Konfigurer domæneadgang i Biblioteksværktøj på Mac
Vigtigt: Med de avancerede indstillinger i Active Directory-tilbehøret kan du overføre egenskaberne entydigt bruger-id (UID), primært gruppe-id (GID) og gruppe-id (GID) i macOS til de korrekte egenskaber i Active Directory-skemaet. Men hvis du ændrer disse indstillinger senere, mister brugerne måske adgangen til de arkiver, de tidligere har oprettet.
Sammenkæd vha. Biblioteksværktøj
I programmet Biblioteksværktøj på din Mac skal du klikke på Tjenester.
Klik på symbolet for låsen.
Skriv en administrators brugernavn og adgangskode, og klik derefter på Rediger konfiguration (eller brug Touch ID).
Vælg Active Directory, og klik derefter på knappen Rediger (ligner en blyant).
Skriv DNS-værtsnavnet på det Active Directory-domæne, som du vil sammenkæde med den computer, du konfigurerer.
Administratoren af Active Directory-domænet kan fortælle dig, hvad DNS-værtsnavnet er.
Rediger om nødvendigt computerens id.
Computerens id er det navn, som computeren har i Active Directory-domænet, og er forindstillet til navnet på computeren. Du kan ændre det, så det passer til organisationens navngivningsregler. Hvis du er i tvivl om, hvad du skal gøre, kan du spørge administratoren af Active Directory-domænet.
Vigtigt: Hvis din computers navn indeholder en bindestreg, kan du muligvis ikke oprette forbindelse til et biblioteksdomæne som LDAP eller Active Directory. Du etablerer sammenkædning ved at bruge et computernavn, som ikke indeholder en bindestreg.
(Valgfrit) Vælg indstillinger i vinduet Brugeroplevelse.
Se Indstil mobile brugerkonti, Indstil hjemmemapper til brugerkonti og Indstil en UNIX-shell til Active Directory-brugerkonti.
(Valgfrit) Vælg indstillinger i vinduet Overførsler.
Se Overfør gruppe-ID, primær GID og UID til en Active Directory-egenskab
(Valgfri) Vælg avancerede indstillinger. Du kan også ændre avancerede indstillinger senere.
Hvis de avancerede indstillinger er skjult, skal du klikke på trekanten i vinduet.
Brug denne domæneserver: macOS bruger som standard webstedsoplysninger og domænekontrolenheds reaktion til at afgøre, hvilken domænekontrolenhed der skal bruges. Hvis der er anført en domænekontrolenhed på det samme websted, konsulteres den først. Hvis domænekontrolenheden er utilgængelig, vender macOS tilbage til standardfunktion.
Tillad administration af: Når denne indstilling er slået til, gives medlemmer af de viste Active Directory-grupper (som standard domæne- og virksomhedsadministratorer) administrative rettigheder på den lokale Mac. Du kan også angive ønskede sikkerhedsgrupper her.
Tillad godkendelse fra domæner i strukturen: macOS gennemsøger som standard automatisk alle domæner efter godkendelse. For at begrænse godkendelse til den Mac, som domænet er sammenkædet med, skal du fravælge dette afkrydsningsfelt.
Se:
Klik på Sammenkæd, og skriv derefter følgende oplysninger:
Bemærk: Brugeren skal have rettigheder i Active Directory for at kunne sammenkæde en computer med et domæne.
Brugernavn og Adgangskode: Du kan måske blive godkendt ved at skrive navnet og adgangskoden til din Active Directory-brugerkonto. I modsat fald skal administratoren af Active Directory-domænet måske give dig et navn og en adgangskode.
Computer-OU: Skriv OU'en (organizational unit) til den computer, du konfigurerer.
Brug til godkendelse: Vælg, hvis du ønsker, at Active Directory skal føjes til computerens søgestrategi til godkendelse.
Brug til kontakter: Vælg, hvis du ønsker, at Active Directory skal føjes til computerens søgestrategi til kontakter.
Klik på OK.
Biblioteksværktøj indstiller godkendt sammenkædning mellem den computer, du konfigurerer, og Active Directory-serveren. Computerens søgestrategier indstilles i henhold til de valg, du foretog, da du blev godkendt, og Active Directory slås til i vinduet Tjenester i Biblioteksværktøj.
Med standardindstillinger til de avancerede muligheder i Active Directory føjes Active Directory-strukturen til computerens søgestrategi til godkendelse og/eller kontakter, hvis du har valgt indstillingen “Brug til godkendelse” og/eller “Brug til kontakter”.
Men hvis du fravælger “Tillad godkendelse fra domæner i strukturen” i vinduet Administrativ, før du klikker på Sammenkæd, tilføjes det nærmeste Active Directory-domæne i stedet for strukturen.
Du kan ændre søgestrategierne senere ved at tilføje og fjerne Active Directory-strukturen eller individuelle domæner. Se Definer søgestrategier.
Sammenkæd vha. en konfigurationsbeskrivelse
Biblioteksdataene i en konfigurationsbeskrivelse kan konfigurere en enkelt Mac eller automatisere hundredvis af Mac-computere for at sammenkæde dem med Active Directory. Som med andre konfigurationsbeskrivelsesdata kan du anvende biblioteksdataene manuelt, bruge en instruks, som en del af en MDM-tilmelding eller bruge en løsning til klientadministration.
Data er en del af konfigurationsbeskrivelser og giver administratorer lov til at administrere bestemte dele af macOS. Du vælger de samme funktioner i Beskrivelsesadministrator som i Biblioteksværktøj. Du vælger derefter, hvordan Mac-computerne skal få konfigurationsbeskrivelserne.
Hent macOS Server fra Mac App Store.
Gå til Server Help, og konfigurer derefter Profile Manager.
Åbn Indstillinger til Bibliotek i Indstillinger til administration af mobile enheder for IT for at oprette Active Directory-data.
Sammenkæd vha. kommandolinjen
Du kan bruge kommandoen dsconfigad
i programmet Terminal til at sammenkæde en Mac med Active Directory.
Følgende kommando kan f.eks. bruges til at sammenkæde en Mac med Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Når du har sammenkædet en Mac med domænet, kan du bruge dsconfigad
til at foretage administrative indstillinger i Biblioteksværktøj:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Avancerede kommandolinjeindstillinger
Den originale understøttelse af Active Directory inkluderer indstillinger, som du ikke ser i Biblioteksværktøj. Hvis du vil se disse avancerede indstillinger, skal du bruge biblioteksdataene i en konfigurationsbeskrivelse eller kommandolinjeværktøjet dsconfigad
.
Start med at gennemgå kommandolinjeindstillingerne ved at åbne dsconfigad man-siden.
Interval for computerens adgangskode
Når et Mac-system er sammenkædet med Active Directory, indstiller det en adgangskode til computerkontoen, som opbevares i systemets nøglering og automatisk ændres af Mac-computeren. Intervallet for standardadgangskoden er 14 dage, men du kan bruge biblioteksdataene eller kommandolinjeværktøjet dsconfigad
til at sætte et interval, som overholder din politik.
Hvis du sætter værdien til 0, slå automatisk ændring af adgangskoden til kontoen fra: dsconfigad -passinterval 0
Bemærk: Adgangskoden til computeren lagres som en adgangskodeværdi i systemets nøglering. Du henter adgangskoden ved at åbne Hovednøglering, vælge systemets nøglering og derefter vælge kategorien Nøglering. Find den optegnelse, der ligner denne /Active Directory/DOMAIN, hvor DOMAIN er NetBIOS-navnet på Active Directory-domænet. Dobbeltklik på denne optegnelse, og vælg derefter afkrydsningsfeltet “Vis adgangskode”. Bliv godkendt som lokal administrator efter behov.
Understøttelse af navneområde
macOS understøtter godkendelse af flere brugere med de samme korte navne (eller log ind-navne), som findes i forskellige domæner i Active Directory-strukturen. Ved at slå understøttelse af navneområde til med biblioteksdataene eller kommandolinjeværktøjet dsconfigad
kan en bruger i et domæne have det samme korte navn som en bruger i et sekundært domæne. Begge brugere skal logge ind med navnet på deres domæne efterfulgt at deres korte navn (DOMAIN\kort navn) ligesom når man logger ind på en Windows-computer. Brug følgende kommando til at slå denne understøttelse til:
dsconfigad -namespace <forest>
Signering og kryptering af pakker
Open Directory-klienten kan signere og kryptere de LDAP-forbindelser, der bruges til kommunikation med Active Directory. Med den signerede SMB-understøttelse i macOS skulle det ikke være nødvendigt at nedgradere webstedets sikkerhedspolitik til at tage hensyn til Mac-computere. De signerede og krypterede LDAP-forbindelse fjerner også alle behov for at bruge LDAP via SSL. Hvis der kræves SSL-forbindelse, skal du bruge følgende kommando til at konfigurere Open Directory til at bruge SSL:
dsconfigad -packetencrypt ssl
Bemærk, at de certifikater, der bruges på domænekontrolenhederne, skal være godkendt til SSL-kryptering for at kunne bruges. Hvis certifikaterne til domænekontrolenheder ikke er udstedt fra de originale, godkendte system roots i macOS, skal du installere og godkende certifikatkæden i systemets nøglering. Certifikatmyndigheder godkendt som standard i macOS findes i nøgleringen System Roots. Du installerer certifikater og godkender på en af følgende måder:
Importer rodcertifikatet og evt. midlertidige certifikater, der bruger certifikatdataene i en konfigurationsbeskrivelse
Brug Hovednøglering, som ligger i /Programmer/Hjælpeprogrammer/
Brug sikkerhedskommandoen som følger:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <sti/til/certifikatarkiv>
Begræns dynamisk DNS
macOS forsøger som standard at opdatere sin adressepost (A) i DNS til alle grænseflader. Hvis der er konfigureret flere grænseflader, kan det resultere i flere poster i DNS. Du administrerer det ved at angive, hvilke grænseflader der skal bruges ved opdatering af DDNS (Dynamic Domain Name System) ved brug af biblioteksdataene eller kommandolinjeværktøjet dsconfigad
. Anfør BSD-navnet på den grænseflade, hvori DDNS-opdateringerne skal forbindes. BSD-navnet er det samme som enhedsfeltet, der returneres ved afvikling af denne kommando:
networksetup -listallhardwareports
Når du bruger dsconfigad
i en instruks, skal du inkludere den ukodede adgangskode, der bruges til sammenkædning med domænet. En Active Directory-bruger uden administratortilladelser får typisk ansvaret for at sammenkæde Mac-computere med domænet. Brugernavnet og adgangskoden lagres i instruksen. Det er normalt, at instruksen sletter sig selv sikkert efter sammenkædning, så oplysningerne ikke længere findes på lagringsenheden.