Konfigurer domæneadgang i Biblioteksværktøj på Mac
Vigtigt: Med de avancerede indstillinger i Active Directory-tilbehøret kan du overføre egenskaberne entydigt bruger-id (UID), primært gruppe-id (GID) og gruppe-id (GID) i macOS til de korrekte egenskaber i Active Directory-skemaet. Men hvis du ændrer disse indstillinger senere, mister brugerne måske adgangen til de arkiver, de tidligere har oprettet.
Sammenkæd vha. Biblioteksværktøj
I appen Biblioteksværktøj på din Mac skal du klikke på Tjenester.
Klik på symbolet for låsen.
Skriv en administrators brugernavn og adgangskode, og klik derefter på Rediger konfiguration (eller brug Touch ID).
Vælg Active Directory, og klik derefter på knappen “Rediger indstillinger til den valgte enhed” .
Skriv DNS-værtsnavnet på det Active Directory-domæne, som du vil sammenkæde med den computer, du konfigurerer.
Administratoren af Active Directory-domænet kan fortælle dig, hvad DNS-værtsnavnet er.
Rediger om nødvendigt computerens id.
Computerens id er det navn, som computeren har i Active Directory-domænet, og er forindstillet til navnet på computeren. Du kan ændre det, så det passer til organisationens navngivningsregler. Hvis du er i tvivl om, hvad du skal gøre, kan du spørge administratoren af Active Directory-domænet.
Vigtigt: Hvis din computers navn indeholder en bindestreg, kan du muligvis ikke oprette forbindelse til et biblioteksdomæne som LDAP eller Active Directory. Du kan etablere sammenkædning, hvis du ændrer navnet på computeren, så det ikke indeholder en bindestreg.
Hvis de avancerede indstillinger er skjult, skal du klikke på trekanten ud for Vis indstillinger. Du kan også ændre avancerede indstillinger senere.
(Valgfri) Vælg indstillinger til Brugeroplevelse.
Se Indstil mobile brugerkonti, Indstil hjemmemapper til brugerkonti og Indstil en UNIX-shell til Active Directory-brugerkonti.
(Valgfri) Vælg indstillinger til Overførsler.
Se Overfør gruppe-ID, primær GID og UID til en Active Directory-egenskab.
(Valgfri) Vælg indstillinger til Administrativ.
Brug denne domæneserver: macOS bruger som standard webstedsoplysninger og domænekontrolenheds reaktion til at afgøre, hvilken domænekontrolenhed der skal bruges. Hvis der er anført en domænekontrolenhed på det samme websted, konsulteres den først. Hvis domænekontrolenheden er utilgængelig, vender macOS tilbage til standardfunktion.
Tillad administration af: Når denne indstilling er slået til, gives medlemmer af de viste Active Directory-grupper (som standard domæne- og virksomhedsadministratorer) administrative rettigheder på den lokale Mac. Du kan også angive ønskede sikkerhedsgrupper her.
Tillad godkendelse fra domæner i strukturen: macOS gennemsøger som standard automatisk alle domæner efter godkendelse. Du kan begrænse godkendelse til den Mac, som domænet er sammenkædet med, ved at fravælge dette afkrydsningsfelt.
Se Kontroller godkendelse fra alle domæner i Active Directory-strukturen.
Klik på Sammenkæd, og skriv derefter følgende oplysninger:
Bemærk: Brugeren skal have rettigheder i Active Directory for at kunne sammenkæde en computer med et domæne.
Brugernavn og Adgangskode: Du kan måske blive godkendt ved at skrive navnet og adgangskoden til din Active Directory-brugerkonto. I modsat fald skal administratoren af Active Directory-domænet måske give dig et navn og en adgangskode.
Computer-OU: Skriv OU'en (organizational unit) til den computer, du konfigurerer.
Brug til godkendelse: Vælg, hvis du ønsker, at Active Directory skal føjes til computerens søgestrategi til godkendelse.
Brug til kontakter: Vælg, hvis du ønsker, at Active Directory skal føjes til computerens søgestrategi til kontakter.
Klik på OK.
Biblioteksværktøj indstiller godkendt sammenkædning mellem den computer, du konfigurerer, og Active Directory-serveren. Computerens søgestrategier indstilles i henhold til de valg, du foretog, da du blev godkendt, og Active Directory slås til i vinduet Tjenester i Biblioteksværktøj.
Med standardindstillinger til de avancerede muligheder i Active Directory føjes Active Directory-strukturen til computerens søgestrategi til godkendelse og/eller kontakter, hvis du har valgt indstillingen “Brug til godkendelse” og/eller “Brug til kontakter”.
Men hvis du fravælger “Tillad godkendelse fra domæner i strukturen” i de avancerede indstillinger i vinduet Administrativ, før du klikker på Sammenkæd, tilføjes det nærmeste Active Directory-domæne i stedet for strukturen.
Du kan ændre søgestrategierne senere ved at tilføje og fjerne Active Directory-strukturen eller individuelle domæner. Se Definer søgestrategier.
Sammenkæd vha. en konfigurationsprofil
Bibliotekets data i en konfigurationsprofil kan konfigurere en enkelt Mac eller automatisere hundredvis af Mac-computere for at sammenkæde dem med Active Directory. Som med andre konfigurationsprofildata kan du anvende biblioteksdataene manuelt, bruge en instruks, som en del af en MDM-tilmelding eller bruge en løsning til klientadministration.
Data er en del af konfigurationsprofiler og giver administratorer lov til at administrere bestemte dele af macOS. Kontakt din MDM-leverandør for at få oplysninger om, hvordan du opretter en konfigurationsprofil.
Sammenkæd vha. kommandolinjen
Du kan bruge kommandoen dsconfigad
i appen Terminal til at sammenkæde en Mac med Active Directory.
Følgende kommando kan f.eks. bruges til at sammenkæde en Mac med Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Når du har sammenkædet en Mac med domænet, kan du bruge dsconfigad
til at foretage administrative indstillinger i Biblioteksværktøj:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Avancerede kommandolinjeindstillinger
Den originale understøttelse af Active Directory inkluderer indstillinger, som du ikke ser i Biblioteksværktøj. Hvis du vil se disse avancerede indstillinger, skal du bruge biblioteksdataene i en konfigurationsprofil eller kommandolinjeværktøjet dsconfigad
.
Start med at gennemgå kommandolinjeindstillingerne ved at åbne dsconfigad man-siden.
Interval for computerens adgangskode
Når et Mac-system er sammenkædet med Active Directory, indstiller det en adgangskode til computerkontoen, som opbevares i systemets nøglering og automatisk ændres af Mac-computeren. Intervallet for standardadgangskoden er 14 dage, men du kan bruge biblioteksdataene eller kommandolinjeværktøjet dsconfigad
til at sætte et interval, som overholder din politik.
Hvis du sætter værdien til 0, slå automatisk ændring af adgangskoden til kontoen fra: dsconfigad -passinterval 0
Bemærk: Adgangskoden til computeren lagres som en adgangskodeværdi i systemets nøglering. Du kan hente adgangskoden ved at åbne Hovednøglering, vælge systemets nøglering og derefter vælge kategorien Nøglering. Find den optegnelse, der ligner denne /Active Directory/DOMAIN, hvor DOMAIN er NetBIOS-navnet på Active Directory-domænet. Dobbeltklik på denne optegnelse, og vælg derefter afkrydsningsfeltet “Vis adgangskode”. Bliv godkendt som lokal administrator efter behov.
Understøttelse af navneområde
macOS understøtter godkendelse af flere brugere med de samme korte navne (eller loginnavne), som findes i forskellige domæner i Active Directory-strukturen. Ved at slå understøttelse af navneområde til med biblioteksdataene eller kommandolinjeværktøjet dsconfigad
kan en bruger i et domæne have det samme korte navn som en bruger i et sekundært domæne. Begge brugere skal logge ind med navnet på deres domæne efterfulgt at deres korte navn (DOMAIN\kort navn) ligesom når man logger ind på en Windows-computer. Brug følgende kommando til at slå denne understøttelse til:
dsconfigad -namespace <forest>
Signering og kryptering af pakker
Open Directory-klienten kan signere og kryptere de LDAP-forbindelser, der bruges til kommunikation med Active Directory. Med den signerede SMB-understøttelse i macOS skulle det ikke være nødvendigt at nedgradere webstedets sikkerhedspolitik til at tage hensyn til Mac-computere. De signerede og krypterede LDAP-forbindelse fjerner også alle behov for at bruge LDAP via SSL. Hvis der kræves SSL-forbindelse, skal du bruge følgende kommando til at konfigurere Open Directory til at bruge SSL:
dsconfigad -packetencrypt ssl
Bemærk, at de certifikater, der bruges på domænekontrolenhederne, skal være godkendt til SSL-kryptering for at kunne bruges. Hvis certifikaterne til domænekontrolenheder ikke er udstedt fra de originale, godkendte system roots i macOS, skal du installere og godkende certifikatkæden i systemets nøglering. Certifikatmyndigheder godkendt som standard i macOS findes i nøgleringen System Roots. Du kan installere certifikater og godkender på en af følgende måder:
Importer rodcertifikatet og evt. midlertidige certifikater, der bruger certifikatdataene i en konfigurationsprofil
Brug Hovednøglering, som ligger i /Apps/Hjælpeapps/
Brug sikkerhedskommandoen som følger:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <sti/til/certifikatarkiv>
Begræns dynamisk DNS
macOS forsøger som standard at opdatere sin adressepost (A) i DNS til alle grænseflader. Hvis der er konfigureret flere grænseflader, kan det resultere i flere poster i DNS. Du kan administrere det ved at angive, hvilke grænseflader der skal bruges ved opdatering af DDNS (Dynamic Domain Name System) ved brug af biblioteksdataene eller kommandolinjeværktøjet dsconfigad
. Anfør BSD-navnet på den grænseflade, hvori DDNS-opdateringerne skal forbindes. BSD-navnet er det samme som enhedsfeltet, der returneres ved afvikling af denne kommando:
networksetup -listallhardwareports
Når du bruger dsconfigad
i en instruks, skal du inkludere den ukodede adgangskode, der bruges til sammenkædning med domænet. En Active Directory-bruger uden administratortilladelser får typisk ansvaret for at sammenkæde Mac-computere med domænet. Brugernavnet og adgangskoden lagres i instruksen. Det er normalt, at instruksen sletter sig selv sikkert efter sammenkædning, så oplysningerne ikke længere findes på lagringsenheden.