опції на панелі «Співвідношення».
(Необов’язково) Виберіть експертні параметри. Ви також можете настроїти експертні параметри пізніше.
Якщо експертні параметри приховано, натисніть розкривний трикутник у вікні.
Надавати перевагу доменному серверу. Стандартно macOS використовує інформацію сайта й швидкість відповіді контролера домену для визначення, який контролер домену використовувати. Якщо тут вказано контролер домену того ж сайту, до нього буде звернення в першу чергу. Якщо контролер домену недоступний, macOS повертається до стандартних дій.
Дозволити адміністрування. Якщо цю опцію увімкнено, учасники перелічених груп Active Directory (стандартно - адміністратори домену й мережі enterprise) отримують привілеї адміністратора на локальному комп’ютері Mac. Крім того тут можна вказати потрібні захищені групи.
Дозволити аутентифікацію з будь-якого домену в лісі. Стандартно macOS автоматично шукає всі домени для аутентифікації. Щоб обмежити аутентифікацію до єдиного домену, до якого прив’язано цей комп’ютер Mac, вимкніть цю опцію.
Див.:
Натисніть «Прив’язати», а тоді введіть такі дані:
Примітка. Користувач має мати належні привілеї в Active Directory для прив’язування комп’ютера до домену.
Ім’я користувача та пароль: ви можете аутентифікуватися, ввівши ім’я та пароль свого облікового запису користувача Active Directory, або, можливо, їх доведеться запитати в адміністратора домену Active Directory.
OU комп’ютера: введіть назву підрозділу організації (OU) для комп’ютера, який ви настроюєте.
Використовувати для аутентифікації: виберіть, чи додавати Active Directory до політики пошуку аутентифікаційних даних на комп’ютері.
Використовувати для контактів: виберіть, чи додавати Active Directory до політики пошуку контактів на комп’ютері.
Натисніть кнопку ОК.
Служба каталогів установить довірене прив’язування між комп’ютером, який ви настроюєте, і сервером Active Directory. Політики пошуку комп’ютера настроєно відповідно до вибраних вами під час аутентифікації параметрів, а Active Directory ввімкнено на панелі «Сервіси» Служби каталогів.
Зі стандартними настройками експертних параметрів Active Directory ліс Active Directory додається до політики пошуку аутентифікаційних даних і політики пошуку контактів комп’ютера, якщо ви вибрали опції «Використовувати для аутентифікації» або «Використовувати для контактів».
Проте, якщо вимкнути опцію «Дозволити аутентифікацію з будь-якого домену в лісі» на панелі «Адміністрування» експертних параметрів, перш ніж натиснути команду «Прив’язати», замість лісу буде додано найближчий домен Active Directory.
Ви можете змінити політику пошуку пізніше, додавши або видаливши ліс Active Directory або окремі домени. Див. Визначення політик пошуку.
Прив’язування за допомогою профайлів конфігурації
Корисні дані каталогу у профайлі конфігурації можуть конфігурувати один комп’ютер Mac або ж автоматизувати сотні комп’ютерів для прив’язування до Active Directory. Як і з іншими корисними даними профайлів конфігурації, можна розгорнути каталог вручну за допомогою скрипта в процесі замовлення MDM, або ж за допомогою рішення для керування клієнтами.
Корисні дані є частиною профайлів конфігурації та дають змогу адміністраторам керувати певними частинами macOS. У Менеджері профайлів вибирайте ті ж функції, що і в Службі каталогів. Після цього слід визначити, як комп’ютери Mac отримують профайл конфігурації.
Викачайте macOS Server із Mac App Store.
Перейдіть у Довідку Server і налаштуйте Менеджер профілів.
Відкрийте Параметри каталогів у параметрах керування мобільним пристроєм (MDM) для IT-спеціалістів, щоб створити набір даних Active Directory.
Прив’язування за допомогою командного рядка
Для прив’язування комп’ютера Mac до Active Directory можна використовувати команду dsconfigad
у програмі «Термінал».
Наприклад, можна прив’язати комп’ютер Mac до Active Directory за допомогою команди:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Після прив’язування комп’ютера Mac до домена за допомогою команди dsconfigad
можна налаштувати опції адміністрування в Службі каталогів:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Експертні опції командного рядка
Оригінальна підтримка Active Directory включає опції, які не відображаються у Службі каталогів. Щоб побачити ці експертні опції, використовуйте корисні дані каталогу у профайлі конфігурації або інструмент командного рядка dsconfigad
.
Запустити оглд опцій командного рядка можна, відкривши man-сторінку dsconfigad.
Інтервал дії пароля для комп’ютерного об’єкта
Коли систему Mac прив’язано до Active Directory, в системі встановлюється пароль для облікового запису комп’ютера, який зберігається у системній в’язці ключів й автоматично змінюється комп’ютером Mac. Стандартний інтервал для пароля становить 14 днів, однак за допомогою корисних даних каталогу або інструменту командного рядка dsconfigad
можна встановити інший інтервал, як того вимагає ваша політика.
Значення 0 вимикає автоматичне змінення пароля облікового запису: dsconfigad -passinterval 0
Примітка. Пароль комп’ютерного об’єкта зберігається як значення пароля у системній в’язці ключів. Щоб видобути пароль, відкрийте «Ключар», виберіть системну в’язку і виберіть категорію «Паролі». Знайдіть запис, який виглядає так: /Active Directory/DOMAIN, де DOMAIN — це NetBIOS-ім’я домену Active Directory. Двічі клацніть цей запис й увімкніть опцію «Показати пароль». За потреби пройдіть аутентифікацію як користувач із правами локального адміністратора.
Підтримка простору імен
macOS підтримує аутентифікацію кількох користувачів з однаковими короткими іменами (іменами користувача), які існують у різних доменах у лісі Active Directory. Якщо увімкнути підтримку простору імен у корисних даних каталогу або за допомогою інструмента командного рядка dsconfigad
, користувач в одному домені може мати таке ж коротке ім’я як і користувач в іншому домені. Обидва користувачі для вхоу в систему повинні використовувати ім’я свого домену і коротке ім’я користувача (DOMAIN\коротке ім’я), подібно як на комп’ютерах Windows. Увімкнути цю підтримку можна за допомогою команди:
dsconfigad -namespace <forest>
Підписування та шифрування пакета
Клієнт Open Directory може підписати і зашифрувати з’єднання LDAP, яке використовується для комунікації з Active Directory. Завдяки підтримці підписаних протоколів SMB в macOS немає потреби послаблювати політику безпеки сайту для роботи з комп’ютерами Mac. Підписані і шифровані з’днання LDAP також усувають потребу використовувати LDAP через SSL. Якщо вимагається з’днання SSL, для конфігурування Open Directory для SSL використовуйте команду:
dsconfigad -packetencrypt ssl
Зверніть увагу, що для успішного з’єднання SSL контролери доменів мають використовувати надійні сертифікати. Якщо сертифікати контролера домену отримано не з оригінальної надійної кореневої системи macOS, встановіть і визнайте надійною в’язку сертифікатів у системній в’язці. Центри сертифікації, стандартно визнані надійними macOS, зберігаються у в’язці «Системні кореневі». Щоб інсталювати сертифікати і встановити їхню надійність, виконайте одну з наведених нижче дій.
Імпортуйте кореневі та інші потрібні проміжні сертифікати за допомогою корисних даних сертифікатів у профайлі конфігурації
Використовуйте прогаму «Ключар», розташовану в папці «Утиліти» папки «Програми».
Використайте команду security:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Заборона динамічної DNS
Стандартно macOS намагається оновлювати свій запис адреси (A) в DNS для всіх інтерфейсів. Якщо конфігуровано багато інтерфейсів, це призводить до збільшення кількості записів у DNS. Для керування цією поведінкою вкажіть, який інтерфейс використовувати під час оновлення системи DDNS за допомогою корисних даних каталогу або інструменту командного рядка dsconfigad
. Вкажіть ім’я BSD інтерфейсу, для якого асоціювати оновлення DDNS. Ім’я BSD збігається зі значенням у полі «Пристрій», яке повертається після виконання команди:
networksetup -listallhardwareports
Якщо у скрипті використовується команда dsconfigad
, потрібно включити пароль відкритим текстом, який використовується для прив’язування до домена. Зазвичай повноваження прив’язування комп’ютера Mac до домена надаються користувачеві Active Directory, який не має жодних інших привілеїв адміністратора. Пара ім’я користувача і пароль зберігаються у скрипті. Звичайною практикою для таких скриптів є безпечне самовидалення після прив’язування, щоб інформація не зберігалася на носію.