تكوين الوصول إلى النطاق في أداة الدليل على الـ Mac
هام: باستخدام الخيارات المتقدمة لموصل Active Directory، يمكنك تعيين معرّف المستخدم الفريد (UID) ومعرّف المجموعة الأساسي (GID) وسمات GID الخاصة بالمجموعة لـ macOS إلى السمات الصحيحة الموجودة في مخطط Active Directory. ومع ذلك، إذا قمت بتغيير هذه الإعدادات لاحقًا، فقد يفقد المستخدمون إمكانية الوصول إلى الملفات التي تم إنشاؤها مسبقًا.
الربط باستخدام أداة الدليل
في تطبيق أداة الدليل على الـ Mac الخاص بك، انقر على خدمات.
انقر على أيقونة القفل.
أدخل اسم مستخدم وكلمة سر مسؤول، ثم انقر على تعديل التكوين (أو استخدم بصمة الإصبع).
حدد Active Directory، ثم انقر على الزر “تحرير إعدادات الخدمة المحددة” .
أدخل اسم مضيف DNS الخاص بمجال Active Directory الذي تريد أن يرتبط بالكمبيوتر الذي تقوم بإعداده.
يمكن أن يخبرك مسؤول مجال Active Directory باسم مضيف DNS.
عند الضرورة، قم بتحرير معرّف الكمبيوتر.
معرّف الكمبيوتر، الاسم الذي يُعرف به الكمبيوتر في نطاق Active Directory، يكون معينًا مسبقًا على اسم الكمبيوتر. يمكنك تغييره ليطابق مخطط التسمية بمؤسستك. إذا لم تكن متأكدًا، فاسأل مسؤول مجال Active Directory.
هام: وإذا كان اسم الكمبيوتر يحتوي على واصلة، فقد لا تتمكن من الارتباط بنطاق دليل، مثل LDAP أو Active Directory. لتأسيس الارتباط، استخدم اسم كمبيوتر لا يحتوي على واصلة.
إذا كانت الخيارات المتقدمة مخفية، فانقر على مثلث العرض بجوار إظهار الخيارات. ويمكنك أيضًا تغيير إعدادات الخيارات المتقدمة لاحقًا.
(اختياري) حدد الخيارات الموجودة في جزء تجربة المستخدم.
انظر إعداد حسابات المستخدمين المحمولة، إعداد المجلدات الرئيسية لحسابات المستخدمين، وتعيين غلاف UNIX لحسابات مستخدمي Active Directory.
(اختياري) حدد الخيارات الموجودة في جزء التعيينات.
انظر تعيين معرّف المجموعة، ومعرّف المجموعة الرئيسي، وUID إلى سمة Active Directory.
(اختياري) حدد خيارات في الجزء إداري.
تفضيل خادم النطاق هذا: بشكل افتراضي، يستخدم macOS معلومات الموقع واستجابة وحدة تحكم النطاق لتحديد وحدة تحكم النطاق التي سيتم استخدامها. في حالة تحديد وحدة تحكم نطاق في الموقع نفسه هنا، سيتم الرجوع إليها أولاً. وإذا كانت وحدة تحكم النطاق غير متوفرة، يرجع macOS إلى السلوك الافتراضي.
السماح بالإدارة بواسطة: عندما يكون هذا الخيار ممكّنًا، يتم منح أعضاء مجموعات Active Directory المدرجة (بشكل افتراضي، المسؤولين عن النطاق والمؤسسة) امتيازات إدارية على جهاز Mac المحلي. يمكنك أيضًا تحديد مجموعات الأمان التي تريدها هنا.
السماح بالمصادقة من أي نطاق في النطاق الأم: بشكل افتراضي، يقوم macOS تلقائيًا بالبحث في جميع النطاقات للمصادقة. لتقييد المصادقة إلى النطاق الذي يرتبط به Mac فقط، قم بإلغاء تحديد خانة الاختيار هذه.
انظر التحكم في المصادقة من كل المجالات في تجمّع Active Directory.
انقر فوق ربط، ثم أدخل المعلومات التالية:
ملاحظة: يجب أن يكون للمستخدم امتيازات في Active Directory كي يتمكن من ربط الكمبيوتر بالنطاق.
اسم المستخدم وكلمة السر: يمكنك المصادقة عن طريق إدخال اسم وكلمة سر حساب مستخدم Active Directory الخاص بك، وإلا فقد يحتاج مسؤول مجال Active Directory إلى توفير اسم وكلمة سر.
الوحدة التنظيمية للكمبيوتر: أدخل الوحدة التنظيمية (OU) للكمبيوتر الذي تقوم بإعداده.
استخدام المصادقة: قم بتحديد ما إذا كنت تريد أن تتم إضافة Active Directory إلى سياسة بحث المصادقة الخاصة بالكمبيوتر.
استخدام جهات الاتصال: قم بتحديد ما إذا كنت تريد أن تتم إضافة Active Directory إلى سياسة بحث جهات الاتصال الخاصة بالكمبيوتر.
انقر على موافق.
تقوم أداة الدليل بإعداد الارتباط الموثوق بين الكمبيوتر الذي تقوم بتكوينه وخادم Active Directory. يتم تعيين سياسات البحث الخاصة بالكمبيوتر وفقًا للخيارات التي حددتها عندما قمت بالمصادقة، ويتم تمكين Active Directory في جزء الخدمات في أداة Directory Utility.
باستخدام الإعدادات الافتراضية للخيارات المتقدمة في Active Directory، تتم إضافة تجمّع Active Directory إلى سياسة بحث المصادقة وسياسة بحث جهات الاتصال الخاصة بالكمبيوتر في حالة تحديد 'استخدام المصادقة' أو 'استخدام جهات الاتصال'.
ومع ذلك، إذا قمت بإلغاء تحديد "السماح بالمصادقة من أي نطاق في النطاق الأم" في جزء الخيارات المتقدمة في "إداري" قبل النقر على ربط، فستتم إضافة أقرب نطاق Active Directory بدلاً من النطاق الأم.
يمكنك تغيير سياسات البحث لاحقًا عن طريق إضافة أو إزالة تجمّع Active Directory أو المجالات الفردية. انظر تحديد سياسات البحث.
الربط باستخدام ملف تعريف التكوين
يمكن لحمولة الدليل في ملف تعريف التكوين أن تقوم بتكوين جهاز Mac واحد، أو تمكين مئات من أجهزة كمبيوتر Mac تلقائيًا، للربط بـ Active Directory. وكما هو الحال مع حمولات ملفات التعريف الأخرى، يمكنك نشر حمولة الدليل يدويًا، باستخدام برنامج نصي، كجزء من التسجيل في أحد حلول إدارة الجهاز الجوال أو من خلال استخدام أحد حلول إدارة العميل.
الحمولات هي جزء من ملفات تعريف التكوين، وتسمح للمسؤولين بإدارة أجزاء معينة من macOS. اتصل بمورِّد MDM للحصول على إرشادات حول كيفية إنشاء ملف تعريف التكوين.
الربط باستخدام سطر الأوامر
يمكنك استخدام الأمر dsconfigad
في تطبيق الوحدة الطرفية لربط جهاز Mac بـ Active Directory.
على سبيل المثال، يمكن استخدام الأمر التالي لربط جهاز Mac بـ Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
بعد قيامك بربط جهاز Mac بالنطاق، يمكنك استخدام الأمر dsconfigad
لتعيين الخيارات الإدارية في أداة الدليل:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
خيارات سطر الأوامر المتقدمة
يتضمن الدعم الأصلي لـ Active Directory خيارات لا تراها في أداة الدليل. لإظهار هذه الخيارات المتقدمة، استخدم إما حمولة الدليل في ملف تعريف التكوين، أو أداة سطر الأوامر dsconfigad
.
ابدأ مراجعة خيارات سطر الأوامر من خلال فتح صفحة الدليل للأمر dsconfigad.
الفاصل الزمني لكلمة سر كائن الكمبيوتر
عندما يكون نظام Mac مرتبطًا بـ Active Directory، فإنه يقوم بتعيين كلمة سر حساب الكمبيوتر المخزنة في سلسلة مفاتيح النظام، ويتم تغييرها تلقائيًا من خلال Mac. الفاصل الزمني لكلمة السر الافتراضية هو كل ١٤ يومًا، لكن يمكنك استخدام حمولة الدليل أو أداة سطر الأوامر dsconfigad
لتعيين أي فاصل زمني تتطلبه سياستك.
تعيين القيمة إلى 0 يعمل على تعطيل التغيير التلقائي لكلمة سر الحساب: dsconfigad -passinterval 0
ملاحظة: يتم تخزين كلمة سر كائن الكمبيوتر كقيمة كلمة سر في سلسلة مفاتيح النظام. لاسترداد كلمة السر، افتح الوصول إلى سلسلة المفاتيح، وحدد سلسلة مفاتيح النظام، ثم حدد الفئة كلمات السر. ابحث عن الإدخال الذي يبدو مثل /Active Directory/DOMAIN بحيث يمثل DOMAIN اسم NetBIOS في نطاق Active Directory. انقر نقرًا مزدوجًا على هذا الإدخال، ثم حدد خانة الاختيار "إظهار كلمة السر". قم بالمصادقة كمسؤول محلي حسب الحاجة:
دعم مساحة الاسم
يدعم macOS مصادقة عدة مستخدمين لهم نفس الأسماء القصيرة (أو أسماء تسجيل الدخول) الموجودة في نطاقات مختلفة في النطاق الأم لـ Active Directory. عند تمكين دعم مساحة الاسم من خلال حمولة الدليل أو أداة سطر الأوامر dsconfigad
، يمكن للمستخدم الموجود في نطاق ما أن يكون له نفس الاسم القصير الخاص بمستخدم آخر في نطاق ثانوي. يتعين أن يقوم كلا المستخدمين بتسجيل الدخول باستخدام اسم النطاق الخاص بهما متبوعًا بأسمائهما القصيرة (النطاق/الاسم القصير)، كماهو الحال في تسجيل الدخول إلى كمبيوتر شخصي يعمل بنظام Windows. لتمكين هذا الدعم، استخدم الأمر التالي:
dsconfigad -namespace <forest>
توقيع الحزمة وتشفيرها
يمكن لعميل الدليل المفتوح توقيع اتصالات LDAP المستخدمة في الاتصال بـ Active Directory وتشفيرها. مع وجود دعم SMB الموقّع في macOS، ليس من الضروري خفض السياسة الأمنية للموقع لاستيعاب أجهزة كمبيوتر Mac. كما تساعد اتصالات LDAP الموقّعة والمشفرة أيضًا على الاستغناء عن استخدام LDAP عبر SSL. إذا كانت اتصالات SSL مطلوبة، فاستخدم الأمر التالي لتكوين الدليل المفتوح لاستخدام SSL:
dsconfigad -packetencrypt ssl
لاحظ أن الشهادات المستخدمة في عناصر تحكم النطاق يجب أن تكون موثوقة حتى ينجح تشفير SSL. إذا لم تكن شهادات عناصر تحكم النطاق صادرة عن جذور النظام الموثوقة الأصلية لـ macOS، فقم بتثبيت سلسلة الشهادة والوثوق فيها في سلسلة مفاتيح النظام. توجد جهات إصدار الشهادات التي يتم الوثوق فيها بشكل افتراضي في macOS في سلسلة مفاتيح جذور النظام. لتثبيت الشهادات وتأسيس الثقة، قم بإحدى الخطوات التالية:
استيراد الجذر وأي شهادات وسيطة ضرورية باستخدام حمولة الشهادات الموجودة في ملف تعريف التكوين
استخدام الوصول إلى سلسلة المفاتيح الموجود في /التطبيقات/الأدوات المساعدة/
استخدام أمر الأمن كما يلي:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
تقييد DNS الديناميكي
يحاول macOS تحديث سجل العنوان (A) في DNS لجميع الواجهات بشكل افتراضي. في حالة تكوين عدة واجهات، قد يؤدي هذا إلى وجود عدة سجلات في DNS. لإدارة هذا السلوك، حدد الواجهة المطلوب استخدامها عند تحديث نظام اسم النطاق الديناميكي (DDNS) من خلال استخدام حمولة الدليل أو أداة سطر الأوامر dsconfigad
. حدد اسم BSD للواجهة التي تريد تضمين تحديثات DDNS بها. اسم BSD مثله مثل الاسم الموجود في حقل الجهاز، ويتم إرجاعه من خلال تشغيل هذا الأمر:
networksetup -listallhardwareports
عند استخدام الأمر dsconfigad
في برنامج نصي، يجب أن تقوم بتضمين كلمة السر النصية الواضحة التي تم استخدامها للارتباط بهذا النطاق. وعادةً ما يتم تفويض مستخدم Active Directory الذي لا يتمتع بامتيازات إدارية أخرى للقيام بربط أجهزة كمبيوتر Mac بالنطاق. يتم تخزين زوج اسم المستخدم وكلمة السر لهذا المستخدم في البرنامج النصي. من الممارسات الشائعة للبرنامج النصي أنه يحذف نفسه بأمان بعد الربط، وبذلك لا تبقى هذه المعلومات على جهاز التخزين بعد ذلك.