Nastavení přístupu k doméně
Důležité: Pomocí pokročilých voleb konektoru Active Directory můžete přiřadit jedinečný atribut ID uživatele (UID), ID primární skupiny (GID) nebo GID skupiny v systému macOS k odpovídajícím atributům ve schématu Active Directory. Pokud však později tato nastavení změníte, může se stát, že uživatelé ztratí přístup k dříve vytvořeným souborům.
Otevřít Adresářovou utilitu pro mě
Svázání pomocí Adresářové utility
Klikněte na ikonu Služby.
Klikněte na ikonu zámku.
Zadejte uživatelské jméno a heslo správce a potom klikněte na Změnit konfiguraci (nebo použijte Touch ID).
Vyberte Active Directory a klikněte na tlačítko Upravit (s obrázkem tužky).
Zadejte název DNS hostitele pro doménu Active Directory, kterou chcete vazbou propojit s konfigurovaným počítačem.
Název DNS hostitele, který je třeba zadat, zjistíte u správce domény Active Directory.
V případě potřeby upravte ID počítače.
ID počítače je název, pod nímž je počítač identifikován v doméně Active Directory. Ve výchozím nastavení se ID počítače shoduje s názvem počítače. Můžete ho změnit tak, aby odpovídal způsobům pojmenovávání ve vaší organizaci. Pokud si nejste jisti, zeptejte se správce domény Active Directory.
Důležité: Obsahuje-li název vašeho počítače spojovník, je možné, že nebudete moci k adresářové doméně (jako je LDAP nebo Active Directory) vytvořit vazbu. K vytvoření vazby použijte název počítače, který pomlčku neobsahuje.
(Volitelné) Vyberte volby na panelu Činnost koncového uživatele.
Další informace najdete v částech Nastavení mobilních uživatelských účtů, Nastavení domovských složek pro uživatelské účty a Nastavení UNIX shellu pro uživatelské účty Active Directory.
(Volitelné) Vyberte volby na panelu Přiřazení.
Více informací viz Přiřazení ID skupiny, primárního GID a UID k atributu Active Directory.
(Volitelné) Vyberte pokročilé volby. Nastavení pokročilých voleb můžete upravit také později.
Jsou-li pokročilé volby skryté, klikněte v okně na rozbalovací trojúhelníček.
Preferovat tento doménový server: Ve výchozím nastavení macOS používá informace o místě a odezvě doménového řadiče k určení řadiče, který má být použit. Pokud je zde určen řadič domény ve stejném místě, bude dotázán jako první. Je-li řadič domény nedostupný, systém macOS se vrátí k výchozímu chování.
Povolit správu uživateli: Když je aktivována tato volba, členové uvedených skupin Active Directory (standardně doménoví a podnikoví správci) mají oprávnění pro správu místního Macu. Můžete zde také určit požadované skupiny zabezpečení.
Povolit ověření totožnosti z jakékoli domény v doménové struktuře: Ve výchozím nastavení systém macOS automaticky prohledá všechny domény kvůli ověření totožnosti. Abyste ověřování totožnosti omezili pouze na doménu, se kterou je Mac svázán, zrušte výběr tohoto políčka.
Další informace o pokročilých volbách v Adresářové utilitě najdete v části:
Klikněte na Vytvořit vazbu a zadejte následující informace:
Poznámka: Aby mohl uživatel svázat počítač s doménou, musí mít oprávnění ve službě Active Directory.
Uživatel a heslo: Svoji totožnost můžete prokázat zadáním jména a hesla svého uživatelského účtu Active Directory nebo vám jméno a heslo musí přidělit správce domény Active Directory.
OU počítače: Zadejte údaj o organizační jednotce (OU), k níž konfigurovaný počítač náleží.
Použít pro ověření totožnosti: Určete, zda má být služba Active Directory přidána do zásad hledání pro ověřování totožnosti počítače.
Použít pro kontakty: Určete, zda má být služba Active Directory přidána do zásad hledání kontaktů počítače.
Klikněte na tlačítko OK.
Adresářová utilita nakonfiguruje důvěryhodnou vazbu mezi konfigurovaným počítačem a serverem služby Active Directory. Zásady hledání počítače budou nastaveny podle voleb, které jste vybrali při ověření totožnosti, a služba Active Directory bude aktivována v Adresářové utilitě na panelu Služby.
Při výchozím nastavení pokročilých voleb služby Active Directory bude do zásad hledání pro ověřování totožnosti a do zásad hledání kontaktů přidána doménová struktura služby Active Directory (pokud jste zaškrtli políčko „Použít pro ověření totožnosti“, resp. „Použít pro kontakty“).
Pokud jste však před kliknutím na tlačítko Vytvořit vazbu v pokročilých volbách na panelu Správa zrušili zaškrtnutí políčka „Povolit ověření totožnosti z jakékoli domény v doménové struktuře“, bude namísto této doménové struktury přidána nejbližší doména služby Active Directory.
Zásady hledání můžete upravit také později přidáním nebo odebráním doménové struktury Active Directory nebo jednotlivých domén. Další informace najdete v části Definování zásad pro hledání.
Svázání pomocí konfiguračního profilu
Datová část adresáře v konfiguračním profilu umožňuje nakonfigurovat jeden Mac nebo automatizovat stovky Maců ke svázání se službou Active Directory. Stejně jako v případě jiných datových částí konfiguračních profilů můžete nasadit datovou část adresáře ručně, pomocí skriptu, v rámci zápisu MDM nebo použitím řešení pro správu klientů.
Datové části jsou součástí konfiguračních profilů a umožňují správcům řídit různé části systému macOS. V nástroji Profile Manager vyberete stejné funkce, jako byste vybrali v Adresářové utilitě. Poté vyberete, jak počítače Mac získají konfigurační profil.
Stáhněte si macOS Server z Mac App Storu.
Přejděte do části nápověda k nástroji Profile Manager a nakonfigurujte nástroj Profile Manager.
Otevřením Nastavení adresáře v nápovědě pro Profile Manager vytvoříte datovou část Active Directory.
Svázání pomocí příkazového řádku
Můžete použít příkaz dsconfigad
v aplikaci Terminál ke svázání Macu se službou Active Directory.
Ke svázání Macu se službou Active Directory lze použít například následující příkaz:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Po svázání Macu s doménou můžete použít příkaz dsconfigad
k nastavení voleb správy v Adresářové utilitě:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Pokročilé volby příkazového řádku
Nativní podpora služby Active Directory zahrnuje volby, které nejsou v Adresářové utilitě viditelné. Abyste tyto pokročilé volby viděli, použijte datovou část adresáře v konfiguračním profilu; nebo nástroj příkazového řádku dsconfigad
.
Začněte prohlížet volby příkazového řádku otevřením manuálových stránek dsconfigad.
Interval hesla objektu počítače
Když je systém Mac svázán se službou Active Directory, je nastaveno heslo počítačového účtu uložené v systémovém svazku klíčů a Mac jej automaticky mění. Výchozí interval hesla je každých 14 dní, můžete však použít datovou část adresáře nebo nástroj příkazového řádku dsconfigad
k nastavení jakéhokoli intervalu vyžadovaného vašimi pravidly.
Nastavením hodnoty 0 zakážete automatickou změnu hesla účtu: dsconfigad -passinterval 0
Poznámka: Heslo objektu počítače je uloženo jako hodnota v systémovém svazku klíčů. Abyste heslo získali, otevřete Klíčenku, vyberte systémový svazek klíčů a vyberte kategorii Hesla. Vyberte položku /Active Directory/DOMÉNA, kde DOMÉNA představuje název NetBIOS domény Active Directory. Na tento záznam dvakrát klikněte a poté zaškrtněte políčko „Zobrazit heslo“. Dle potřeby ověřte svoji totožnost jako místní správce.
Podpora oborů názvů
Systém macOS podporuje ověřování totožnosti více uživatelů se stejným krátkým jménem (přihlašovacím jménem), kteří se nacházejí v různých doménách v rámci doménové struktury Active Directory. Díky povolení podpory oborů názvů pomocí datové části adresáře nebo nástroje příkazového řádku dsconfigad
může mít uživatel v jedné doméně stejné krátké jméno jako uživatel v jiné doméně. Oba uživatelé se musejí přihlašovat pomocí názvu své domény a svého krátkého jména (DOMÉNA\krátké jméno), podobně jako při přihlašování k počítači s Windows. Abyste tuto podporu umožnili, použijte následující příkaz:
dsconfigad -namespace <struktura>
Podepisování a šifrování paketů
Klient Open Directory může podepisovat a šifrovat spojení LDAP používaná ke komunikaci se službou Active Directory. S podepsanou podporou SMB v macOS by nemělo být třeba snižovat úroveň pravidel zabezpečení místa kvůli používání počítačů Mac. Podepsaná a zašifrovaná spojení LDAP zároveň eliminují jakoukoli potřebu používat LDAP přes protokol SSL. Pokud jsou vyžadována spojení SSL, použijte následující příkaz ke konfiguraci Open Directory pro použití protokolu SSL:
dsconfigad -packetencrypt ssl
Pamatujte, že certifikáty používané řadiči domény musejí být důvěryhodné, aby bylo šifrování SSL úspěšné. Pokud certifikáty doménových řadičů nejsou vydány z nativních důvěryhodných systémových kořenů macOS, nainstalujte a nastavte důvěryhodnost řetězu certifikátů v systémovém svazku klíčů. Certifikační autority standardně důvěryhodné v macOS se nacházejí ve svazku klíčů System Roots. Chcete-li nainstalovat certifikáty a nastavit důvěryhodnost, proveďte jeden z následujících úkonů:
Importujte kořenové a jakékoli jiné nezbytné intermediální certifikáty pomocí datové části certifikátů v konfiguračním profilu
Použijte Klíčenku, kterou najdete v umístění /Applications/Utilities/
Použijte příkaz zabezpečení následovně:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <cesta/k/souboru/certifikátu>
Omezení dynamického DNS
Systém macOS se standardně snaží aktualizovat svůj záznam Adresa (A) v systému DNS pro všechna rozhraní. V případě konfigurace více rozhraní může dojít k vytvoření více záznamů v systému DNS. Kvůli řízení tohoto chování určete, které rozhraní použít při aktualizaci systému DDNS (Dynamic Domain Name System) pomocí datové části adresáře nebo nástroje příkazového řádku dsconfigad
. Určete název BSD pro rozhraní, ve kterém mají být přidruženy aktualizace DDNS. Název BSD se shoduje s polem Zařízení, které je vráceno po spuštění tohoto příkazu:
networksetup -listallhardwareports
Při použití příkazu dsconfigad
ve skriptu musíte zahrnout heslo v prostém textu, které slouží ke svázání domény. Obvykle je odpovědnost za vázání počítačů Mac k doméně delegována na uživatele služby Active Directory bez dalších oprávnění správce. Tato kombinace uživatelského jména a hesla je uložena ve skriptu. Běžnou praxí je nastavit skript tak, aby se po navázání bezpečně smazal, aby dané informace již nebyly takto uchovány v úložném zařízení.