Інтегрування комп’ютерів Mac з Active Directory
Можна конфігурувати Mac на доступ до базової інформації облікового запису користувача в домені Active Directory сервера Windows 2000 або новішої версії. З’єднувач Active Directory є в списку на панелі «Служби» Утиліти каталогів. Він генерує всі атрибути, необхідні для автентифікації macOS, зі стандартних атрибутів користувацьких облікових записів Active Directory. З’єднувач також підтримує політики автентифікації Active Directory, включно зі змінами пароля, термінами дії, примусовими змінами й опціями безпеки. Оскільки з’єднувач підтримує ці функції, не потрібно вносити зміни в схему домену Active Directory, щоб отримати основну інформацію про облікові записи користувачів.
Примітка. Якщо ви явно не ввімкнете «слабке шифрування», macOS не зможе приєднуватися до домену Active Directory з функціональним рівнем нижчим, ніж Windows Server 2008. Навіть якщо функціональні рівні всіх доменів версії 2008 або новішої, адміністратору може знадобитися окремо вказати рівень довіри до кожного домену, щоб використовувати шифрування Kerberos AES.
Як Mac використовує DNS для запиту домену Active Directory
macOS використовує систему доменних імен (DNS) для запиту топології локального домену Active Directory. Вона використовує Kerberos для автентифікації та протокол Lightweight Directory Access Protocol (LDAPv3) для зіставлення користувачів і груп.
Якщо macOS повністю інтегрована з Active Directory, користувачі:
Є суб’єктами політики паролів домену організації
Використовують ті самі облікові дані для автентифікації та отримання доступу до захищених ресурсів
Можуть отримувати сертифікат для ідентифікації користувача та комп’ютера від сервера служби сертифікатів Active Directory
Можуть автоматично переміщуватися в просторі імен розподіленої файлової системи (DFS) і монтувати відповідний базовий сервер SMB.
Додаткову інформацію про під’єднання до DFS без зв’язування наведено в довідковій статті про простір імен розподіленої файлової системи нижче.
Також можна використовувати набір даних Directory (Каталог) у вашому рішенні керування мобільними пристроями (MDM) для конфігурування цих параметрів, а потім відправити ці корисні дані на всі комп’ютери Mac в організації. Більше інформації наведено в параметрах набору даних Directory (Каталог) рішення MDM.
Клієнти Mac отримують повний доступ до читання атрибутів, доданих у каталог. Тому може виникнути необхідність змінити список контролю доступу (ACL) цих атрибутів, щоб дозволити групам комп’ютерів читати ці додані атрибути.
Політики паролів домену
Під час прив’язування (а також періодично згодом) macOS опитує домен Active Directory на наявність політик паролів. Ці політики запроваджуються для всіх мережевих і мобільних облікових записів на Mac.
Під час спроби входу в систему з доступними мережевими обліковими записами macOS опитує Active Directory про час до обов’язкової зміни пароля. Типово, якщо пароль потрібно змінити протягом 14 днів, користувач у вікні входу в систему побачить відповідний запит. Якщо користувач змінює пароль, ці зміни відображаються в Active Directory, а також у мобільних облікових записах (якщо їх конфігуровано) та оновлюється пароль в’язки login. Якщо користувач відхиляє запит про зміну пароля, вікно входу відображатиме його, аж доки до завершення терміну дії залишиться один день. Якщо до закінчення терміну дії залишилося менше 24 годин, користувач має змінити пароль для продовження роботи. Адміністратор macOS може змінювати типове сповіщення про термін дії вікна входу з командного рядка. Для цього слід ввести таку команду: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <кількість днів>.
Примітка. macOS не підтримує політки точних паролів із Password Settings Object (PSO) в Active Directory. Для обчислення терміну дії паролів використовується тільки стандартна політика домену.
Підтримка простору імен розподіленої файлової системи (DFS)
macOS підтримує переміщення простором імен розподіленої файлової системи (DFS), якщо Mac прив’язано до Active Directory. Комп’ютер Mac, прив’язаний до серевера Active Directory, може звертатися до DNS і контролерів доменів у домені Active Directory для автоматичного зіставлення сервера (SMB) для певного простору імен.
Ви можете використовувати функцію «Під’єднатися до сервера» у Finder для вказання повного доменного імені (FQDN) простору DFS, яке включає кореневий DFS для монтування мережевої файлової системи. На Mac клацніть робочий стіл, щоб відкрити Finder, виберіть команду «Під’єднатися до сервера» в меню «Перейти», а потім введіть smb://resources.betterbag.com/DFSroot.
macOS використовує наявні квитки Kerberos і монтує підлеглий сервер і шлях Server Message Block (SMB). У деяких конфігураціях Active Directory може вимагатися введення повного доменного імені Active Directory в полі «Домени для пошуку» в конфігурації DNS для мережевого інтерфейсу.
Порада. Ви можете користуватися спільними елементами DFS і переходити ними без прив’язування до Active Directory, якщо середовище DFS конфігуроване на використання повних доменних імен у переспрямуваннях. Поки Mac може зіставляти імена хостів відповідних серверів, з’єднання відбувається без необхідності прив’язування Mac до каталогу.