Integrarea computerelor Mac cu Active Directory
Puteți configura un Mac să acceseze informațiile de bază ale contului de utilizator dintr‑un domeniu Active Directory al unui server Windows 2000 (sau ulterior). Conectorul Active Directory este listat în panoul Servicii al Utilitarului director și generează toate atributele necesare pentru autentificarea macOS din atributele standard în conturile de utilizator Active Directory. Conectorul acceptă și politicile de autentificare Active Directory, inclusiv schimbările, expirările, schimbările forțate de parolă și opțiunile de securitate. Conectorul acceptă aceste funcționalități și nu este nevoie să faceți modificări de schemă în domeniu Active Directory pentru a obține informații de bază despre contul de utilizator.
Notă: macOS nu se poate conecta la un domeniu Active Directory fără un nivel funcțional al domeniului cel puțin din Windows Server 2008, dacă nu activați dvs. explicit opțiunea “criptare slabă”. Chiar dacă nivelurile funcționale ale domeniului tuturor domeniilor sunt din 2008 sau ulterioare, poate fi necesar ca administratorul să specifice explicit fiecare domeniu de încredere să utilizeze criptarea Kerberos AES.
Utilizarea DNS‑ului de către Mac pentru interogarea domeniului Active Directory
macOS utilizează sistemul de nume de domenii (DNS) pentru a interoga topologia domeniului local Active Directory. El utilizează Kerberos pentru autentificare și Lightweight Directory Access Protocol (LDAPv3) pentru rezolvarea utilizatorului și a grupului.
Atunci când macOS este complet integrat cu Active Directory, utilizatorii:
Sunt supuși politicilor organizației privind parola domeniului
Utilizați aceleași acreditări pentru a vă autentifica și a obține autorizare la resurse securizate
Pot fi emise identități de certificat pentru utilizator și mașină de la un server Active Directory Certificate Services
Poate traversa automat un nume de spațiu Distributed File System (DFS) și poate monta serverul Server Message Block (SMB) subiacent adecvat.
Pentru mai multe informații despre conectarea la un DFS fără asociere, consultați articolul “Suport pentru spațiu de nume Sistem de fișiere distribuite” de mai jos.
De asemenea, puteți utiliza sarcina Director din soluția dvs. de gestionare a dispozitivelor mobile (MDM) pentru a face aceste configurări, apoi transmiteți prin push acea sarcină către toate computerele Mac din organizația dvs. Pentru informații suplimentare, consultați Configurările sarcinii MDM Director.
Clienții Mac presupun acces complet la citirea atributelor care sunt adăugate la director. Prin urmare, poate fi necesară modificarea listei de control al accesului (ACL) atributelor respective pentru a permite grupurilor de computere să citească aceste atribute adăugate.
Politici parolă de domeniu
În momentul asocierii (și apoi la intervale periodice), macOS interoghează domeniul Active Directory pentru politicile de parolă. Aceste politici sunt impuse pentru toate conturile de rețea și mobile de pe un Mac.
În timpul unei încercări de login, în timp ce conturile de rețea sunt disponibile, macOS interoghează Active Directory pentru a determina durata de timp înainte de a fi necesară o modificare de parolă. Implicit, dacă o modificare de parolă este necesară în termen de 14 zile, fereastra de login solicită utilizatorului să o modifice. Dacă utilizatorul își modifică parola, modificarea are loc în Active Directory precum și în contul mobil (dacă este configurat unul), și parola portcheiului de login este actualizată. Dacă utilizatorul ignoră solicitarea de parolă, fereastra de login afișează solicitarea utilizatorului până în ziua anterioară expirării. Utilizatorul trebuie să modifice parola în termen de 24 de ore pentru a continua loginul. Un administrator macOS poate modifica notificarea de expirare implicită pentru fereastra de login din linia de comandă introducând defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>
.
Notă: macOS nu acceptă politici extrem de detaliate de parolă utilizând obiectul Password Settings Object (PSO) din Active Directory. Pentru calcularea expirării parolei se utilizează doar politica implicită a domeniului.
Suport pentru spațiu de nume Sistem de fișiere distribuite
macOS acceptă spațiile de nume sistem de fișiere distribuite (DFS) care traversează, dacă Mac-ul este asociat la Active Directory. Un Mac asociat la Active Directory interoghează DNS-ul și controllerele de domeniu în domeniul Active Directory pentru a rezolva automat serverul Server Message Block (SMB) adecvat pentru un anumit spațiu de nume.
Puteți utiliza funcționalitatea Conectare la server din Finder pentru a specifica numele de domeniu complet calificat (FQDN) al spațiului de nume DFS, care include rădăcina DFS pentru a monta sistemul de fișiere al rețelei. Pe Mac, faceți clic pe desktop pentru a deschide Finder, alegeți comanda Conectare la server în meniul Accesare, apoi introduceți smb://resources.betterbag.com/DFSroot.
macOS utilizează orice tichete Kerberos disponibile și montează calea și serverul Server Message Block (SMB) subiacente. În anumite configurații Active Directory, poate fi necesar să populați câmpul Domenii de căutare din configurația DNS pentru interfața de rețea cu numele de domeniu Active Directory complet calificat.
Sfat: Puteți accesa și traversa partajări DFS fără asocierea la Active Directory dacă mediul DFS este configurat să utilizeze nume de domeniu complet calificate în referințe. Atâta timp cât Mac‑ul poate rezolva numele de gazdă ale serverelor corespunzătoare, conectivitatea reușește fără a fi necesar ca Mac‑ul să fie asociat la director.