Ρύθμιση παραμέτρων πρόσβασης σε τομέα
Σημαντικό: Με τις προηγμένες επιλογές του στοιχείου σύνδεσης Active Directory, μπορείτε να αντιστοιχίζετε το χαρακτηριστικό μοναδικού αναγνωριστικού χρήστη (UID), το χαρακτηριστικό αναγνωριστικού κύριας ομάδας (GID) και τα χαρακτηριστικά GID ομάδας του macOS στα σωστά χαρακτηριστικά στο σχήμα Active Directory. Ωστόσο, αν αλλάξετε αργότερα αυτές τις ρυθμίσεις, οι χρήστες ενδέχεται να μην μπορούν πλέον να προσπελάσουν αρχεία που δημιούργησαν παλαιότερα.
Άνοιγμα του Βοηθήματος καταλόγου
Σύνδεση μέσω Βοηθήματος καταλόγου
Κάντε κλικ στις «Υπηρεσίες».
Κάντε κλικ στο εικονίδιο κλειδώματος.
Εισαγάγετε όνομα και συνθηματικό διαχειριστή και στη συνέχεια κάντε κλικ στην «Τροποποίηση ρύθμισης παραμέτρων» (ή χρησιμοποιήστε το Touch ID).
Επιλέξτε Active Directory και μετά κάντε κλικ στο κουμπί «Επεξεργασία» (μοιάζει με μολύβι).
Εισαγάγετε το όνομα υπολογιστή υπηρεσίας DNS του τομέα Active Directory που θέλετε να δεσμεύσετε στον υπολογιστή τον οποίο διαμορφώνετε.
Ο διαχειριστής του τομέα Active Directory μπορεί να σας δώσει το όνομα υπολογιστή υπηρεσίας DNS.
Αν χρειάζεται, επεξεργαστείτε το αναγνωριστικό υπολογιστή.
Το αναγνωριστικό υπολογιστή, το όνομα με το οποίο είναι γνωστός ο υπολογιστής στον τομέα Active Directory, από προεπιλογή είναι το όνομα του ίδιου του υπολογιστή. Μπορείτε να το αλλάξετε για συμμόρφωση με το σχήμα ονοματοδοσίας του οργανισμού σας. Αν δεν είστε βέβαιοι, ρωτήστε τον διαχειριστή του τομέα Active Directory.
Σημαντικό: Αν το όνομα υπολογιστή σας περιέχει παύλα, ίσως να μην έχετε τη δυνατότητα δέσμευσης σε έναν τομέα καταλόγου, όπως π.χ. LDAP ή Active Directory. Για να καθιερώσετε τη δέσμευση, χρησιμοποιήστε ένα όνομα υπολογιστή που δεν περιέχει παύλα.
(Προαιρετικό) Επιλέξτε επιλογές στο τμήμα «Εμπειρία χρήστη».
Για περισσότερες πληροφορίες, δείτε τις ενότητες Διαμόρφωση φορητών λογαριασμών χρηστών, Διαμόρφωση φακέλων αφετηρίας για λογαριασμούς χρηστών και Διαμόρφωση κελύφους UNIX για λογαριασμούς χρήστη Active Directory.
(Προαιρετικό) Επιλέξτε επιλογές στο τμήμα «Αντιστοιχίσεις».
Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Αντιστοίχιση του αναγνωριστικού ομάδας, του GID κύριας ομάδας και του UID σε χαρακτηριστικό Active Directory.
(Προαιρετικό) Επιλέξτε προηγμένες επιλογές. Μπορείτε επίσης να αλλάξετε τις ρυθμίσεις προηγμένων επιλογών αργότερα.
Αν οι προηγμένες επιλογές είναι κρυμμένες, κάντε κλικ στο τρίγωνο αποκάλυψης στο παράθυρο.
Να προτιμάται αυτός ο διακομιστής τομέα: Από προεπιλογή, το macOS χρησιμοποιεί στοιχεία ιστότοπου και απόκριση ελεγκτή τομέα για να καθορίσει τον ελεγκτή τομέα που θα χρησιμοποιηθεί. Εάν ο ελεγκτής τομέα είναι ο ίδιος ιστότοπος που καθορίζεται εδώ, λαμβάνεται πρώτος υπόψη. Εάν ο ελεγκτής τομέα δεν είναι διαθέσιμος, το macOS επανέρχεται στην προεπιλεγμένη συμπεριφορά.
Να επιτρέπεται η διαχείριση από: Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα μέλη των καταχωρισμένων ομάδων Active Directory (από προεπιλογή, διαχειριστές τομέα και εταιρικοί διαχειριστές) λαμβάνουν προνόμια διαχείρισης στο τοπικό Mac. Μπορείτε επίσης να καθορίσετε επιθυμητές ομάδες ασφάλειας εδώ.
Να επιτρέπεται η εξουσιοδότηση από οποιονδήποτε τομέα του δάσους: Από προεπιλογή, το macOS εκτελεί αναζήτηση αυτόματα σε όλους τους τομείς για έλεγχο ταυτότητας. Για περιορισμό του ελέγχου ταυτότητας μόνο στον τομέα που είναι προσαρτημένο το Mac, αποεπιλέξτε αυτό το πλαίσιο επιλογής.
Για περισσότερες πληροφορίες σχετικά με τις προηγμένες επιλογές του Βοηθήματος καταλόγου, ανατρέξτε στην ενότητα:
Κάντε κλικ στη «Δέσμευση» και μετά εισαγάγετε τις ακόλουθες πληροφορίες:
Σημείωση: Ο χρήστης πρέπει να διαθέτει προνόμια στο Active Directory προκειμένου να δεσμεύσει έναν υπολογιστή στον τομέα.
Όνομα χρήστη και συνθηματικό: Ίσως μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας εισαγάντας το όνομα και συνθηματικό του λογαριασμού χρήστη σας Active Directory ή ίσως χρειαστεί να σας δώσει όνομα και συνθηματικό ο διαχειριστής του τομέα Active Directory.
OU υπολογιστή: Εισαγάγετε την οργανική μονάδα (OU) για τον υπολογιστή που διαμορφώνετε.
Χρήση για έλεγχο ταυτότητας: Επιλέξτε αν θέλετε το Active Directory να προστεθεί στην πολιτική αναζήτησης ελέγχου ταυτότητας του υπολογιστή.
Χρήση για επαφές: Επιλέξτε αν θέλετε το Active Directory να προστεθεί στην πολιτική αναζήτησης επαφών του υπολογιστή.
Κάντε κλικ στο OK.
Το Βοήθημα καταλόγου διαμορφώνει αξιόπιστη δέσμευση μεταξύ του υπολογιστή που διαμορφώνετε και του διακομιστή Active Directory. Οι πολιτικές αναζήτησης του υπολογιστή διαμορφώνονται σύμφωνα με τις επιλογές που κάνατε κατά τον έλεγχο ταυτότητας και το Active Directory ενεργοποιείται στο τμήμα «Υπηρεσίες» του Βοηθήματος καταλόγου.
Με τις προεπιλεγμένες ρυθμίσεις για τις προηγμένες επιλογές Active Directory, το δάσος Active Directory προστίθεται στην πολιτική αναζήτησης ελέγχου ταυτότητας και επαφών του υπολογιστή αν έχετε επιλέξει «Χρήση για έλεγχο ταυτότητας» ή «Χρήση για επαφές».
Ωστόσο, αν αποεπιλέξετε τη ρύθμιση «Να επιτρέπεται η εξουσιοδότηση από οποιονδήποτε τομέα του δάσους» στο τμήμα «Προηγμένες διαχειριστικές επιλογές» πριν κάνετε κλικ στο κουμπί «Δέσμευση», αντί για το δάσος θα προστεθεί ο πλησιέστερος τομέας Active Directory.
Μπορείτε να αλλάξετε πολιτικές αναζήτησης αργότερα προσθέτοντας ή αφαιρώντας το δάσος ή μεμονωμένους τομείς Active Directory. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Καθορισμός πολιτικών αναζήτησης.
Η «Δέσμευση» χρησιμοποιεί ένα προφίλ ρύθμισης παραμέτρων
Το φορτίο καταλόγου σε ένα προφίλ ρύθμισης παραμέτρων μπορεί να διαμορφώσει ένα μεμονωμένο Mac, ή να αυτοματοποιήσει εκατοντάδες υπολογιστές Mac, για δέσμευση στο Active Directory. Όπως και με άλλα φορτία προφίλ ρύθμισης παραμέτρων, μπορείτε να αναπτύξετε το φορτίο καταλόγου χειροκίνητα, χρησιμοποιώντας σκριπτ, ως μέρος εγγραφής MDM ή χρησιμοποιώντας μια λύση διαχείρισης πελάτη.
Τα φορτία αποτελούν μέρος των προφίλ ρύθμισης παραμέτρων και επιτρέπουν σε διαχειριστές να διαχειρίζονται συγκεκριμένα μέρη του macOS. Επιλέγετε τις ίδιες δυνατότητες στη «Διαχείριση προφίλ» με αυτές στο Βοήθημα καταλόγου. Στη συνέχεια επιλέγετε τον τρόπο με τον οποίο οι υπολογιστές Mac λαμβάνουν το προφίλ ρύθμισης παραμέτρων.
Πραγματοποιήστε λήψη του macOS Server από το Mac App Store.
Μεταβείτε στη Βοήθεια για τη Διαχείριση προφίλ και στη συνέχεια ρυθμίστε τις παραμέτρους της Διαχείρισης προφίλ.
Ανοίξτε τις Ρυθμίσεις καταλόγου στη Βοήθεια για τη Διαχείριση προφίλ για να δημιουργήσετε ένα φορτίο Active Directory.
Σύνδεση μέσω της γραμμής εντολών
Μπορείτε να χρησιμοποιήσετε την εντολή dsconfigad
στην εφαρμογή «Τερματικό» για να συνδέσετε ένα Mac στο Active Directory.
Για παράδειγμα, η ακόλουθη εντολή μπορεί να χρησιμοποιηθεί για να συνδέσετε ένα Mac στο Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Όταν συνδέσετε ένα Mac στον τομέα, μπορείτε να χρησιμοποιήσετε την εντολή dsconfigad
για να καθορίσετε τις επιλογές διαχείρισης στο Directory Utility:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Προηγμένες επιλογές γραμμής εντολών
Η εγγενής υποστήριξη για το Active Directory περιλαμβάνει επιλογές που δεν βλέπετε στο Βοήθημα καταλόγου. Για να δείτε αυτές τις προηγμένες επιλογές, χρησιμοποιήστε είτε το φορτίο Καταλόγου σε ένα προφίλ ρύθμισης παραμέτρων ή το εργαλείο dsconfigad
της γραμμής εντολών.
Ξεκινήστε τον έλεγχο των επιλογών της γραμμής εντολών ανοίγοντας τη σελίδα dsconfigad man.
Χρονικό διάστημα συνθηματικού αντικειμένου υπολογιστή
Όταν ένα σύστημα Mac προσαρτηθεί σε Active Directory, ορίζει ένα συνθηματικό λογαριασμού υπολογιστή που αποθηκεύεται στην κλειδοθήκη συστήματος και αλλάζει αυτόματα από το Mac. Το προεπιλεγμένο χρονικό διάστημα συνθηματικού είναι κάθε 14 ημέρες, αλλά μπορείτε να χρησιμοποιήσετε το φορτίο καταλόγου ή το εργαλείο γραμμής εντολών dsconfigad
για να ορίσετε οποιοδήποτε διάστημα απαιτεί η πολιτική σας.
Ο καθορισμός της τιμής σε 0 απενεργοποιεί την αυτόματη αλλαγή του συνθηματικού λογαριασμού: dsconfigad -passinterval 0
Σημείωση: Το συνθηματικό αντικειμένου υπολογιστή αποθηκεύεται ως τιμή συνθηματικού στην κλειδοθήκη συστήματος. Για να ανακτήσετε το συνθηματικό, ανοίξτε την Πρόσβαση της κλειδοθήκης, επιλέξτε την κλειδοθήκη συστήματος και μετά επιλέξτε την κατηγορία «Συνθηματικά». Εντοπίστε την καταχώριση που μοιάζει με /Active Directory/DOMAIN όπου το DOMAIN είναι το όνομα NetBIOS του τομέα του Active Directory. Κάντε διπλό κλικ σε αυτήν την καταχώριση και μετά επιλέξτε το πλαίσιο επιλογής «Εμφάνιση συνθηματικού». Πραγματοποιήστε έλεγχο ταυτότητας ως τοπικός διαχειριστής όπως απαιτείται.
Υποστήριξη χώρου ονομάτων
Το macOS υποστηρίζει τον έλεγχο ταυτότητας πολλαπλών χρηστών με τα ίδια σύντομα ονόματα (ή ονόματα εισόδου) που υφίστανται σε διαφορετικούς τομείς εντός του δάσους του Active Directory. Ενεργοποιώντας την υποστήριξη χώρου ονομάτων με το φορτίο Καταλόγου ή με το εργαλείο γραμμής εντολών dsconfigad
, ο χρήστης σε έναν τομέα μπορεί να διαθέτει το ίδιο σύντομο όνομα με έναν χρήστη σε δευτερεύοντα τομέα. Και οι δύο χρήστες πρέπει να πραγματοποιήσουν είσοδο χρησιμοποιώντας το όνομα του τομέα τους ακολουθούμενο από τα σύντομα ονόματά τους (ΤΟΜΕΑΣ\σύντομο όνομα), διαδικασία παρόμοια με την είσοδο σε υπολογιστή Windows. Για να ενεργοποιήσετε αυτήν την υποστήριξη, χρησιμοποιήστε την ακόλουθη εντολή:
dsconfigad -namespace <forest>
Υπογραφή και κρυπτογράφηση πακέτου
Ο πελάτης Open Directory μπορεί να υπογράψει και να κρυπτογραφήσει τις συνδέσεις LDAP που χρησιμοποιούνται για την επικοινωνία με το Active Directory. Με την υπογεγραμμένη υποστήριξη SMB σε macOS, δεν πρέπει να είναι απαραίτητη η υποβάθμιση της πολιτικής ασφάλειας του ιστότοπου για τη φιλοξενία υπολογιστών Mac. Οι υπογεγραμμένες και κρυπτογραφημένες συνδέσεις LDAP εξαλείφουν επίσης τυχόν ανάγκη για χρήση LDAP μέσω SSL. Εάν απαιτούνται συνδέσεις SSL, χρησιμοποιήστε την ακόλουθη εντολή για ρύθμιση παραμέτρων του Open Directory για χρήση μέσω SSL:
dsconfigad -packetencrypt ssl
Έχετε υπόψη σας ότι τα πιστοποιητικά που χρησιμοποιούνται στους ελεγκτές τομέα πρέπει να είναι αξιόπιστα προκειμένου η κρυπτογράφηση SSL να είναι επιτυχής. Εάν τα πιστοποιητικά του ελεγκτή τομέα δεν εκδίδονται από τις εγγενείς αξιόπιστες ρίζες συστήματος του macOS, εγκαταστήστε και καταστήστε αξιόπιστη την αλυσίδα πιστοποιητικού στην κλειδοθήκη συστήματος. Οι αρχές πιστοποιητικών που είναι αξιόπιστες από προεπιλογή στο macOS βρίσκονται στην κλειδοθήκη «Ρίζες συστήματος». Για να εγκαταστήσετε πιστοποιητικά και να τα καταστήσετε αξιόπιστα, κάντε ένα από τα εξής:
Εισαγάγετε τη ρίζα και τυχόν απαραίτητα ενδιάμεσα πιστοποιητικά χρησιμοποιώντας το φορτίο πιστοποιητικών σε ένα προφίλ ρύθμισης παραμέτρων
Χρησιμοποιήστε την «Πρόσβαση στην κλειδοθήκη» που βρίσκεται στις /Εφαρμογές/Βοηθήματα/
Χρησιμοποιήστε την εντολή ασφαλείας ως εξής:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Περιορισμός δυναμικού DNS
Το macOS επιχειρεί να ενημερώσει την εγγραφή της Διεύθυνσής του (A) στο DNS για όλες τις διεπαφές από προεπιλογή. Εάν έχουν ρυθμιστεί οι παράμετροι πολλαπλών διεπαφών, αυτό ενδέχεται να οδηγήσει σε πολλαπλές εγγραφές στο DNS. Για να διαχειριστείτε αυτήν τη συμπεριφορά, καθορίστε ποια διεπαφή θα χρησιμοποιείται κατά την ενημέρωση του Dynamic Domain Name System (DDNS) χρησιμοποιώντας το φορτίο Καταλόγου ή το εργαλείο της γραμμής εντολών dsconfigad
. Καθορίστε το όνομα BSD της διεπαφής στην οποία πρόκειται να συσχετιστούν οι ενημερώσεις DDNS. Το όνομα BSD είναι το ίδιο με το πεδίο «Συσκευή», το οποίο επιστρέφεται με την εκτέλεση αυτής της εντολής:
networksetup -listallhardwareports
Κατά τη χρήση της εντολής dsconfigad
σε ένα σκριπτ, πρέπει να συμπεριλάβετε το συνθηματικό διαγραφής κειμένου που χρησιμοποιείται για τη σύνδεση με τον τομέα. Συνήθως, ένας χρήστης Active Directory με κανένα άλλο προνόμιο διαχειριστή μεταβιβάζει με πληρεξούσιο την ευθύνη δέσμευσης των υπολογιστών Mac στον τομέα. Αυτό το ζεύγος ονόματος χρήστη και συνθηματικού αποθηκεύεται στο σκριπτ. Αποτελεί κοινή πρακτική για το σκριπτ να αυτο-διαγράφεται με ασφάλεια μετά τη δέσμευση, έτσι ώστε τα στοιχεία να μην βρίσκονται πλέον στη συσκευή αποθήκευσης.