Vorbereiten auf macOS Sierra 10.12 mit Active Directory

Hier findest du Informationen zu den Anforderungen für den Einsatz von MacOS Sierra mit Active Directory.

Active Directory-Benutzern unter macOS Sierra wird möglicherweise eine Nachricht wie diese angezeigt, wenn sie versuchen, mit dem kinit-Befehl in Terminal ein Kerberos Ticket Granting Ticket (TGT) zu erhalten:

Der für die Authentifizierung verwendete Verschlüsselungstyp arcfour-hmac-md5(23) ist schwach und wird nicht empfohlen.

Wenn du diese Meldung siehst, unterstützt deine Active Directory-Domain nur die RC4-Verschlüsselung für Kerberos. Da dieser Verschlüsselungstyp schwach ist, wird die RC4-Verschlüsselung für Kerberos in einer zukünftigen Version von macOS nicht mehr unterstützt.

Während Active Directory-Clients von macOS Sierra weiterhin RC4 verwenden, solltest du deine Active Directory-Domain und -Gesamtstruktur so konfigurieren, dass sie die AES-128- oder AES-256-Verschlüsselung für Kerberos verwenden, um die Kompatibilität auch in Zukunft sicherzustellen.

Finde heraus, ob du eine Kerberos AES-Verschlüsselung verwendest

Um sicherzustellen, dass du die Kerberos AES-Verschlüsselung verwendest, kannst du den kinit-Befehl mit dem Flag -e ausführen, um beim Abrufen eines TGT ausdrücklich die AES-Verschlüsselung anzufordern. Beispiel:

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM

Wenn dieser Befehl funktioniert, unterstützt deine Active Directory-Umgebung die AES-128-Verschlüsselung von Kerberos. Wenn der Befehl fehlschlägt, wird eine Fehlermeldung angezeigt:

kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC

Wenn dir diesen Fehler angezeigt wird, unterstützt deine Active Directory-Domain keine AES-Verschlüsselung und ist in Zukunft nicht mehr mit macOS-Clients kompatibel.

Erfahre hier etwas über andere Änderungen, auf die du deine Organisation möglicherweise vorbereiten musst, bevor du ein Update auf iOS 10 oder macOS Sierra durchführst.