Integrer Mac-maskiner med Active Directory
Du kan konfigurere en Mac til å hente grunnleggende brukerkontoinformasjon i et Active Directory-domene på en Windows 2000-tjener (eller nyere). Active Directory Connector står på listen i Tjenester-valgpanelet i Katalogverktøy, og den genererer alle attributtene som kreves for macOS-autentisering fra standardattributter i Active Directory-brukerkontoer. Tilkoblingen støtter også Active Directory-autentiseringskriterier, inkludert passordendring, utløpte passord, tvungen passordendring og sikkerhetsalternativer. Ettersom tilkoblingen støtter disse funksjonene, trenger du ikke utføre oppsettendringer på Active Directory-domenet for å skaffe grunnleggende brukerinformasjon.
Merk: macOS kan ikke bli en del av et Active Directory-domene uten et domenefunksjonsnivå på minst Windows Server 2008, med mindre du uttrykkelig aktiverer svak kryptering. Selv om domenefunksjonalitetsnivået for alle domenene er på 2008-nivå eller nyere, er det mulig at administratoren må spesifisere bruk av Kerberos AES-kryptering for hvert enkelt domene.
Slik bruker Mac DNS til å spørre etter Active Directory-domene
macOS bruker DNS til å spørre etter topologien til det lokale Active Directory-domenet. Det bruker Kerberos for autentisering og LDAPv3 (Lightweight Directory Access Protocol) for brukere og grupper.
Når macOS er helt integrert med Active Directory, skal brukerne:
følge organisasjonens domenepassordregler
bruke de samme opplysningene til å autentisere og få autorisering til sikrede ressurser
få utstedt bruker- og maskinsertifikatidentiteter fra en Active Directory Certificate Services-tjener
kunne automatisk krysse et DFS-navneområde (Distributed File System) og aktivere den riktige underliggende SMB-tjeneren (Server Message Block)
Hvis du vil vite mer om tilkobling til en DFS uten binding, kan du se Navneområdestøtte for Distributed File System nedenfor.
Du kan også bruke Directory-informasjonen i MDM-løsningen til å konfigurere disse innstillingene og deretter sende den informasjonen til alle Macene i organisasjonen. Se MDM-innstillinger for Directory-nyttelasten for mer informasjon.
Mac-klienter får full lesetilgang til attributter som legges til i katalogen. Derfor kan det være nødvendig å endre ACL-en (ACL = access control list) til disse attributtene for å gi datamaskingrupper tillatelse til å lese attributtene som er lagt til.
Passordregler for domener
På bindingstidspunktet (og deretter ved regelmessige intervaller) kontakter macOS Active Directory-domenet for å be om passordreglene. Disse reglene blir overholdt for alle nettverkskontoer og mobile kontoer på en Mac.
Under et påloggingsforsøk mens nettverkskontoene er tilgjengelige, kontakter macOS Active Directory for å fastslå hvor lang tid det skal gå før en passordendring er påkrevd. Hvis det kreves en passordendring i løpet av 14 dager, vil påloggingsvinduet be brukeren om å endre passordet med mindre noe annet er angitt. Hvis brukeren endrer passordet, vil endringen skje i både Active Directory og den mobile kontoen (hvis en slik er konfigurert) og påloggingsnøkkelringen vil bli oppdatert. Hvis brukeren avviser passordforespørselen, vil påloggingsvinduet spørre brukeren fram til dagen før utløpsdatoen. Brukeren må endre passordet innen 24 timer for at pålogging fortsatt skal være mulig. En macOS-administrator kan endre den standard utløpsvarslingen for påloggingsvinduet fra kommandolinjen ved å skrive defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <antall dager>.
Merk: macOS støtter ikke svært detaljerte passordregler ved hjelp av Password Settings Object (PSO) i Active Directory. Kun standardreglene for domenet brukes ved beregning av utløpstidspunkt for passord.
Navneområdestøtte for Distributed File System
macOS støtter å krysse distributed file system-navneområder (DFS) hvis Macen er bundet til Active Directory. En Mac som er bundet til Active Directory, ber DNS og domenekontrollere i Active Directory-domenet om å automatisk finne riktig SMB-tjener (SMB = Server Message Block) for et bestemt navneområde.
Du kan bruke funksjonen «Koble til tjener» i Finder brukes til å angi det fullt kvalifiserte domenenavnet (FQDN) til DFS-navneområdet, som inkluderer DFS-roten for å montere nettverksfilsystemet. Klikk på skrivebordet på en Mac for å åpne Finder, velg Koble til tjener-kommandoen i Gå-menyen, og skriv smb://resources.betterbag.com/DFSroot.
macOS bruker en tilgjengelig Kerberos-billett og aktiverer den underliggende SMB-tjeneren og -banen. I noen Active Directory-konfigurasjoner kan det være du må fylle ut Søkedomener-feltet i DNS-konfigurasjonen for nettverksgrensesnittet med det fullstendige Active Directory-domenenavnet.
Tips: Du kan få tilgang til og krysse DFS-delinger uten binding til Active Directory hvis DFS-miljøet er konfigurert for å bruke fullt kvalifiserte domenenavn i henvisninger. Så lenge Macen kan finne vertsnavnene for de aktuelle tjenerne, lykkes tilkoblingen uten at Macen trenger å bindes til katalogen.