Ρύθμιση παραμέτρων πρόσβασης σε τομέα στο Βοήθημα καταλόγου στο Mac
Σημαντικό: Με τις προηγμένες επιλογές του στοιχείου σύνδεσης Active Directory, μπορείτε να αντιστοιχίζετε το χαρακτηριστικό μοναδικού αναγνωριστικού χρήστη (UID), το χαρακτηριστικό αναγνωριστικού κύριας ομάδας (GID) και τα χαρακτηριστικά GID ομάδας του macOS στα σωστά χαρακτηριστικά στο σχήμα Active Directory. Ωστόσο, αν αλλάξετε αργότερα αυτές τις ρυθμίσεις, οι χρήστες ενδέχεται να μην μπορούν πλέον να προσπελάσουν αρχεία που δημιούργησαν παλαιότερα.
Άνοιγμα του Βοηθήματος καταλόγου
Σύνδεση μέσω Βοηθήματος καταλόγου
Στην εφαρμογή «Βοήθημα καταλόγου»
στο Mac, κάντε κλικ στις «Υπηρεσίες».Κάντε κλικ στο εικονίδιο κλειδώματος.
Εισαγάγετε όνομα και συνθηματικό διαχειριστή και στη συνέχεια κάντε κλικ στην «Τροποποίηση ρύθμισης παραμέτρων» (ή χρησιμοποιήστε το Touch ID).
Επιλέξτε «Active Directory» και μετά κάντε κλικ στο κουμπί «Επεξεργασία ρυθμίσεων για την επιλεγμένη συσκευή»
.Εισαγάγετε το όνομα υπολογιστή υπηρεσίας DNS του τομέα Active Directory που θέλετε να δεσμεύσετε στον υπολογιστή τον οποίο διαμορφώνετε.
Ο διαχειριστής του τομέα Active Directory μπορεί να σας δώσει το όνομα υπολογιστή υπηρεσίας DNS.
Αν χρειάζεται, επεξεργαστείτε το αναγνωριστικό υπολογιστή.
Το αναγνωριστικό υπολογιστή, το όνομα με το οποίο είναι γνωστός ο υπολογιστής στον τομέα Active Directory, από προεπιλογή είναι το όνομα του ίδιου του υπολογιστή. Μπορείτε να το αλλάξετε για συμμόρφωση με το σχήμα ονοματοδοσίας του οργανισμού σας. Αν δεν είστε βέβαιοι, ρωτήστε τον διαχειριστή του τομέα Active Directory.
Σημαντικό: Αν το όνομα υπολογιστή σας περιέχει παύλα, ίσως να μην έχετε τη δυνατότητα δέσμευσης σε έναν τομέα καταλόγου, όπως π.χ. LDAP ή Active Directory. Για να καθιερώσετε τη δέσμευση, αλλάξτε το όνομα του υπολογιστή σας σε ένα όνομα υπολογιστή που δεν περιέχει παύλα.
Αν οι προηγμένες επιλογές είναι κρυμμένες, κάντε κλικ στο τρίγωνο αποκάλυψης δίπλα στην Εμφάνιση επιλογών. Μπορείτε επίσης να αλλάξετε τις ρυθμίσεις προηγμένων επιλογών αργότερα.
(Προαιρετικά) Επιλέξτε επιλογές Εμπειρίας χρήστη.
Δείτε τις ενότητες Διαμόρφωση φορητών λογαριασμών χρηστών, Διαμόρφωση φακέλων αφετηρίας για λογαριασμούς χρηστών, και Διαμόρφωση κελύφους UNIX για λογαριασμούς χρήστη Active Directory.
(Προαιρετικά) Επιλέξτε επιλογές Αντιστοιχήσεων.
Δείτε την ενότητα Αντιστοίχιση του αναγνωριστικού ομάδας, του GID κύριας ομάδας και του UID σε χαρακτηριστικό Active Directory.
(Προαιρετικά) Επιλέξτε επιλογές Διαχείρισης.
Να προτιμάται αυτός ο διακομιστής τομέα: Από προεπιλογή, το macOS χρησιμοποιεί στοιχεία ιστότοπου και απόκριση ελεγκτή τομέα για να καθορίσει τον ελεγκτή τομέα που θα χρησιμοποιηθεί. Εάν ο ελεγκτής τομέα είναι ο ίδιος ιστότοπος που καθορίζεται εδώ, λαμβάνεται πρώτος υπόψη. Εάν ο ελεγκτής τομέα δεν είναι διαθέσιμος, το macOS επανέρχεται στην προεπιλεγμένη συμπεριφορά.
Να επιτρέπεται η διαχείριση από: Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα μέλη των καταχωρισμένων ομάδων Active Directory (από προεπιλογή, διαχειριστές τομέα και εταιρικοί διαχειριστές) λαμβάνουν προνόμια διαχείρισης στο τοπικό Mac. Μπορείτε επίσης να καθορίσετε επιθυμητές ομάδες ασφάλειας εδώ.
Να επιτρέπεται η εξουσιοδότηση από οποιονδήποτε τομέα του δάσους: Από προεπιλογή, το macOS εκτελεί αναζήτηση αυτόματα σε όλους τους τομείς για έλεγχο ταυτότητας. Για περιορισμό του ελέγχου ταυτότητας μόνο στον τομέα που είναι προσαρτημένο το Mac, αποεπιλέξτε αυτό το πλαίσιο επιλογής.
Δείτε την ενότητα Έλεγχος του ελέγχου ταυτότητας από όλους τους τομείς στο δάσος Active Directory.
Κάντε κλικ στη «Δέσμευση» και μετά εισαγάγετε τις ακόλουθες πληροφορίες:
Σημείωση: Ο χρήστης πρέπει να διαθέτει προνόμια στο Active Directory προκειμένου να δεσμεύσει έναν υπολογιστή στον τομέα.
Όνομα χρήστη και συνθηματικό: Ίσως μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας εισαγάγοντας το όνομα και συνθηματικό του λογαριασμού χρήστη σας Active Directory ή ίσως χρειαστεί να σας δώσει όνομα και συνθηματικό ο διαχειριστής του τομέα Active Directory.
OU υπολογιστή: Εισαγάγετε την οργανική μονάδα (OU) για τον υπολογιστή που διαμορφώνετε.
Χρήση για έλεγχο ταυτότητας: Επιλέξτε αν θέλετε το Active Directory να προστεθεί στην πολιτική αναζήτησης ελέγχου ταυτότητας του υπολογιστή.
Χρήση για επαφές: Επιλέξτε αν θέλετε το Active Directory να προστεθεί στην πολιτική αναζήτησης επαφών του υπολογιστή.
Κάντε κλικ στο OK.
Το Βοήθημα καταλόγου διαμορφώνει αξιόπιστη δέσμευση μεταξύ του υπολογιστή που διαμορφώνετε και του διακομιστή Active Directory. Οι πολιτικές αναζήτησης του υπολογιστή διαμορφώνονται σύμφωνα με τις επιλογές που κάνατε κατά τον έλεγχο ταυτότητας και το Active Directory ενεργοποιείται στο τμήμα «Υπηρεσίες» του Βοηθήματος καταλόγου.
Με τις προεπιλεγμένες ρυθμίσεις για τις προηγμένες επιλογές Active Directory, το δάσος Active Directory προστίθεται στην πολιτική αναζήτησης ελέγχου ταυτότητας και επαφών του υπολογιστή αν έχετε επιλέξει «Χρήση για έλεγχο ταυτότητας» ή «Χρήση για επαφές».
Ωστόσο, προτού κάνετε κλικ στη «Δέσμευση», αν αποεπιλέξετε τη ρύθμιση «Να επιτρέπεται η εξουσιοδότηση από οποιονδήποτε τομέα του δάσους» στις προηγμένες επιλογές Διαχείρισης, αντί για το δάσος θα προστεθεί ο πλησιέστερος τομέας Active Directory.
Μπορείτε να αλλάξετε πολιτικές αναζήτησης αργότερα προσθέτοντας ή αφαιρώντας το δάσος ή μεμονωμένους τομείς Active Directory. Δείτε την ενότητα Καθορισμός πολιτικών αναζήτησης.
Η «Δέσμευση» χρησιμοποιεί ένα προφίλ ρύθμισης παραμέτρων
Το φορτίο καταλόγου σε ένα προφίλ ρύθμισης παραμέτρων μπορεί να διαμορφώσει ένα μεμονωμένο Mac, ή να αυτοματοποιήσει εκατοντάδες υπολογιστές Mac, για δέσμευση στο Active Directory. Όπως και με άλλα φορτία προφίλ ρύθμισης παραμέτρων, μπορείτε να αναπτύξετε το φορτίο καταλόγου χειροκίνητα, χρησιμοποιώντας σκριπτ, ως μέρος εγγραφής MDM ή χρησιμοποιώντας μια λύση διαχείρισης πελάτη.
Τα φορτία αποτελούν μέρος των προφίλ ρύθμισης παραμέτρων και επιτρέπουν σε διαχειριστές να διαχειρίζονται συγκεκριμένα μέρη του macOS. Επικοινωνήστε με τον προμηθευτή MDM για οδηγίες σχετικά με το πώς να δημιουργήσετε ένα προφίλ ρύθμισης παραμέτρων.
Σύνδεση μέσω της γραμμής εντολών
Μπορείτε να χρησιμοποιήσετε την εντολή dsconfigad στην εφαρμογή «Τερματικό» για να συνδέσετε ένα Mac στο Active Directory.
Για παράδειγμα, η ακόλουθη εντολή μπορεί να χρησιμοποιηθεί για να συνδέσετε ένα Mac στο Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Όταν συνδέσετε ένα Mac στον τομέα, μπορείτε να χρησιμοποιήσετε την εντολή dsconfigad για να καθορίσετε τις επιλογές διαχείρισης στο Directory Utility:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Προηγμένες επιλογές γραμμής εντολών
Η εγγενής υποστήριξη για το Active Directory περιλαμβάνει επιλογές που δεν βλέπετε στο Βοήθημα καταλόγου. Για να δείτε αυτές τις προηγμένες επιλογές, χρησιμοποιήστε είτε το φορτίο Καταλόγου σε ένα προφίλ ρύθμισης παραμέτρων ή το εργαλείο dsconfigad της γραμμής εντολών.
Ξεκινήστε τον έλεγχο των επιλογών της γραμμής εντολών ανοίγοντας τη σελίδα dsconfigad man.
Χρονικό διάστημα συνθηματικού αντικειμένου υπολογιστή
Όταν ένα σύστημα Mac προσαρτηθεί σε Active Directory, ορίζει ένα συνθηματικό λογαριασμού υπολογιστή που αποθηκεύεται στην κλειδοθήκη συστήματος και αλλάζει αυτόματα από το Mac. Το προεπιλεγμένο χρονικό διάστημα συνθηματικού είναι κάθε 14 ημέρες, αλλά μπορείτε να χρησιμοποιήσετε το φορτίο καταλόγου ή το εργαλείο γραμμής εντολών dsconfigad για να ορίσετε οποιοδήποτε διάστημα απαιτεί η πολιτική σας.
Ο καθορισμός της τιμής σε 0 απενεργοποιεί την αυτόματη αλλαγή του συνθηματικού λογαριασμού: dsconfigad -passinterval 0
Σημείωση: Το συνθηματικό αντικειμένου υπολογιστή αποθηκεύεται ως τιμή συνθηματικού στην κλειδοθήκη συστήματος. Για να ανακτήσετε το συνθηματικό, ανοίξτε την Πρόσβαση της κλειδοθήκης, επιλέξτε την κλειδοθήκη συστήματος και μετά επιλέξτε την κατηγορία «Συνθηματικά». Εντοπίστε την καταχώριση που μοιάζει με /Active Directory/DOMAIN όπου το DOMAIN είναι το όνομα NetBIOS του τομέα του Active Directory. Κάντε διπλό κλικ σε αυτήν την καταχώριση και μετά επιλέξτε το πλαίσιο επιλογής «Εμφάνιση συνθηματικού». Πραγματοποιήστε έλεγχο ταυτότητας ως τοπικός διαχειριστής όπως απαιτείται.
Υποστήριξη χώρου ονομάτων
Το macOS υποστηρίζει τον έλεγχο ταυτότητας πολλαπλών χρηστών με τα ίδια σύντομα ονόματα (ή ονόματα εισόδου) που υφίστανται σε διαφορετικούς τομείς εντός του δάσους του Active Directory. Ενεργοποιώντας την υποστήριξη χώρου ονομάτων με το φορτίο Καταλόγου ή με το εργαλείο γραμμής εντολών dsconfigad, ο χρήστης σε έναν τομέα μπορεί να διαθέτει το ίδιο σύντομο όνομα με έναν χρήστη σε δευτερεύοντα τομέα. Και οι δύο χρήστες πρέπει να πραγματοποιήσουν είσοδο χρησιμοποιώντας το όνομα του τομέα τους ακολουθούμενο από τα σύντομα ονόματά τους (ΤΟΜΕΑΣ\σύντομο όνομα), διαδικασία παρόμοια με την είσοδο σε υπολογιστή Windows. Για να ενεργοποιήσετε αυτήν την υποστήριξη, χρησιμοποιήστε την ακόλουθη εντολή:
dsconfigad -namespace <forest>
Υπογραφή και κρυπτογράφηση πακέτου
Ο πελάτης Open Directory μπορεί να υπογράψει και να κρυπτογραφήσει τις συνδέσεις LDAP που χρησιμοποιούνται για την επικοινωνία με το Active Directory. Με την υπογεγραμμένη υποστήριξη SMB σε macOS, δεν πρέπει να είναι απαραίτητη η υποβάθμιση της πολιτικής ασφάλειας του ιστότοπου για τη φιλοξενία υπολογιστών Mac. Οι υπογεγραμμένες και κρυπτογραφημένες συνδέσεις LDAP εξαλείφουν επίσης τυχόν ανάγκη για χρήση LDAP μέσω SSL. Εάν απαιτούνται συνδέσεις SSL, χρησιμοποιήστε την ακόλουθη εντολή για ρύθμιση παραμέτρων του Open Directory για χρήση μέσω SSL:
dsconfigad -packetencrypt ssl
Έχετε υπόψη σας ότι τα πιστοποιητικά που χρησιμοποιούνται στους ελεγκτές τομέα πρέπει να είναι αξιόπιστα προκειμένου η κρυπτογράφηση SSL να είναι επιτυχής. Εάν τα πιστοποιητικά του ελεγκτή τομέα δεν εκδίδονται από τις εγγενείς αξιόπιστες ρίζες συστήματος του macOS, εγκαταστήστε και καταστήστε αξιόπιστη την αλυσίδα πιστοποιητικού στην κλειδοθήκη συστήματος. Οι αρχές πιστοποιητικών που είναι αξιόπιστες από προεπιλογή στο macOS βρίσκονται στην κλειδοθήκη «Ρίζες συστήματος». Για να εγκαταστήσετε πιστοποιητικά και να τα καταστήσετε αξιόπιστα, κάντε ένα από τα εξής:
Εισαγάγετε τη ρίζα και τυχόν απαραίτητα ενδιάμεσα πιστοποιητικά χρησιμοποιώντας το φορτίο πιστοποιητικών σε ένα προφίλ ρύθμισης παραμέτρων
Χρησιμοποιήστε την «Πρόσβαση σε κλειδοθήκη» που βρίσκεται στον φάκελο /Εφαρμογές/Βοηθήματα
Χρησιμοποιήστε την εντολή ασφαλείας ως εξής:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Περιορισμός δυναμικού DNS
Το macOS επιχειρεί να ενημερώσει την εγγραφή της Διεύθυνσής του (A) στο DNS για όλες τις διεπαφές από προεπιλογή. Εάν έχουν ρυθμιστεί οι παράμετροι πολλαπλών διεπαφών, αυτό ενδέχεται να οδηγήσει σε πολλαπλές εγγραφές στο DNS. Για να διαχειριστείτε αυτήν τη συμπεριφορά, καθορίστε ποια διεπαφή θα χρησιμοποιείται κατά την ενημέρωση του Dynamic Domain Name System (DDNS) χρησιμοποιώντας το φορτίο Καταλόγου ή το εργαλείο της γραμμής εντολών dsconfigad. Καθορίστε το όνομα BSD της διεπαφής στην οποία πρόκειται να συσχετιστούν οι ενημερώσεις DDNS. Το όνομα BSD είναι το ίδιο με το πεδίο «Συσκευή», το οποίο επιστρέφεται με την εκτέλεση αυτής της εντολής:
networksetup -listallhardwareports
Κατά τη χρήση της εντολής dsconfigad σε ένα σκριπτ, πρέπει να συμπεριλάβετε το συνθηματικό διαγραφής κειμένου που χρησιμοποιείται για τη σύνδεση με τον τομέα. Συνήθως, ένας χρήστης Active Directory με κανένα άλλο προνόμιο διαχειριστή μεταβιβάζει με πληρεξούσιο την ευθύνη δέσμευσης των υπολογιστών Mac στον τομέα. Αυτό το ζεύγος ονόματος χρήστη και συνθηματικού αποθηκεύεται στο σκριπτ. Αποτελεί κοινή πρακτική για το σκριπτ να αυτο-διαγράφεται με ασφάλεια μετά τη δέσμευση, έτσι ώστε τα στοιχεία να μη βρίσκονται πλέον στη συσκευή αποθήκευσης.