Konfiguracija dostopa do domene v Pripomočku za imenik v Macu
Pomembno: Z naprednimi možnostmi priključka Active Directory lahko enolični ID uporabnika (UID), primarni ID skupine (GID) in atribute GID-ja skupine v sistemu macOS preslikate v ustrezne atribute v shemi Active Directory. Če te nastavitve pozneje spremenite, lahko uporabniki izgubijo dostop do predhodno ustvarjenih datotek.
Vezanje s Pripomočkom za imenik
V aplikaciji Pripomoček za imenik
v Macu kliknite Storitve.Kliknite ikono ključavnice.
Vnesite uporabniško ime in geslo skrbnika, nato pa kliknite Spremeni konfiguracijo (ali uporabite Touch ID).
Izberite Active Directory in nato kliknite gumb »Uredi nastavitve za izbrano storitev«
.Vnesite ime gostitelja DNS domene Active Directory, ki jo želite vezati na računalnik, ki ga konfigurirate.
Ime gostitelja DNS vam lahko posreduje skrbnik domene Active Directory.
Po potrebi uredite ID računalnika.
ID računalnika (ime, ki računalnik označuje v domeni Active Directory) je prednastavljen na ime računalnika. Lahko ga spremenite v skladu s shemo poimenovanja svoje organizacije. Če niste prepričani, vprašajte skrbnika domene Active Directory.
Pomembno: Če ime računalnika vsebuje vezaj, se morda ne boste mogli vezati na domeno imenika, kot je LDAP ali Active Directory. Za vzpostavitev vezave spremenite ime računalnika tako, da ne bo vsebovalo vezaja.
Če so napredne možnosti skrite, kliknite trikotnik za razkrivanje ob možnosti Prikaži možnosti. Nastavitve naprednih možnostih lahko pozneje spremenite.
(Izbirno) Izberite možnosti uporabniške izkušnje.
Glejte Nastavljanje mobilnih uporabniških računov, Nastavljanje domačih map za uporabniške račune in Nastavljanje lupine UNIX za uporabniške račune Active Directory.
(Izbirno) Izberite možnosti preslikav.
Glejte Preslikava ID-ja skupine, primarnega GID-ja in UID-ja v atribut Active Directory.
(Izbirno) Izberite skrbniške možnosti.
Prednost daj temu domenskemu strežniku: sistem macOS privzeto določi, kateri krmilnik domene bo uporabljen, na podlagi informacij spletnega mesta in odzivnosti krmilnika domene. Če je tukaj naveden krmilnik domene na istem spletnem mestu, se najprej preveri njegova razpoložljivost. Če krmilnik domene ni na voljo, macOS povrne privzeto vedenje.
Dovoli, da je skrbnik: če je ta možnost omogočena, so članom, navedenim v skupinah Active Directory (privzeto skrbniki domene in poslovni skrbniki), dodeljene skrbniške pravice v lokalnem Macu. Tukaj lahko navedete tudi želene varnostne skupine.
Dovoli preverjanje pristnosti iz katerekoli domene v gozdu: sistem macOS privzeto poišče vse domene za preverjanje pristnosti samodejno. Če želite preverjanje pristnosti omejiti le na domeno, na katero je vezan Mac, počistite to potrditveno polje.
Glejte Upravljanje preverjanja pristnosti iz vseh domen v gozdu Active Directory.
Kliknite Vezanje in nato vnesite naslednje informacije:
Opomba: Za vezanje računalnika na domeno uporabnik potrebuje pravice v storitvi Active Directory.
Uporabniško ime in geslo: preverjanje pristnosti boste morda lahko izvedli z vnosom imena in gesla uporabniškega računa Active Directory ali pa bo ime in geslo moral zagotoviti skrbnik domene Active Directory.
OE računalnika: vnesite organizacijsko enoto (OE) za računalnik, ki ga konfigurirate.
Uporabi za preverjanje pristnosti: izberite, če želite Active Directory dodati v pravilnik o iskanju preverjanja pristnosti računalnika.
Uporabi za stike: izberite, če želite Active Directory dodati v pravilnik o iskanju stikov računalnika.
Kliknite V redu.
Pripomoček za imenik nastavi zaupanja vredno vezavo med računalnikom, ki ga konfigurirate, in strežnikom Active Directory. Pravilniki o iskanju računalnika so nastavljeni glede na možnosti, ki ste jih izbrali pri preverjanju pristnosti, Active Directory pa je omogočen v podoknu Storitve Pripomočka za imenik.
S privzetimi nastavitvami za napredne možnosti storitve Active Directory bo ob izbiri možnosti »Uporabi za preverjanje pristnosti« ali »Uporabi za stike« v računalnikov pravilnik o iskanju za preverjanje pristnosti ali stike dodan gozd Active Directory.
Vendar če pred klikom gumba Vezanje prekličete izbiro možnosti »Dovoli preverjanje pristnosti iz katerekoli domene v gozdu« v naprednih možnostih za Skrbništvo, bo namesto gozda dodana najbližja domena Active Directory.
Pravilnike o iskanju lahko pozneje spremenite tako, da dodate ali odstranite gozd ali posamezne domene Active Directory. Glejte Določanje pravilnikov o iskanju.
Vezanje s konfiguracijskim profilom
Koristna vsebina imenika v konfiguracijskem profilu lahko konfigurira posamezen Mac ali avtomatizira na stotine Macov za vezanje s storitvijo Active Directory. Kot pri drugih koristnih vsebinah konfiguracijskih profilov lahko koristno vsebino imenika ročno uvedete s skriptom kot del včlanitve MDM ali z rešitvijo upravljanja odjemalcev.
Koristne vsebine so del konfiguracijskih profilov, ki skrbnikom omogočajo upravljanje specifičnih delov operacijskega sistema macOS. Za navodila o tem, kako ustvariti konfiguracijski profil, se obrnite na dobavitelja MDM.
Vezanje z ukazno vrstico
Za vezanje Maca s storitvijo Active Directory lahko uporabite ukaz dsconfigad v aplikaciji Terminal.
Naslednji ukaz se lahko na primer uporabi za vezanje Maca s storitvijo Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Ko Mac povežete z domeno, lahko z ukazom dsconfigad nastavite skrbniške možnosti v Pripomočku za imenik:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Napredne možnosti ukazne vrstice
Izvorna podpora za Active Directory vključuje možnosti, ki v Pripomočku za imenik niso prikazane. Za ogled teh naprednih možnosti uporabite koristno vsebino imenika v konfiguracijskem profilu ali orodje v ukazni vrstici dsconfigad.
Za začetek pregledovanja možnosti ukazne vrstice odprite stran za upravljanje dsconfigad.
Interval za spremembo gesla računalniškega objekta
Ko je sistem Mac vezan na Active Directory, nastavi geslo za računalniški račun, ki se shrani v verigo ključev sistema in ga Mac samodejno spreminja. Privzeti interval za spremembo gesla je vsakih 14 dni, vendar lahko s koristno vsebino imenika ali z orodjem za ukazno vrstico dsconfigad nastavite katerikoli interval, ki ga zahteva vaš pravilnik.
Nastavitev vrednosti na 0 onemogoči samodejno spreminjanje gesla računa: dsconfigad -passinterval 0
Opomba: Geslo računalniškega objekta je shranjeno kot vrednost gesla v verigi ključev sistema. Če želite pridobiti geslo, odprite Shrambo verig ključev, izberite verigo ključev sistema in nato izberite kategorijo Gesla. Poiščite vnos, ki je videti kot /Active Directory/DOMENA, pri čemer je DOMENA ime NetBIOS domene Active Directory. Dvokliknite ta vnos in nato označite potrditveno polje »Prikaži geslo«. Po potrebi izvedite preverjanje pristnosti kot lokalni skrbnik.
Podpora za imenski prostor
macOS podpira preverjanje pristnosti več uporabnikov z enakimi kratkimi imeni (ali prijavnimi imeni), ki obstajajo v različnih domenah znotraj gozda Active Directory. Z omogočanjem podpore za imenski prostor s koristno vsebino imenika ali z orodjem za ukazno vrstico dsconfigad lahko ima uporabnik v določeni domeni enako kratko ime kot uporabnik v sekundarni domeni. Uporabnika se morata prijaviti z imenom svoje domene, ki mu sledi ustrezno kratko ime (DOMENA\kratko ime), podobno kot pri prijavljanju v računalnik z operacijskim sistemom Windows. Če želite omogočiti to podporo, uporabite naslednji ukaz:
dsconfigad -namespace <forest>
Podpisovanje in šifriranje paketa
Odjemalec Open Directory lahko podpiše in šifrira povezave LDAP, uporabljene za komunikacijo s storitvijo Active Directory. S podpisano podporo SMB v sistemu macOS znižanje stopnje varnostnega pravilnika spletnega mesta za namene vključitve računalnikov Mac morda ni potrebno. Podpisane in šifrirane povezave LDAP prav tako odpravljajo kakršnokoli potrebo po uporabi protokola LDAP namesto protokola SSL. Če so zahtevane povezave SSL, uporabite naslednji ukaz za konfiguracijo, pri kateri Open Directory uporablja SSL:
dsconfigad -packetencrypt ssl
Za uspešno šifriranje SSL morajo biti potrdila, uporabljena v krmilnikih domen, vredna zaupanja. Če potrdila krmilnika domene ne izdajo izvorni zaupanja vredni sistemski koreni macOS, namestite in podajte zaupanje verigi potrdil v verigi ključev sistema. Overitelji potrdil, ki so v sistemu macOS privzeto vredni zaupanja, so vključeni v verigo ključev Sistemski koreni. Za namestitev potrdil in vzpostavitev zaupanja naredite nekaj od naslednjega:
uporabite koristno vsebino potrdil v konfiguracijskem profilu ter uvozite korenska in vsa potrebna vmesna potrdila;
uporabite Shrambo verig ključev v mapi /Aplikacije/Pripomočki/;
uporabite naslednji varnostni ukaz:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain. <path/to/certificate/file>
Omejitev dinamičnega DNS-ja
Sistem macOS privzeto poskuša posodobiti svoj zapis Naslov (A) v DNS-ju za vse vmesnike. Če je konfiguriranih več vmesnikov, je lahko v DNS-ju več zapisov. Za upravljanje tega vedenja določite vmesnik za uporabo pri posodabljanju dinamičnega sistema domenskih imen (DDNS) s koristno vsebino imenika ali z orodjem ukazne vrstice dsconfigad. Navedite ime BSD vmesnika, v katerem želite povezati posodobitve DDNS. Ime BSD je enako kot polje Naprava, vrnjeno z zagonom naslednjega ukaza:
networksetup -listallhardwareports.
Pri uporabi ukaza dsconfigad v skriptu vključite geslo v navadnem besedilu, uporabljeno za vezanje na domeno. Običajno je za vezavo računalnikov Mac na domeno odgovoren uporabnik storitve Active Directory brez drugih skrbniških pravic. Ta par uporabniškega imena in gesla je shranjen v skriptu. Običajna praksa je, da se skript po vezavi varno izbriše in so ti podatki odstranjeni iz naprave za shranjevanje.