שילוב Active Directory באמצעות ”כלי העזר למדריכי כתובות” ב-Mac
ניתן להשתמש במקשר של Active Directory (באפשרויות ״שירותים״ ב״כלי העזר למדריכי כתובות״) כדי להגדיר את ה‑Mac לגשת לפרטים בסיסיים של חשבון משתמש במתחם Active Directory של שרת Windows 2000 ומעלה.
המקשר של Active Directory יוצר את כל המאפיינים הנדרשים לאימות macOS מחשבונות משתמשים של Active Directory. הוא תומך גם במדיניות אימות של Active Directory, כולל אפשרויות סיסמה כגון שינוי, פקיעת תוקף, שינויים כפויים ואפשרויות אבטחה. מאחר שהמקשר תומך בתכונות אלה, אין צורך לבצע שינויי סכימה בדומיין Active Directory לקבלת מידע בסיסי על חשבונות משתמשים.
הערה: למחשבים עם macOS 10.12 ואילך אין אפשרות להצטרף לדומיין של Active Directory ללא רמת מתחם פונקציונלית של Windows Server 2008 לפחות, אלא אם מפעילים במפורש את ״weak crypto״. גם אם רמות הדומיין הפונקציונליות של כל הדומיינים הן 2008 ומעלה, יתכן שמנהל המערכת יצטרך לציין במפורש את הגדרת האמון של כל דומיין לשימוש בהצפנת AES של Kerberos.
כאשר יש אינטגרציה מלאה בין macOS ו-Active Directory, המשתמשים:
כפופים למדיניות הסיסמה של דומיין הארגון
עושים שימוש באותם אישורים לביצוע אימות ולקבלת הרשאה למשאבים מאובטחים
מקבלים זהויות אישור משתמש ומחשב משרת שירותי אישורים של Active Directory
יכולים לעבור אוטומטית מרחב שמות של מערכת קבצים מבוזרת (DFS) ולעלות לשרת Server Message Block (״גוש הודעות מהשרת״; SMB) המתאים שבבסיס
טיפ: לקוחות Mac מקבלים גישה מלאה לקריאה עבור מאפיינים שנוספים למדריך הכתובות. לכן, יתכן שתצטרך/י לשנות את רשימת בקרת הגישה (ACL) של מאפיינים אלה להתיר לקבוצות מחשבים לקרוא מאפיינים אלה שנוספו.
בנוסף לתמיכה במדיניות אימות, המקשר של Active Directory תומך גם באפשרויות הבאות:
הצפנת מנות וחתימת מנות עבור כל מתחמי Active Directory של Windows: פונקציונליות זו מופעלת כברירת-המחדל כ״אפשר״. ניתן לשנות את הגדרת ברירת-המחדל למבוטל או נדרש באמצעות הפקודה
dsconfigad
. האפשרויות של הצפנת מנות וחתימת מנות מבטיחות כי כל הנתונים אל הדומיין Active Directory וממנו עבור חיפושי רשומות יהיה מוגן.יצירת מזהים ייחודיים באופן דינמי: הבקר יוצר מזהה משתמש ייחודי ומזהה קבוצה ראשית בהתבסס על המזהה הייחודי הכללי (GUID) של חשבון המשתמש בדומיין של Active Directory. מזהה המשתמש ומזהה הקבוצה הראשית שנוצרים זהים עבור כל חשבון משתמש, גם אם החשבון משמש להתחברות למחשבי Mac שונים. ראה/י מיפוי מזהה הקבוצה, ה-GID הראשי וה-UID למאפיין של Active Directory.
שכפול ומעבר לגיבוי בעת כשל עבור Active Directory: המקשר של Active Directory מגלה בקרי מתחמים מרובים וקובע מהו הבקר הקרוב ביותר. אם בקר דומיין הופך בלתי זמין, המקשר משתמש בבקר דומיין קרוב אחר.
גילוי כל המתחמים ביער של Active Directory: ניתן להגדיר את המחבר להתיר למשתמשים מכל דומיין ביער לבצע אימות במחשב Mac. לחלופין, ניתן להתיר למתחמים מסוימים בלבד להיות מאומתים בלקוח. ראה/י בקרת אימות מכל המתחמים ביער של Active Directory.
טעינת תיקיות בית של Windows: כאשר משתמש מסוים מתחבר למחשב Mac עם חשבון משתמש של Active Directory, המקשר של Active Directory יכול להעלות את תיקיית הבית ברשת Windows המוגדרת בחשבון המשתמש של Active Directory כתיקיית הבית של המשתמש. ניתן לציין אם להשתמש בתיקיית הבית ברשת המוגדרת על-ידי מאפיין תיקיית הבית הסטנדרטית של Active Directory או על-ידי מאפיין תיקיית הבית של macOS (אם הסכימה של Active Directory מורחבת וכוללת אותו).
שימוש בתיקיית בית מקומית ב-Mac: ניתן להגדיר את המחבר ליצור תיקיית בית מקומית באמצעי האחסון של ההפעלה ב-Mac. במקרה כזה, המחבר יטען גם את תיקיית הבית של המשתמש ברשת Windows (המוגדרת בחשבון המשתמש של Active Directory) כאמצעי אחסון ברשת, בדומה לנקודת שיתוף. באמצעות ה-Finder, המשתמש יוכל לאחר מכן להעתיק קבצים בין אמצעי האחסון של תיקיית הבית ברשת Windows לבין תיקיית הבית המקומית ב-Mac.
יצירת חשבונות ניידים עבור משתמשים: חשבון נייד כולל תיקיית בית מקומית באמצעי האחסון של ההפעלה ב-Mac. (למשתמש יש גם תיקיית בית ברשת כפי שמוגדר בחשבון Active Directory שלו.) ראה/י הגדרת חשבונות ניידים למשתמשים.
LDAP לגישה ו-Kerboros לאימות: המקשר של Active Directory אינו משתמש ב-Active Directory Services Interface (ADSI) הקנייני של Microsoft לקבלת שירותי מדריכי כתובות או אימות.
זיהוי סכימה מורחבת וגישה אליה: אם הסכימה של Active Directory הורחבה לכלילת מאפיינים וסוגי רשומות של macOS (מחלקות אובייקטים), המקשר של Active Directory מזהה אותם וניגש אליהם. לדוגמא, ניתן לשנות את הסכימה של Active Directory באמצעות כלי הניהול של Windows כך שתכלול מאפייני לקוח מנוהל של macOS. שינוי סכמה זה מאפשר למחבר ה-Active Directory להשתמש בפתרונות ניהול מכשירים ניידים (MDM) נתמכים.