Integrar computadores Mac com o Active Directory
Pode configurar um Mac para aceder a informações básicas de conta de utilizador num domínio Active Directory de um servidor Windows 2000 ou posterior. O conector Active Directory está listado no painel Serviços do Utilitário de Diretório e gera todos os atributos necessários para a autenticação do macOS a partir dos atributos padrão nas contas de utilizador Active Directory. O conector também suporta políticas de autenticação do Active Directory, incluindo alterações à palavra-passe, caducidade, alterações forçadas e opções de segurança. Uma vez que o conector suporta estas funcionalidades, não é necessário efetuar alterações ao esquema no domínio do Active Directory para obter informações básicas de contas de utilizador.
Nota: o macOS não poderá aceder a um domínio Active Directory sem um nível funcional de domínio de, pelo menos, Windows Server 2008, a menos que ative explicitamente a opção “weak crypto”. Mesmo que os níveis funcionais de domínio de todos os domínios forem da versão 2008 ou posterior, o administrador poderá ter de especificar explicitamente a fidedignidade de cada domínio para usar a cifragem AES Kerberos.
A forma como o Mac usa DNS para consultar o domínio Active Directory
O macOS usa DNS (Domain Name System) para consultar a topologia do domínio Active Directory nas instalações. Usa Kerberos para autenticação e LDAPv3 (Lightweight Directory Access Protocol) para resolução de utilizador e grupo.
Quando o macOS está completamente integrado com o Active Directory, os utilizadores:
estão sujeitos às políticas de palavra-passe de domínio da organização;
usam as mesmas credenciais para autenticar e obter autorização para recursos protegidos;
podem receber identidades de certificação de utilizador e máquina a partir de um servidor de serviços certificados Active Directory;
podem cruzar automaticamente um espaço de nome DFS (Distributed File System) e montar o servidor SMB (Server Message Block) adequado subjacente.
Encontrará mais informação acerca do estabelecimento de ligação a um DFS sem ligação em “Suporte de nome de espaço do sistema de ficheiros distribuídos” abaixo.
Também é possível utilizar a carga útil de diretório na sua solução de gestão de dispositivos móveis (MDM) para configurar estas definições e, depois, enviar a carga útil a todos os computadores Mac da organização. Encontrará informação adicional nas Definições de carga útil de MDM de Diretório.
Os clientes Mac assumem acesso de leitura pleno aos atributos que são adicionados ao diretório. Desta forma, pode ser necessário alterar a lista de controlo de acesso (ACL) desses atributos para permitir que os grupos de computadores leiam estes atributos adicionados.
Políticas de palavra-passe de domínio
No momento da ligação (e, posteriormente, em intervalos periódicos), o macOS consulta as políticas de palavra-passe do domínio Active Directory. Estas políticas são reforçadas para todas as contas móveis e de rede num Mac.
Durante uma tentativa de início de sessão enquanto as contas de rede estão disponíveis, o macOS consulta o Active Directory para determinar o prazo até ser necessário alterar uma palavra-passe. Por predefinição, se uma alteração de palavra-passe for exigida no prazo de 14 dias, a janela de início de sessão pede ao utilizador para a alterar. Se o utilizador alterar a palavra-passe, a alteração ocorre no Active Directory e na conta móvel (se alguma estiver configura) e a palavra-passe do porta-chaves de início de sessão é atualizada. Se o utilizador ignorar o pedido de palavra-passe, a janela de início de sessão faz o pedido ao utilizador até à véspera do final do prazo. O utilizador tem de alterar a palavra-passe no prazo de 24 horas para o início de sessão poder continuar. Um administrador do macOS pode alterar a notificação de validade predefinida para a janela de início de sessão a partir da linha de comandos digitando defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <número de dias>.
Nota: o macOS não suporta políticas de palavra-passe detalhadas usando PSO (Password Settings Object) do Active Directory. Apenas é usada a política de domínio predefinida ao calcular a expiração de palavra-passe.
Suporte de nome de espaço do sistema de ficheiros distribuídos
O macOS suporta a verificação de espaços de nome DFS (sistema de ficheiros distribuídos) se o Mac estiver vinculado ao Active Directory. Um Mac ligado ao Active Directory consulta os controladores de DNS e domínio no domínio do Active Directory para resolver automaticamente o servidor SMB (Server Message Block) adequado para um espaço de nome específico.
Pode usar funcionalidade “Ligar ao servidor” no Finder para especificar o nome de domínio inteiramente qualificado do espaço de nome DFS, que inclui a raiz DFS para montar o sistema de ficheiros em rede. Num Mac, clique na secretária para abrir o Finder, selecione o comando “Ligar ao servidor” no menu Ir e, em seguida, smb://resources.betterbag.com/DFSroot.
O macOS usa quaisquer bilhetes Kerberos disponíveis e monta o servidor SMB (Server Message Block) subjacente e o caminho. Em algumas configurações do Active Directory, pode ser necessário preencher o campo “Domínios de pesquisa” na configuração de DNS da interface de rede com o nome de domínio do Active Directory inteiramente qualificado.
Dica: pode aceder e verificar as partilhas DFS sem se vincular ao Active Directory se o ambiente DFS estiver configurado para usar os nomes de domínio totalmente qualificados nas referências. Desde que o Mac possa resolver os nomes de host dos servidores adequados, a conectividade é bem-sucedida sem a necessidade de o Mac estabelecer ligação ao diretório.