Konfigurowanie dostępu do domen za pomocą Narzędzia katalogowego na Macu
Ważne: Zaawansowane opcje wtyczki Active Directory mogą odwzorować unikatowy ID użytkownika (UID) macOS, ID grupy podstawowej (GID) oraz atrybuty GID grupy na prawidłowe atrybuty schematu Active Directory. Jeśli jednak później zmienisz te ustawienia, użytkownicy mogą utracić dostęp do poprzednio utworzonych plików.
Otwieranie Narzędzia katalogowego
Dowiązanie przy użyciu Narzędzia katalogowego
W aplikacji Narzędzie katalogowe na Macu kliknij w Usługi.
Kliknij w ikonę kłódki.
Wprowadź nazwę i hasło administratora (lub użyj Touch ID), a następnie kliknij w Modyfikuj konfigurację.
Zaznacz Active Directory, a następnie kliknij w przycisk edycji ustawień wybranej usługi .
Wpisz nazwę DNS komputera udostępniającego domenę Active Directory, do której chcesz dowiązać konfigurowany komputer.
Nazwę hosta DNS możesz uzyskać od administratora domeny Active Directory.
Jeśli trzeba, edytuj ID komputera.
ID komputera (nazwa, pod którą komputer występuje w domenie Active Directory) jest domyślnie ustawione na nazwę komputera. Możesz je zmienić, aby dostosować je do schematu nazewnictwa używanego w Twojej organizacji. Jeśli nie masz pewności, zapytaj administratora domeny Active Directory.
Ważne: Jeśli w nazwie komputera występuje dywiz (myślnik), dowiązanie do serwera usługi katalogowej LDAP lub Active Directory może być niemożliwe. Aby ustanowić dowiązanie, zmień nazwę komputera na taką, która nie zawiera dywizu (myślnika).
Jeśli opcje zaawansowane są ukryte, kliknij w trójkąt rozwijania obok etykiety Pokaż opcje. Opcje zaawansowane można zmienić także później.
(Opcjonalnie) Wybierz opcje użytkownika.
Zobacz: Konfigurowanie kont przenośnych użytkownika, Konfigurowanie folderów domowych kont użytkowników oraz Ustawianie powłoki UNIX dla użytkowników z kontami Active Directory.
(Opcjonalnie) Wybierz opcje mapowania.
(Opcjonalnie) Wybierz opcje administracyjne.
Preferowany serwer domen: Domyślnie macOS ustala, którego kontrolera domeny użyć, biorąc pod uwagę dane witryny oraz szybkość reakcji kontrolera domeny. Jeśli podany zostanie tutaj kontroler domeny znajdujący się w tej samej witrynie, system będzie wysyłał najpierw zapytania właśnie do niego. W przypadku braku dostępu do tego kontrolera domeny, macOS powraca do domyślnego zachowania.
Pozwól administrować przez: Gdy ta opcja jest włączona, członkowie znajdujących się na liście grup Active Directory (domyślnie są to administratorzy domeny i administratorzy przedsiębiorstwa) otrzymują uprawnienia administratora na Macu lokalnym. Możesz także wskazać tutaj żądane grupy bezpieczeństwa.
Pozwalaj na uwierzytelnianie z dowolnej domeny lasu: Domyślnie macOS automatycznie przeszukuje wszystkie domeny podczas uwierzytelniania. Aby ograniczyć uwierzytelnianie tylko do domeny, do której Mac jest dowiązany, usuń zaznaczenie tego pola wyboru.
Zobacz: Kontrolowanie uwierzytelnienia ze wszystkich domen z lasu Active Directory.
Kliknij w Dowiąż, a następnie wprowadź poniższe informacje:
Uwaga: Użytkownik musi mieć uprawnienia w Active Directory pozwalające na dowiązanie komputera do domeny.
Użytkownik i hasło: Możesz uwierzytelnić się podając nazwę i hasło konta użytkownika Active Directory, albo administrator domeny Active Directory musi podać nazwę i hasło.
OU komputera: Podaj jednostkę organizacyjną (OU) konfigurowanego komputera.
Używaj do uwierzytelnienia: Zaznacz, jeśli chcesz dodać Active Directory do zasad wyszukiwania danych uwierzytelnienia na komputerze.
Używaj do kontaktów: Zaznacz, jeśli chcesz dodać Active Directory do zasad wyszukiwania kontaktów na komputerze.
Kliknij w OK.
Narzędzie katalogowe ustanowi dowiązanie zaufane między konfigurowanym komputerem a serwerem Active Directory. Zasady wyszukiwania komputera zostają ustawione zgodnie z opcjami zaznaczonymi podczas uwierzytelnienia, a usługa katalogowa Active Directory zostaje włączona w panelu Usługi w Narzędziu katalogowym.
Dla domyślnych ustawień zaawansowanych opcji Active Directory, las Active Directory zostanie dodany do zasad wyszukiwania uwierzytelnienia i kontaktów komputera, jeśli zaznaczone jest Używaj do uwierzytelnienia lub Używaj do kontaktów.
Jeśli jednak przed kliknięciem w Dowiąż wyłączysz pole wyboru Pozwalaj na uwierzytelnienie z dowolnej domeny lasu (w zaawansowanych opcjach administracyjnych), zamiast lasu zostanie dodana najbliższa domena Active Directory.
Można później zmienić zasady wyszukiwania dodając lub usuwając las Active Directory lub poszczególne domeny. Zobacz Definiowanie zasad wyszukiwania.
Dowiązanie przy użyciu profilu konfiguracyjnego
Pakiet danych katalogu w profilu konfiguracyjnym może skonfigurować pojedynczego Maca (lub automatyzować setki komputerów Mac) w celu dowiązania do Active Directory. Podobnie jak w przypadku innych pakietów danych profili, możesz wdrożyć pakiet danych katalogu ręcznie, przy użyciu skryptu, jako część zgłoszenia MDM lub stosując rozwiązanie obejmujące zarządzanie klientem.
Pakiety danych są częścią profili konfiguracyjnych i pozwalają administratorom na zarządzanie określonymi częściami macOS. Skontaktuj się z dostawcą rozwiązania MDM w celu uzyskania instrukcji tworzenia profilu konfiguracji.
Dowiązanie przy użyciu wiersza poleceń
Możesz dowiązać Maca do Active Directory, używając polecenia dsconfigad
w Terminalu.
Na przykład, dowiązanie Maca do Active Directory można przeprowadzić przy użyciu następującego polecenia:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Po dowiązaniu Maca do domeny możesz ustawiać opcje administracyjne w Narzędziu katalogowym, używając polecenia dsconfigad
:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Zaawansowane opcje wiersza poleceń
Natywna obsługa Active Directory obejmuje opcje niewidoczne w Narzędziu katalogowym. Aby zobaczyć te zaawansowane opcje, użyj pakietu danych katalogu w profilu konfiguracyjnym lub polecenia dsconfigad
w wierszu poleceń.
Przeglądanie opcji dostępnych w wierszu poleceń zacznij od otworzenia strony man polecenia dsconfigad.
Czas wygaśnięcia hasła obiektu „komputer”
Gdy system Maca jest dowiązany do Active Directory, ustawia hasło konta użytkownika, które jest przechowywane w systemowym pęku kluczy i automatycznie zmieniane przez Maca. Domyślny czas wygaśnięcia hasła to 14 dni, ale możesz użyć pakietu danych katalogu lub narzędzia dsconfigad
w wierszu poleceń, aby ustawić dowolny wymagany czas.
Ustawienie tej wartości na 0 wyłącza automatyczne zmienianie hasła konta: dsconfigad -passinterval 0
Uwaga: Hasło obiektu/komputera jest przechowywane jako wartość typu hasło w systemowym pęku kluczy. Aby odczytać hasło, otwórz Dostęp do pęku kluczy, zaznacz pęk kluczy System, a następnie zaznacz kategorię Hasła. Znajdź pozycję wyglądającą podobnie do /Active Directory/DOMENA, gdzie DOMENA to nazwa NetBIOS domeny Active Directory. Kliknij dwukrotnie w tę pozycję, a następnie zaznacz pole wyboru Pokaż hasło. Jeśli to konieczne, uwierzytelnij się jako administrator lokalny.
Obsługa przestrzeni nazw
macOS obsługuje uwierzytelnianie wielu użytkowników z takimi samymi nazwami skróconymi (nazwami logowania), istniejącymi w różnych domenach w lesie Active Directory. Po włączeniu obsługi przestrzeni nazw w pakiecie danych katalogu lub przy użyciu narzędzia dsconfigad
w wierszu poleceń, użytkownik w jednej domenie może mieć taką samą nazwę skróconą, jak użytkownik w drugiej domenie. Każdy użytkownik tego typu musi logować się przy użyciu nazwy swojej domeny oraz swojej nazwy skróconej (DOMENA\nazwa skrócona), podobnie jak podczas logowania na komputerze PC z systemem Windows. Aby włączyć obsługę tej funkcji, użyj następującego polecenia:
dsconfigad -namespace <las>
Podpisywanie i szyfrowanie pakietów
Klient Open Directory może podpisywać i szyfrować połączenia LDAP używane do komunikowania się z Active Directory. Obsługa podpisanego SMB w macOS sprawia, że obniżenie zasad bezpieczeństwa witryny w celu obsługi komputerów Mac nie powinno być konieczne. Podpisane i szyfrowane połączenia LDAP eliminują również konieczność używania LDAP przez SSL. Jeśli połączenia SSL są wymagane, użyj następującego polecenia, aby skonfigurować Open Directory do użycia SSL:
dsconfigad -packetencrypt ssl
Zwróć uwagę, że działanie szyfrowania SSL wymaga, aby certyfikaty używane przez kontrolery domeny były zaufane. Jeśli certyfikaty kontrolera domeny nie zostały wydane przez zaufane systemowe certyfikaty główne macOS, zainstaluj łańcuch certyfikatów w pęku kluczy System oraz zaufaj temu łańcuchowi. Domyślne zaufane urzędy certyfikacji w macOS znajdują się w pęku kluczy Systemowe certyfikaty główne. Aby zainstalować certyfikaty i utworzyć zaufanie, wykonaj jedną z następujących czynności:
Zaimportuj certyfikat główny oraz wszystkie inne wymagane certyfikaty pośrednie, używając pakietu danych certyfikatów w profilu konfiguracyjnym
Użyj aplikacji Dostęp do pęku kluczy, znajdującej się w folderze /Aplikacje/Narzędzia/
Użyj polecenia security w następujący sposób:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <ścieżka/do/pliku/certyfikatu>
Ograniczanie dynamicznych serwerów DNS
Domyślnie macOS próbuje uaktualniać rekord A (rekord adresu) w DNS dla wszystkich interfejsów. Jeśli skonfigurowanych jest wiele interfejsów, może to spowodować utworzenie wielu rekordów w DNS. Aby zarządzać tym zachowaniem, wybierz interfejs, który ma być używany podczas uaktualniania DDNS, używając pakietu danych katalogu lub narzędzia dsconfigad
w wierszu poleceń. Podaj nazwę BSD interfejsu, który ma być używany podczas uaktualniania DDNS. Nazwa BSD jest taka sama, jak zawartość pola Device, zwracana po wykonaniu następującego polecenia:
networksetup -listallhardwareports
Gdy używasz polecenia dsconfigad
w skrypcie, musisz podać otwartym tekstem hasło używane przy dowiązywaniu do domeny. Dowiązywanie komputerów Mac do domeny realizowane jest zwykle przez użytkownika Active Directory nie posiadającego innych uprawnień administratora. Nazwa i hasło tego użytkownika są przechowywane w skrypcie. Powszechną praktyką jest, że po wykonaniu dowiązania skrypt w bezpieczny sposób usuwa sam siebie, aby dane te nie były przechowywane na urządzeniu magazynującym.