لقد تمت أرشفة هذا المقال ولم تعد Apple تحدثه.

طلب شهادة من مرجع مصدّق من Microsoft

تعرّف على كيفية استخدام بروتوكول بيئة الحوسبة الموزعة/استدعاء الإجراء عن بُعد (DCE/RPC) وحمولة ملف تعريف شهادة Active Directory لطلب شهادة.

باستخدام OS X Mountain Lion والإصدارات الأحدث، يمكنك استخدام بروتوكول DCE/RPC. باستخدام بروتوكول DCE/RPC، لا تحتاج إلى مرجع مصدّق (CA) يستند إلى الويب. يوفر بروتوكول DCE/RPC أيضًا مزيدًا من المرونة عند اختيار القالب الذي يُنشئ الشهادة.

يدعم OS X Mountain Lion والإصدارات الأحدث ملفات تعريف شهادة Active Directory‏ (AD) في واجهة مستخدم ويب "مدير ملف التعريف". يمكنك نشر ملفات تعريف شهادة AD للكمبيوتر أو المستخدم على أجهزة العميل تلقائيًا أو عبر التنزيل اليدوي.

تعرّف على المزيد حول تجديد الشهادات التي تستند إلى ملف التعريف في macOS.

متطلبات الشبكة والنظام

  • نطاق AD صالح

  • مرجع مصدّق صالح لخدمات شهادة AD من Microsoft

  • نظام عميل مرتبط بـ AD يعمل بنظام OS X Mountain Lion أو الإصدارات الأحدث

نشر ملف التعريف

يدعم OS X Mountain Lion والإصدارات الأحدث ملفات تعريف التكوين. يمكنك استخدام ملفات التعريف لتحديد العديد من إعدادات النظام والحساب.

يمكنك تقديم ملفات التعريف إلى عملاء macOS بعدة طرق. طريقة التقديم الرئيسية هي "مدير ملف تعريف سيرفر macOS". في OS X Mountain Lion أو الإصدارات الأحدث، يمكنك استخدام بعض الطرق الأخرى. يمكنك النقر مرتين على ملف .mobileconfig في فايندر، أو استخدام أحد خوادم إدارة الأجهزة المحمولة (MDM) التابع لطرف خارجي.

تفاصيل الحمولة

تحتوي واجهة "مدير ملف التعريف" التي تتيح لك تحديد حمولة شهادة AD على الحقول الموضحة أدناه.

  • الوصف: أدخل وصفًا موجزًا لحمولة ملف التعريف.

  • سيرفر الشهادة: اكتب اسم مضيف CA المؤهل بالكامل. لا تكتب “http://“ قبل اسم المضيف.

  • المرجع المصدّق: أدخل اسم CA المختصر. يمكنك تحديد هذه القيمة من CN لإدخال AD: CN=, CN=Certification Authorities, CN=Public Key Services, CN=Services, CN=Configuration,

  • قالب الشهادة: أدخل قالب الشهادة الذي تريده في بيئتك. القيمة الافتراضية لشهادة المستخدم هي "المستخدم". القيمة الافتراضية لشهادة الكمبيوتر هي "الجهاز".

  • حد الإشعار بانتهاء صلاحية الشهادة: هو العدد الصحيح الذي يحدد عدد الأيام المتبقية قبل انتهاء صلاحية الشهادة وحينئذ يعرض نظام macOS إشعارًا بانتهاء الصلاحية. يجب أن تكون القيمة أكبر من 14 وأقل من الحد الأقصى لمدة سريان الشهادة بالأيام.

  • حجم مفتاح RSA: هذه هي قيمة العدد الصحيح لحجم المفتاح الخاص الذي يقوم بتوقيع طلب توقيع الشهادة (CSR). تتضمن القيم المحتملة 1024 و2048 و4096، وما إلى ذلك. يساعد القالب المختار، المحدّد على CA، في تحديد قيمة حجم المفتاح الذي سيتم استخدامه.

  • المطالبة بإدخال بيانات الاعتماد: بالنسبة لشهادات الكمبيوتر، تجاهل هذا الخيار. بالنسبة لشهادات المستخدم، لا ينطبق هذا الإعداد إلا إذا اخترت "التنزيل اليدوي" لتقديم ملف التعريف. عند تثبيت ملف التعريف، تتم مطالبة المستخدم بإدخال بيانات الاعتماد.

  • اسم المستخدم: بالنسبة لشهادات الكمبيوتر، تجاهل هذا الحقل. بالنسبة لشهادات المستخدم، يكون الحقل اختياريًا. يمكنك إدخال اسم مستخدم AD كأساس للشهادة المطلوبة.

  • كلمة السر: بالنسبة لشهادات الكمبيوتر، تجاهل هذا الحقل. بالنسبة لشهادات المستخدم، اكتب كلمة السر المرتبطة باسم مستخدم AD، إذا قمت بإدخال كلمة سر.

طلب شهادة كمبيوتر

تأكد من أنك تستخدم سيرفر macOS مع تمكين خدمة "مدير ملف التعريف" لإدارة الأجهزة ومرتبط بـ AD.

استخدم مجموعة ملف تعريف شهادة AD مدعومة

  • شهادة الكمبيوتر/الجهاز فقط، يتم تسليمها تلقائيًا إلى عميل يستخدم OS X Mountain Lion أو الإصدارات الأحدث

  • تم دمج الشهادة في ملف تعريف الشبكة لمصادقة EAP-TLS 802.1x

  • تم دمج الشهادة في ملف تعريف VPN لمصادقة الشهادة التي تستند إلى الجهاز

  • تم دمج الشهادة في كل من ملفات تعريف الشبكة/EAP-TLS وVPN

نشر حمولة "مدير ملف التعريف"

  1. قم بربط عميل يستخدم OS X Mountain Lion أو الإصدارات الأحدث بـ AD. يمكنك استخدام ملف تعريف، أو واجهة مستخدم رسومية (GUI) على العميل، أو واجهة سطر أوامر (CLI) على العميل لربط العميل.

  2. قم بتثبيت شهادة CA الصادرة أو شهادة CA أخرى على العميل بحيث يكون لديه سلسلة ثقة كاملة. يمكنك أيضًا استخدام ملف تعريف لتثبيتها.

  3. اختر عرض ملف تعريف شهادة AD عن طريق "الإشعارات اللحظية التلقائية" أو "التنزيل اليدوي" لملف تعريف الجهاز أو مجموعة الأجهزة.

  4. إذا اخترت "الإشعارات اللحظية التلقائية"، فيمكنك استخدام إدارة جهاز "مدير ملف التعريف" في سيرفر macOS لتسجيل العميل.

  5. حدد حمولة شهادة AD لجهاز مسجّل أو مجموعة أجهزة. للتعرّف على أوصاف حقل الحمولة، راجع قسم "تفاصيل الحمولة" أعلاه.

  6. يمكنك تحديد حمولة الشبكة لـ TLS السلكي أو اللاسلكي لنفس ملف تعريف الجهاز أو مجموعة الأجهزة. اختر حمولة شهادة AD التي تم تكوينها كاعتماد. يمكنك تحديد حمولة Wi-Fi أو الإيثرنت.

  7. تحديد ملف تعريف IPSec (Cisco) VPN عبر الجهاز أو مجموعة الأجهزة. اختر حمولة شهادة AD التي تم تكوينها كاعتماد.

    vpn_payloadالمصادقة
    • لا يتم دعم مصادقة الجهاز التي تستند إلى الشهادة إلا لمعابر IPSec VPN. تتطلب أنواع VPN الأخرى طرق مصادقة مختلفة.

    • يمكنك تعبئة حقل اسم الحساب بسلسلة عناصر نائبة.

  8. حفظ ملف التعريف. باستخدام "الإشعارات اللحظية التلقائية"، يتم نشر ملف التعريف على الكمبيوتر المسجّل عبر الشبكة. تستخدم شهادة AD بيانات اعتماد AD الخاصة بالكمبيوتر لتعبئة CSR.

  9. إذا كنت تستخدم "التنزيل اليدوي"، فقم بالاتصال ببوابة مستخدم "مدير ملف التعريف" من العميل.

  10. قم بتثبيت ملف تعريف الجهاز أو مجموعة الأجهزة المتوفر.

  11. تأكد من أن المفتاح الخاص الجديد والشهادة موجودان الآن في سلسلة مفاتيح النظام على العميل.

يمكنك نشر ملف تعريف الجهاز الذي يجمع بين الشهادة والدليل وشهادة AD والشبكة (TLS) وحمولات VPN. يعالج العميل الحمولات بالترتيب الصحيح حتى تنجح جميع إجراءات الحمولة.

طلب شهادة مستخدم

تأكد من أنك تستخدم سيرفر macOS مع تمكين خدمة "مدير ملف التعريف" لإدارة الأجهزة ومرتبط بـ AD.

استخدم مجموعة ملف تعريف شهادة AD مدعومة

  • شهادة المستخدم فقط، يتم تسليمها تلقائيًا للعملاء في OS X Mountain Lion أو الإصدارات الأحدث

  • تم دمج الشهادة في ملف تعريف الشبكة لمصادقة EAP-TLS 802.1x

نشر حمولة "مدير ملف التعريف"

  1. ربط العميل بـ AD. يمكنك استخدام ملف تعريف، أو واجهة مستخدم رسومية (GUI) على العميل، أو واجهة سطر أوامر (CLI) على العميل لربط العميل.

  2. قم بتشغيل إنشاء حساب AD على الجوال على العميل، وفقًا لسياسة بيئتك. يمكنك تمكين هذه الميزة من خلال ملف تعريف (الحركة) أو واجهة مستخدم رسومية على العميل أو سطر أوامر العميل مثل:

    sudo dsconfigad -mobile enable

  3. قم بتثبيت شهادة CA الصادرة أو شهادة CA أخرى على العميل بحيث يكون لديه سلسلة ثقة كاملة. يمكنك أيضًا استخدام ملف تعريف لتثبيتها.

  4. اختر عرض ملف تعريف شهادة AD عن طريق "الإشعارات اللحظية التلقائية" أو "التنزيل اليدوي" لملف تعريف مستخدم AD أو مجموعة المستخدمين. يجب منح الوصول إلى خدمة "مدير ملف التعريف" للمستخدم أو المجموعة.

    payload_iconprofile_type
  5. إذا اخترت "الإشعارات اللحظية التلقائية"، فيمكنك استخدام إدارة جهاز "مدير ملف التعريف" في سيرفر macOS لتسجيل العميل. قم بربط كمبيوتر العميل بمستخدم AD المذكور أعلاه.

  6. حدد حمولة شهادة AD لنفس ملف تعريف مستخدم AD أو مجموعة المستخدمين. للتعرّف على أوصاف حقل الحمولة، يُرجى الاطلاع على تفاصيل الحمولة.

  7. يمكنك تحديد حمولة الشبكة لـ TLS السلكي أو اللاسلكي لملف تعريف مستخدم AD نفسه أو مجموعة المستخدمين. اختر حمولة شهادة AD التي تم تكوينها كاعتماد. يمكنك تحديد حمولة Wi-Fi أو الإيثرنت.

    network_payloadالبروتوكولات
  8. سجل الدخول إلى العميل باستخدام حساب مستخدم AD الذي لديه حق الوصول إلى خدمة "مدير ملف التعريف". باستخدام "الإشعارات اللحظية التلقائية"، يمنحك تسجيل الدخول بطاقة منح بطاقات Kerberos (TGT) الضرورية. يعمل TGT كقالب هوية لشهادة المستخدم المطلوبة.

  9. إذا كنت تستخدم "التنزيل اليدوي"، فقم بالاتصال ببوابة مستخدم "مدير ملف التعريف".

  10. قم بتثبيت ملف تعريف المستخدم أو مجموعة المستخدمين المتوفر.

  11. أدخل اسم المستخدم وكلمة السر إذا طُلب منك ذلك.

  12. قم بتشغيل الوصول إلى سلسلة المفاتيح. تأكد من أن سلسلة مفاتيح تسجيل الدخول تحتوي على مفتاح خاص وشهادة مستخدم صادرة عن المرجع المصدّق من Microsoft.

يمكنك نشر ملف تعريف المستخدم الذي يجمع بين الشهادة وشهادة AD والشبكة (TLS). يقوم العملاء في OS X Mountain Lion أو الإصدارات الأحدث بمعالجة الحمولات بالترتيب الصحيح حتى تنجح جميع إجراءات الحمولة.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: