Konfigurieren des Domain-Zugriffs in der App „Verzeichnisdienste“ auf dem Mac
Wichtig: Die erweiterten Optionen der ADC-Komponente bieten dir die Möglichkeit, die eindeutige macOS-Benutzer-ID (UID), die primäre Gruppen-ID (GID) und die Gruppen-GID-Attribute den richtigen Attributen im Active Directory-Schema zuzuordnen. Wenn du die Einstellungen zu einem späteren Zeitpunkt änderst, können Benutzer den Zugriff auf zuvor erstellte Dateien verlieren.
App „Verzeichnisdienste“ öffnen
Bindung mit der App „Verzeichnisdienste“ herstellen
Klicke in der App „Verzeichnisdienste“ auf deinem Mac auf „Dienste“.
Klicke auf das Schlosssymbol.
Gib den Benutzernamen eines Administrators und das zugehörige Passwort ein und klicke auf „Konfiguration verändern“ (oder verwende Touch ID).
Wähle „Active Directory“ und klicke dann auf die Taste „Einstellungen für den ausgewählten Dienst bearbeiten“ .
Gib den DNS-Hostnamen der Active Directory-Domain ein, an die der Computer, den du konfigurierst, angebunden werden soll.
Den DNS-Hostnamen kannst du beim Administrator der Active Directory-Domain erfahren.
Bearbeite bei Bedarf die Computer-ID.
Die Computer-ID ist der Name, unter dem der Computer in der Active Directory-Domain bekannt ist. Als Voreinstellung wird dafür der Name des Computers verwendet. Du kannst den Namen ändern, damit er dem Benennungsschema deiner Organisation konform ist. Bei Unsicherheiten wende dich an den Administrator der Active Directory-Domain.
Wichtig: Falls der Name eines Computers einen Bindestrich (-) enthält, besteht die Gefahr, dass der Versuch scheitert, die Verbindung zu einer Verzeichnis-Domain wie LDAP oder Active Directory herzustellen. Für den Beitritt musst du gegebenenfalls den Bindestrich aus dem Namen des betreffenden Computers entfernen.
Sind die erweiterten Optionen ausgeblendet, klicke auf das Dreiecksymbol neben „Optionen einblenden“. Du kannst die Einstellungen für erweiterte Optionen auch zu einem späteren Zeitpunkt ändern.
(Optional) Wähle die Optionen im Bereich „Benutzereinstellungen“ aus.
Weitere Informationen findest du unter Einrichten mobiler Benutzeraccounts, Einrichten von Benutzerordnern für Benutzeraccounts und Einrichten einer UNIX-Shell für Active Directory-Benutzeraccounts.
(Optional) Wähle die Optionen im Bereich „Pfade“ aus.
Weitere Informationen findest du unter Zuordnen der Gruppen-ID in Gruppenaccounts zu einem Active Directory-Attribut.
(Optional) Wähle die Optionen im Bereich „Administration“ aus.
Bevorzugter Domain-Server: Standardmäßig verwendet macOS Standortinformationen und das Antwortverhalten eines Domain-Controllers, um den Domain-Controller zu ermitteln, der verwendet werden soll. Befindet sich ein Domain-Controller am hier angegebenen Standort, wird er als erster konsultiert. Ist der Domain-Controller nicht verfügbar, kehrt macOS zum Standardverhalten zurück.
Verwaltung ermöglichen durch: Ist diese Option aktiviert, erhalten Mitglieder der aufgelisteten Active Directory-Gruppen (standardmäßig Domain- und Unternehmens-Admins) Administratorrechte für den lokalen Mac. Hier kannst du auch die gewünschten Sicherheitsgruppen festlegen.
Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen: Standardmäßig durchsucht macOS für die Authentifizierung automatisch alle Domains. Soll die Authentifizierung nur auf die Domain beschränkt werden, in der der Mac eingebunden ist, deaktiviere dieses Markierungsfeld.
Weitere Informationen findest du unter Steuern der Authentifizierung aus allen Domains in der Active Directory-Gesamtstruktur.
Klicke auf „Einbinden“, um folgende Informationen einzugeben:
Hinweis: Der Benutzer muss über Zugriffsrechte in Active Directory verfügen, um einen Computer an die Domain zu binden.
Benutzername und Passwort: Möglicherweise kannst du dich durch Eingabe des Namens und des Passworts deines Active Directory-Benutzeraccounts authentifizieren. Andernfalls muss dir der Administrator der Active Directory-Domain einen Namen und ein Passwort mitteilen.
Computer OU: Gib die Organisationseinheit (Organizational Unit bzw. OU) für den Computer ein, den du konfigurierst.
Für Authentifizierung verwenden: Wähle diese Option, wenn Active Directory dem Suchpfad deines Computers für die Authentifizierung hinzugefügt werden soll.
Für Kontakte verwenden: Wähle diese Option, wenn Active Directory dem Suchpfad deines Computers für Kontakte hinzugefügt werden soll.
Klicke auf „OK“.
Die App „Verzeichnisdienste“ konfiguriert eine vertrauenswürdige Bindung zwischen dem Computer, den du gerade konfigurierst, und dem Active Directory-Server. Die Suchpfade des Computers werden gemäß den Optionen konfiguriert, die du ausgewählt hast, als du dich authentifiziert hast. Außerdem wird „Active Directory“ im Bereich „Dienste“ der App „Verzeichnisdienste“ aktiviert.
Mit den Standardeinstellungen für die erweiterten Optionen von Active Directory wird die Active Directory-Gesamtstruktur dem Suchpfad des Computers für die Authentifizierung und für Kontakte hinzugefügt, wenn du die Option „Für Authentifizierung verwenden“ oder „Für Kontakte verwenden“ ausgewählt hast.
Wenn du jedoch die Option „Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ im Abschnitt für erweiterte administrative Optionen deaktivierst, bevor du auf „Einbinden“ klickst, wird anstelle der Gesamtstruktur die nächstgelegene Active Directory-Domain hinzugefügt.
Du kannst die Suchpfade zu einem späteren Zeitpunkt ändern, indem du die Active Directory-Gesamtstruktur oder einzelne Domains hinzufügst oder löschst. Weitere Informationen findest du unter Definieren von Suchpfaden.
Bindung mit einem Konfigurationsprofil herstellen
Die Verzeichnis-Payload in einem Konfigurationsprofil kann einen einzelnen Mac konfigurieren oder die Konfiguration von hunderten von Mac-Computern automatisieren, um eine Verbindung zu Active Directory herzustellen. Wie bei anderen Payloads in Konfigurationsprofilen kannst du die Verzeichnis-Payload manuell mit einem Skript als Teil einer MDM-Registrierung implementieren oder verwende hierzu eine Clientverwaltungslösung.
Payloads sind Bestandteil von Konfigurationsprofilen und ermöglichen Administratoren die Verwaltung spezieller macOS-Komponenten. Du wählst dieselben Funktionen im Profilmanager, die du auch in der App „Verzeichnisdienste“ wählst. Wähle dann aus, wie Mac-Computer das Konfigurationsprofil erhalten.
Führe in der der App „Server“ auf dem Mac einen der folgenden Schritte aus:
Weitere Informationen zum Einrichten des Profilmanagers findest du unter Starten des Profilmanagers im macOS Server – Benutzerhandbuch.
Weitere Informationen zum Payload „Active Directory“ findest du unter Einstellungen der MDM-Payload „Verzeichnis“ für Apple-Geräte im Abschnitt „Einstellungen für die Mobilgeräteverwaltung für IT-Administratoren“.
Wenn die App „Server“ noch nicht installiert ist, kannst du die Software aus dem Mac App Store laden.
Bindung mit der Befehlszeile herstellen
Du kannst den dsconfigad
-Befehl in der Terminal-App verwenden, um einen Mac an Active Directory zu binden.
Der folgende Befehl kann beispielsweise verwendet werden, um die Bindung von einem Mac an Active Directory herzustellen:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Nachdem der Mac an die Domain gebunden wurde, kannst du dsconfigad
verwenden, um die administrativen Optionen in den Verzeichnisdiensten festzulegen:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Erweiterte Befehlszeilenoptionen
Die native Unterstützung von Active Directory umfasst Optionen, die nicht in den Verzeichnisdiensten angezeigt werden. Verwende zum Anzeigen der erweiterten Optionen entweder die Verzeichnis-Payload in einem Konfigurationsprofil oder das Befehlszeilenprogramm dsconfigad
.
Öffne zum Anzeigen der Befehlszeilenoptionen die dsconfigad-man-Seite.
Intervall für Computerobjektpasswort
Wenn ein Mac-System an Active Directory gebunden ist, legt Active Directory ein Computeraccountpasswort fest, das im Systemschlüsselbund gespeichert und automatisch vom Mac geändert wird. Das Standardintervall für das Passwort sind 14 Tage. Du kannst das Intervall jedoch mit der Verzeichnis-Payload oder dem dsconfigad
-Befehlszeilenprogramm gemäß den geltenden Richtlinien ändern.
Wird der Wert auf 0 festgelegt, wird die automatische Änderung des Accountpassworts deaktiviert: dsconfigad -passinterval 0
Hinweis: Das Computerobjektpasswort wird als Passwortwert im Systemschlüsselbund gesichert. Zum Abrufen des Passworts öffne die Schlüsselbundverwaltung und wähle den Systemschlüsselbund und dann die Kategorie „Passwörter“. Suche nach einem Eintrag wie „/Active Directory/DOMAIN“. DOMAIN ist hierbei der NetBIOS-Name der Active Directory-Domain. Wähle den Eintrag durch Doppelklicken aus und markiere dann das Feld „Passwort einblenden“. Authentifiziere dich als lokaler Administrator.
Namespace-Unterstützung
macOS unterstützt die Authentifizierung mehrerer Benutzer mit denselben Kurznamen (oder Anmeldenamen), die in unterschiedlichen Domains innerhalb der Active Directory-Gesamtstruktur vorhanden sind. Durch Aktivieren der Namespace-Unterstützung mit der Verzeichnis-Payload oder dem dsconfigad
-Befehlszeilenprogramm kann ein Benutzer in einer Domain denselben Kurznamen haben, wie ein Benutzer einer zweiten Domain. Beide Benutzer müssen sich mit dem Namen ihrer Domain gefolgt von ihren Kurznamen (DOMAIN\Kurzname) ähnlich wie bei der Anmeldung bei einem Windows-PC anmelden. Verwende zum Aktivieren dieser Unterstützung den folgenden Befehl:
dsconfigad -namespace <forest>
Paketsignierung und -verschlüsselung
Der Open Directory-Client kann die LDAP-Verbindungen signieren und verschlüsseln, die für die Kommunikation mit Active Directory verwendet werden. Mit der signierten SMB-Unterstützung in macOS sollte es nicht erforderlich sein, die Sicherheitsrichtlinien herabzustufen, um Mac-Computern Rechnung zu tragen. Durch signierte und verschlüsselte LDAP-Verbindungen wird die Verwendung von LDAP über SSL ebenfalls überflüssig. Wenn SSL-Verbindungen erforderlich sind, verwende den folgenden Befehl, um Open Directory für die Verwendung von SSL zu konfigurieren:
dsconfigad -packetencrypt ssl
Beachte, dass die auf den Domain-Controllern verwendeten Zertifikate für die SSL-Verschlüsselung als vertrauenswürdig eingestuft sein müssen, um erfolgreich ausgeführt zu werden. Wurden die Domain-Controller-Zertifikate nicht von macOS nativen vertrauenswürdigen System-Roots ausgegeben, installiere die Zertifikatskette im Systemschlüsselbund und stufe sie als vertrauenswürdig ein. Standardmäßig als vertrauenswürdig anerkannte Zertifizierungsstellen in macOS befinden sich im Schlüsselbund „System Roots“. Führe einen der folgenden Schritte aus, um Zertifikate zu installieren und deren Vertrauenswürdigkeit zu bestätigen:
Importiere das Root-Zertifikat und alle erforderlichen anderen Zertifikate mithilfe der Zertifikate-Payload in einem Konfigurationsprofil
Verwende das Programm „Schlüsselbundverwaltung“, das sich im Ordner „/Programme/Dienstprogramme“ befindet
Verwende den Sicherheitsbefehl wie folgt:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Einschränken des dynamischen DNS
macOS versucht standardmäßig seinen Adresseintrag (A) in DNS für alle Schnittstellen zu aktualisieren. Werden mehrere Schnittstellen konfiguriert, kann dies zu mehreren Einträgen in DNS führen. Gib zum Steuern dieses Verhaltens an, welche Schnittstelle beim Aktualisieren des DDNS (Dynamic Domain Name System) aktualisiert werden soll. Verwende hierzu die Verzeichnis-Payload oder das dsconfigad
-Befehlszeilenprogramm. Gib den BSD-Namen der Schnittstelle an, die bei DDNS-Aktualisierungen verwendet werden soll. Der BSD-Name entspricht dem im Feld „Gerät“ und wird durch diesen Befehl ausgeführt:
networksetup -listallhardwareports
Wird dsconfigad
in einem Skript verwendet, musst du das Passwort in reinem Text eingeben, das für die Bindung an die Domain verwendet wurde. Normalerweise wird einem Active Directory-Benutzer ohne andere Administratorrechte die Verantwortung übertragen, Mac-Computer mit der Domain zu verbinden. Name und Passwort dieses Benutzers wird im Skript gespeichert. Im Allgemeinen löscht sich das Skript nach dem Herstellen der Bindung selbst, sodass sich diese Informationen nicht mehr auf dem Speichergerät befinden.