Integrowanie komputerów Mac z Active Directory
Na Macu można skonfigurować dostęp do podstawowych danych kont użytkowników w domenie Active Directory serwera Windows 2000 lub nowszego. Wtyczka Active Directory dostępna jest na liście w panelu Usługi w Narzędziu katalogowym i generuje wszystkie atrybuty wymagane podczas uwierzytelniania w systemie macOS kont użytkowników Active Directory. Wtyczka obsługuje również zasady uwierzytelniania Active Directory, w tym zmianę haseł, wygasanie, wymuszanie zmian oraz opcje bezpieczeństwa. Wtyczka obsługuje te funkcje, więc nie ma potrzeby wprowadzania zmian schematów w domenie Active Directory w celu uzyskania podstawowych informacji o koncie użytkownika.
Uwaga: macOS nie będzie mógł łączyć się z domeną Active Directory o poziomie funkcjonalności domeny niższym niż poziom systemu Windows Server 2008, chyba że jawnie włączysz funkcję „weak crypto”. Nawet jeśli poziomy funkcjonalności wszystkich domen ustawione są na 2008 lub wyżej, konieczne może być jawne ustawienie przez administratora zaufania każdej domeny do użycia szyfrowania AES dla protokołu Kerberos.
Sposób używania DNS przez Maca do wysyłania zapytań dotyczących domeny Active Directory
System macOS używa DNS do wysyłania zapytań dotyczących topologii lokalnej (on-premise) domeny Active Directory. Do obsługi uwierzytelniania używa protokołu Kerberos, a do rozpoznawania użytkowników i grup używa protokołu LDAPv3.
Pełne zintegrowanie macOS z Active Directory daje użytkownikom następujące możliwości:
Podlegają oni zasadom haseł domeny w danej organizacji.
Używają tych samych danych do uwierzytelniania i uzyskiwania dostępu do zabezpieczonych zasobów.
Mogą otrzymywać certyfikaty tożsamości użytkownika i sprzętu z serwera usług certyfikatów Active Directory.
Mogą automatycznie przechodzić przez przestrzeń nazw DFS i montować odpowiednie rzeczywiste serwery SMB.
Aby uzyskać więcej informacji na temat łączenia z DFS bez dowiązywania, zobacz sekcję dotyczącą obsługi przestrzeni nazw DFS (poniżej).
Można też skonfigurować te ustawienia przy użyciu pakietu danych Directory w rozwiązaniu MDM, a następnie wysłać ten pakiet do wszystkich Maców w organizacji. Aby uzyskać więcej informacji, zobacz: Ustawienia obsługiwanego przez MDM pakietu danych Directory.
Komputery klienckie Mac zakładają pełen dostęp do odczytu atrybutów dodanych do usługi katalogowej. Konieczna może być więc zmiana ACL tych atrybutów, aby pozwolić grupom komputerów na odczytywanie tych dodanych atrybutów.
Zasady haseł domeny
W momencie dołączania (a później w regularnych odstępach czasu) macOS wysyła do domeny Active Directory zapytanie o zasady haseł. Zasady te są wdrażane dla całej sieci oraz dla kont przenośnych na Macu.
Jeśli podczas próby logowania dostępne są konta sieciowe, macOS wysyła zapytanie do Active Directory, aby ustalić czas, po którym wymagana jest zmiana hasła. Domyślnie, jeśli zmiana hasła wymagana jest w ciągu 14 dni, okno logowania poprosi użytkownika o dokonanie tej zmiany. Jeśli użytkownik zmieni hasło, zmiana ta pojawi się zarówno w Active Directory, jak i na koncie przenośnym (jeśli jest skonfigurowane), a także uaktualnione zostanie hasło pęku kluczy logowania. Jeśli użytkownik odrzuci żądanie zmiany hasła, okno logowania będzie wyświetlać to żądanie do ostatniego dnia przed upływem ważności hasła. W ciągu następnych 24 godzin kontynuowanie logowania wymaga zmiany hasła przez użytkownika. Administrator macOS może zmienić domyślne powiadomienie o wygaśnięciu hasła, wyświetlane w oknie logowania, wprowadzając następujące polecenie w wierszu poleceń: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <liczba dni>.
Uwaga: macOS nie obsługuje zasad haseł granularnych używających obiektów ustawień haseł Active Directory (PSO). Podczas obliczania terminu wygaśnięcia hasła używane są tylko domyślne zasady domeny.
Obsługa przestrzeni nazw DFS
System macOS obsługuje przechodzenie przez przestrzeń nazw rozproszonego systemu plików (DFS), gdy Mac jest dowiązany do Active Directory. Mac dowiązany do Active Directory może wysyłać zapytania do serwerów DNS i kontrolerów domeny w domenie Active Directory, aby automatycznie pobierać adresy odpowiednich serwerów SMB w określonej przestrzeni nazw.
Dostępna w Finderze funkcja Połącz z serwerem pozwala na zamontowanie systemu plików po podaniu pełnej i jednoznacznej nazwy domeny (FQDN) w przestrzeni nazw DFS, zawierającej katalog główny DFS. Kliknij w Biurko na Macu, aby otworzyć Findera, wybierz polecenie Połącz z serwerem z menu Idź, a następnie wprowadź smb://resources.betterbag.com/DFSroot.
macOS używa dostępnych biletów Kerberos i montuje rzeczywisty serwer SMB i rzeczywistą ścieżkę. W niektórych konfiguracjach Active Directory konieczne może być podanie pełnej i jednoznacznej nazwy domeny Active Directory w polu Domeny wyszukiwania, dostępnym w konfiguracji DNS używanego interfejsu sieciowego.
Porada: Jeśli środowisko DFS jest skonfigurowane do używania w pełni kwalifikowanych nazw domen w odesłaniach, możliwy jest dostęp i poruszanie się po udziałach DFS bez dowiązywania do Active Directory. Jeśli Mac może ustalić adres na podstawie nazwy hosta odpowiedniego serwera, połączenie nawiązywane jest bez konieczności dowiązania Maca do katalogu.