Configurar l’accés al domini a la Utilitat de Directoris del Mac
Important: Amb les opcions avançades del connector d’Active Directory, pots assignar l’ID d’usuari únic (UID) del macOS, l’ID de grup principal (GID) i els atributs GID de grup als atributs correctes de l’esquema d’Active Directory. Tanmateix, si més endavant canvies aquests paràmetres, pot ser que els usuaris perdin l’accés a arxius creats anteriorment.
Obrir la Utilitat de Directoris
Vincular mitjançant la Utilitat de Directoris
A l’app Utilitat de Directoris del Mac, fes clic a Serveis.
Fes clic a la icona del cadenat.
Introdueix el nom d’usuari i la contrasenya d’un administrador i fes clic a “Modificar la configuració” (o utilitza el Touch ID).
Selecciona “Active Directory” i fes clic al botó “Edita la configuració del servei seleccionat” .
Introdueix el nom de host DNS del domini d’Active Directory que vols vincular a l’ordinador que estàs configurant.
L’administrador del domini d’Active Directory et pot dir el nom del host DNS.
En cas necessari, edita l’ID de l’ordinador.
L’ID de l’ordinador és el nom que rep l’ordinador al domini d’Active Directory i està preestablert amb el nom de l’ordinador. Pots canviar-ho per adaptar-te al sistema de nomenclatura de la teva organització. Si no n’estàs segur, demana-ho a l’administrador del domini d’Active Directory.
Important: Si el nom de l’ordinador conté un guió, potser no podràs vincular-te a un domini de directori com LDAP o Active Directory. Per establir una vinculació, canvia el nom de l’ordinador a un que no contingui un guió.
Si les opcions avançades no són visibles, fes clic al triangle desplegable que hi ha al costat de “Mostra les opcions”. També pots canviar els paràmetres d’opcions avançades més endavant.
(Opcional) Selecciona les opcions d’experiència d’usuari.
Consulta Configurar comptes d’usuari mòbils, Configurar carpetes d’inici per a comptes d’usuari i Configurar un intèrpret d’ordres UNIX per als comptes d’usuari d’Active Directory.
(Opcional) Selecciona les opcions d’assignació.
Consulta Assignar l’ID de grup, el GID principal i l’UID a un atribut d’Active Directory.
(Opcional) Selecciona les opcions administratives.
Servidor de domini preferit: per omissió, el macOS fa servir la informació sobre el lloc i la resposta del controlador de domini per determinar quin controlador de domini s’utilitzarà. Si aquí s’especifica un controlador de domini del mateix lloc, primer es consulta aquest controlador. Si el controlador de domini no està disponible, el macOS reverteix el valor perquè coincideixi amb el comportament per omissió.
Permetre administració a: quan aquesta opció està activada, els membres dels grups d’Active Directory de la llista (per omissió, els administradors del domini i de nivell corporatiu) reben privilegis d’administrador al Mac local. Aquí també pots especificar els grups de seguretat que vulguis.
Permetre autenticació des de qualsevol domini del bosc: per omissió, el macOS fa una cerca automàticament a tots els dominis per a l’autenticació. Per restringir l’autenticació exclusivament al domini al qual el Mac està vinculat, desmarca aquesta casella.
Consulta Controlar l’autenticació de tots els dominis al bosc d’Active Directory.
Fes clic a Unir i introdueix la informació següent:
Nota: L’usuari ha de tenir privilegis a Active Directory per vincular un ordinador al domini.
Nom d’usuari i Contrasenya: et pots autenticar introduint el nom i la contrasenya del teu compte d’usuari d’Active Directory o potser l’administrador de domini d’Active Directory haurà de proporcionar un nom i una contrasenya.
OU ordinador: introdueix la unitat organitzativa (OU) per a l’ordinador que configures.
Usar per a autenticació: indica si vols que Active Directory s’afegeixi a la política de cerca d’autenticació de l’ordinador.
Usar per a contactes: indica si vols que Active Directory s’afegeixi a la política de cerca d’autenticació de l’ordinador.
Fes clic a “D’acord”.
La Utilitat de Directoris estableix una vinculació de confiança entre l’ordinador que estàs configurant i el servidor Active Directory. Les polítiques de recerca de l’ordinador s’ajusten en funció de les opcions que has seleccionat en autenticar-te, mentre que Active Directory s’activa al tauler Serveis de la Utilitat de Directoris.
Amb la configuració avançada per a les opcions avançades d’Active Directory, el bosc d’Active Directory s’afegeix a la política de recerca d’autenticació i la política de recerca de contactes de l’ordinador si has seleccionat “Usar per a autenticació” o “Usar per a contactes”.
Tanmateix, abans de fer clic a “Vincula”, si desmarques “Permet l’autenticació des de qualsevol domini del bosc” a les opcions avançades administratives, s’afegeix el domini d’Active Directory més proper en comptes del bosc.
Pots canviar les polítiques de recerca més endavant afegint o eliminant el bosc d’Active Directory o dominis individuals. Consulta Definir les polítiques de recerca.
Vincular mitjançant un perfil de configuració
La càrrega útil de directoris en un perfil de configuració permet configurar un sol Mac, o automatitzar centenars d’ordinadors Mac, per a la vinculació a Active Directory. Tal com en altres càrregues útils de perfils de configuració, pots aplicar la càrrega útil de directoris manualment, mitjançant un script, com a part d’una activació de servei MDM o utilitzant una solució de gestió de clients.
Les càrregues útils formen part dels perfils de configuració i permeten als administradors gestionar parts específiques del macOS. Posa’t en contacte amb el teu proveïdor de solucions de gestió de dispositius mòbils (MDM) per rebre instruccions sobre com crear un perfil de configuració.
Vincular mitjançant la línia d’ordres
Pots utilitzar l’ordre dsconfigad
a l’app Terminal per vincular un Mac a Active Directory.
Per exemple, l’ordre següent es pot utilitzar per vincular un Mac a Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Després de vincular un Mac al domini, pots utilitzar dsconfigad
per especificar les opcions administratives de la Utilitat de Directoris:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opcions avançades de la línia d’ordres
El suport natiu per a Active Directory inclou opcions que no estan disponibles a la Utilitat de Directoris. Per veure aquestes opcions avançades, utilitza la càrrega útil Directori en un perfil de configuració o l’eina de línia d’ordres dsconfigad
.
Comença revisant les opcions de la línia d’ordres obrint la pàgina “man” de dsconfigad.
Interval de contrasenya d’objecte de l’ordinador
Quan un sistema Mac està vinculat a Active Directory, estableix una contrasenya de compte d’ordinador que es desa al clauer del sistema i és modificada automàticament pel Mac. L’interval de contrasenya per omissió és de 14 dies, però pots utilitzar la càrrega útil de directori o l’eina de línia d’ordres dsconfigad
per especificar qualsevol interval que la teva política requereixi.
Si especifiques el valor 0, es desactiva la modificació automàtica de la contrasenya del compte: dsconfigad -passinterval 0
Nota: La contrasenya d’objecte de l’ordinador es desa com un valor de contrasenya al clauer del sistema. Per recuperar la contrasenya, obre l’Accés a Clauers, selecciona el clauer del sistema i, tot seguit, selecciona la categoria Contrasenya. Busca una entrada similar a “/Active Directory/DOMINI”, on DOMINI és el nom NetBIOS del domini d’Active Directory. Fes doble clic en aquesta entrada i marca la casella “Mostra la contrasenya”. Autentica’t com a administrador local segons convingui.
Suport per a l’espai de noms
El macOS admet l’autenticació de diversos usuaris amb els mateixos noms curts (o noms d’inici de sessió) que hi ha als diferents dominis del bosc d’Active Directory. Activant el suport per a l’espai de noms amb la càrrega útil Directori o l’eina de línia d’ordres dsconfigad
, un usuari d’un domini pot tenir el mateix nom curt que un usuari d’un domini secundari. Els dos usuaris han d’iniciar sessió utilitzant el nom del seu domini seguit del seu nom curt (DOMINI\“nom curt”), d’una manera similar a l’inici de sessió en un PC amb Windows. Per activar aquest suport, utilitza l’ordre següent:
dsconfigad -namespace <bosc>
Signatura i encriptació de paquets
El client d’Open Directory pot signar i encriptar les connexions LDAP utilitzades per comunicar-se amb Active Directory. Amb el suport per a SMB signat al macOS, no hauria de ser necessari rebaixar la política de seguretat del lloc per incloure ordinadors Mac. Les connexions LDAP signades i encriptades també eliminen la necessitat d’utilitzar LDAP a través d’SSL. Si cal emprar connexions SSL, fes servir l’ordre següent per configurar Open Directory de manera que utilitzi SSL:
dsconfigad -packetencrypt ssl
Tingues en compte que els certificats utilitzats als controladors de domini han de ser de confiança per a l’encriptació SSL perquè funcionin correctament. Si els certificats del controlador de domini no són emesos des dels usuaris arrel del sistema, fiables i natius del macOS, instal·la i confia en la cadena de certificats al clauer Sistema. Les autoritats de certificació que, per omissió, el macOS considera fiables són al clauer “Arrel del sistema”. Per instal·lar certificats i establir la fiabilitat, fes una de les accions següents:
Importar l’arrel i tots els certificats intermedis necessaris utilitzant la càrrega útil de certificats en un perfil de configuració
Utilitzar l’Accés a Clauers, situat a /Apps/Utilitats/
Utilitza l’ordre “security” de la manera següent:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <ruta/a/l’arxiu/del certificat>
Restringir el DNS dinàmic
Per omissió, el macOS intenta actualitzar el seu registre Adreça (A) al DNS per a totes les interfícies. Si estan configurades diverses interfícies, pot ser que hi hagi diversos registres al DNS. Per gestionar aquest comportament, indica quina interfície es farà servir en actualitzar el DDNS (Sistema de Noms de Dominis Dinàmic) utilitzant la càrrega útil Directori o l’eina de línia d’ordres dsconfigad
. Especifica el nom BSD de la interfície al qual associar les actualitzacions del DDNS. El nom BSD és el mateix que figura al camp “Dispositiu” i el pots generar executant aquesta ordre:
networksetup -listallhardwareports
Quan utilitzes dsconfigad
en un script, has d’incloure la contrasenya de text sense encriptar per efectuar la vinculació al domini. Generalment, a un usuari d’Active Directory sense cap altre privilegi d’administrador se li delega la responsabilitat de vincular els ordinadors Mac al domini. Aquesta combinació de nom d’usuari i contrasenya es desa a l’script. És una pràctica habitual de l’script esborrar-se a si mateix després de la vinculació, per tal que aquesta informació deixi de ser al dispositiu d’emmagatzematge.