Integrar l’Active Directory amb la Utilitat de Directoris del Mac
Pots utilitzar el connector d’Active Directory (al tauler Serveis de la Utilitat de Directoris) per configurar el Mac per accedir a informació de comptes bàsica en un domini d’Active Directory d’un servidor Windows 2000 o posterior.
El connector d’Active Directory genera tots els atributs necessaris per a l’autenticació al macOS des de comptes d’usuari d’Active Directory. També admet les polítiques d’autenticació d’Active Directory, incloent-hi els canvis de contrasenya, caducitats, canvis forçats i opcions de seguretat. Com que el connector admet aquestes funcions, no cal que facis modificacions de l’esquema al domini d’Active Directory per obtenir informació bàsica sobre comptes d’usuari.
Nota: Els ordinadors amb el macOS 10.12 o posterior no es poden unir a un domini d’Active Directory sense un nivell funcional de dominis de com a mínim Windows Server 2008, llevat que activis expressament “weak crypto”. Encara que els nivells funcionals de domini de tots els dominis siguin del 2008 o posterior, pot ser que l’administrador necessiti especificar explícitament la confiança de cada domini per utilitzar l’encriptació Kerberos AES.
Quan el macOS està plenament integrat amb Active Directory, els usuaris:
Estan subjectes a les polítiques de contrasenya del domini de l’organització
Fan servir les mateixes credencials per autenticar-se i obtenir autorització per a recursos protegits
Reben identitats de certificat d’usuari i d’ordinador des d’un servidor de serveis de certificats d’Active Directory
Poden travessar un espai de noms DFS (Distributed File System) i muntar el servidor SMB (Server Message Block) subjacent apropiat
Consell: Els clients Mac assumeixen que hi ha un accés de lectura complet als atributs que s’afegeixen al directori. Per tant, es possible que calgui canviar l’ACL d’aquests atributs per permetre que els grups d’ordinadors llegeixin aquests atributs afegits.
A més de polítiques d’autenticació, el connector d’Active Directory admet el següent:
L’encriptació de paquets i opcions de signatura de paquets per a tots els dominis d’Active Directory de Windows: aquesta funcionalitat està activada per omissió com a “permetre”. Pots canviar la configuració per omissió a “desactivada” o “obligatòria” amb l’ordre
dsconfigad
. Les opcions de signatura de paquets i encriptació de paquets asseguren que totes les dades que entren al domini d’Active Directory i en surten per a la consulta de registres estan protegides.Generació dinàmica d’identificadors únics: el controlador genera un ID d’usuari únic i un ID de grup primari en funció de l’ID únic global (GUID) del compte d’usuari al domini d’Active Directory. L’ID d’usuari generat i l’ID de grup primari són iguals per a cada compte d’usuari, fins i tot si el compte s’utilitza per iniciar la sessió en diferents ordinadors Mac. Consulta Assignar l’ID de grup, el GID principal i l’UID a un atribut d’Active Directory.
Replicació i commutació per error d’Active Directory: el connector d’Active Directory descobreix diversos controladors de domini i en determina el més proper. Si un controlador de domini no està disponible, el connector fa servir un altre controlador de domini proper.
Descoberta de tots els dominis en un bosc d’Active Directory: pots configurar el connector per permetre que els usuaris de qualsevol domini al bosc s’autentiquin en un ordinador Mac. De forma alternativa, pots permetre que només s’autentiquin dominis específics al client. Consulta Controlar l’autenticació de tots els dominis al bosc d’Active Directory.
Muntatge de carpetes d’inici de Windows: quan algú inicia la sessió en un Mac amb el compte d’usuari d’Active Directory, el connector d’Active Directory pot muntar la carpeta d’inici de xarxa de Windows especificada al compte d’usuari d’Active Directory com a carpeta d’inici de l’usuari. Pots especificar que vols utilitzar la carpeta d’inici de xarxa especificada per l’atribut de directori d’inici estàndard d’Active Directory o per l’atribut de directori d’inici del macOS (si s’amplia l’esquema d’Active Directory per incloure’l).
Utilització d’una carpeta d’inici local situada al Mac: pots configurar el connector perquè creï una carpeta d’inici local en el volum d’arrencada del Mac. En aquest cas, el connector també munta la carpeta d’inici de xarxa de Windows de l’usuari (especificada al compte d’usuari d’Active Directory) com un volum de xarxa, igual que un punt compartit. Amb el Finder, l’usuari pot copiar arxius entre el volum de xarxa de la carpeta d’inici de Windows i la carpeta d’inici Mac local.
Creació de comptes mòbils per als usuaris: un compte mòbil té una carpeta d’inici local en el volum d’arrencada del Mac. (L’usuari també té una carpeta d’inici de xarxa especificada al compte d’Active Directory de l’usuari). Consulta Configurar comptes d’usuari mòbils.
LDAP per a l’accés i Kerberos per a l’autenticació: el connector d’Active Directory no utilitza una interfície del servei Active Directory (ADSI) propietat de Microsoft per obtenir serveis de directori o autenticació.
Detecció i accés a esquemes ampliats: si l’esquema d’Active Directory s’ha ampliat per incloure tipus de registre i atributs del macOS (classes d’objecte), el connector d’Active Directory els detecta i hi accedeix. Per exemple, l’esquema d’Active Directory es podria canviar amb les eines d’administració de Windows per incloure atributs de client gestionats pel macOS. Aquest canvi d’esquema fa possible que el connector d’Active Directory utilitzi solucions de gestió de dispositius mòbils (MDM) compatibles.