Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Vorbereiten auf macOS Sierra 10.12 mit Active Directory

Hier findest du Informationen zu den Anforderungen für den Einsatz von MacOS Sierra mit Active Directory.

Diese Empfehlungen sollten von deinen Active Directory-Administratoren überprüft werden, um festzustellen, ob sie für deine Organisation geeignet sind.

Wenn du der Meinung bist, dass diese Änderung dich betrifft, kontaktiere den Systemadministrator deiner Organisation.

Active Directory-Benutzern unter macOS Sierra wird möglicherweise eine Nachricht wie diese angezeigt, wenn sie versuchen, mit dem kinit-Befehl in Terminal ein Kerberos Ticket Granting Ticket (TGT) zu erhalten:

Der für die Authentifizierung verwendete Verschlüsselungstyp arcfour-hmac-md5(23) ist schwach und wird nicht empfohlen.

Wenn du diese Meldung siehst, unterstützt deine Active Directory-Domain nur die RC4-Verschlüsselung für Kerberos. Da dieser Verschlüsselungstyp schwach ist, wird die RC4-Verschlüsselung für Kerberos in einer zukünftigen Version von macOS nicht mehr unterstützt.

Während Active Directory-Clients von macOS Sierra weiterhin RC4 verwenden, solltest du deine Active Directory-Domain und -Gesamtstruktur so konfigurieren, dass sie die AES-128- oder AES-256-Verschlüsselung für Kerberos verwenden, um die Kompatibilität auch in Zukunft sicherzustellen.

Finde heraus, ob du eine Kerberos AES-Verschlüsselung verwendest

Um sicherzustellen, dass du die Kerberos AES-Verschlüsselung verwendest, kannst du den kinit-Befehl mit dem Flag -e ausführen, um beim Abrufen eines TGT ausdrücklich die AES-Verschlüsselung anzufordern. Beispiel:

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM

Wenn dieser Befehl funktioniert, unterstützt deine Active Directory-Umgebung die AES-128-Verschlüsselung von Kerberos. Wenn der Befehl fehlschlägt, wird eine Fehlermeldung angezeigt:

kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC

Wenn dir diesen Fehler angezeigt wird, unterstützt deine Active Directory-Domain keine AES-Verschlüsselung und ist in Zukunft nicht mehr mit macOS-Clients kompatibel.

Erfahre hier etwas über andere Änderungen, auf die du deine Organisation möglicherweise vorbereiten musst, bevor du ein Update auf iOS 10 oder macOS Sierra durchführst.

Veröffentlichungsdatum: