Configurar el acceso a dominio en Utilidad de Directorios en Mac
Importante: Las opciones avanzadas del conector de Active Directory permiten asignar el ID de usuario único (UID), el ID de grupo primario (GID) y los atributos GID de grupo de macOS a los atributos apropiados del esquema de Active Directory. No obstante, si cambias estos ajustes posteriormente, los usuarios pueden perder el acceso a los archivos creados con anterioridad.
Abrir Utilidad de Directorios para mí
Enlazar con la Utilidad de Directorios
En la app Utilidad de Directorios
del Mac, haz clic en Servicios.Haz clic en el icono del candado.
Introduce el nombre de usuario y la contraseña de un administrador y después haz clic en “Modificar configuración” (o usa Touch ID).
Selecciona Active Directory y, a continuación, haz clic en el botón “Editar los ajustes del servicio seleccionado”
.Introduce el nombre de servidor DNS del dominio de Active Directory al que quieres enlazar el ordenador que estás configurando.
Puedes consultar el nombre de servidor DNS al administrador del dominio de Active Directory.
Si es necesario, modifica el ID del ordenador.
El ID del ordenador, que es el nombre por el que se conoce al ordenador en el dominio de Active Directory, es el ajuste predefinido correspondiente al nombre del ordenador. Puedes cambiarlo para que se adecúe al esquema de nombres de tu organización. Si no estás seguro, consulta con el administrador del dominio de Active Directory.
Importante: Si el nombre de tu ordenador contiene un guión, es posible que no puedas enlazarlo a un dominio de directorio como LDAP o Active Directory. Para establecer un enlace, utiliza un nombre de ordenador que no contenga guiones.
Si las opciones avanzadas están ocultas, haz clic en el triángulo desplegable situado junto a “Mostrar opciones”. También puedes modificar más adelante los ajustes de las opciones avanzadas.
(Opcional) Selecciona opciones en el panel “Opciones del usuario”.
Consulta Configurar cuentas de usuario móviles, Configurar carpetas de inicio para cuentas de usuario y Definir una shell de UNIX para cuentas de usuario de Active Directory.
(Opcional) Selecciona opciones en el panel Asignaciones.
Consulta Asignación del ID de grupo, GID primario y UID a un atributo de Active Directory.
(Opcional) Selecciona opciones en el panel Administración.
Servidor de dominios preferido: Por omisión, macOS utiliza la información del sitio y la capacidad de respuesta del controlador del dominio para determinar el controlador del dominio que se debe usar. Si aquí se especifica un controlador del dominio en el mismo sitio, se consulta este en primer lugar. Si el controlador del dominio no está disponible, macOS recurre al comportamiento por omisión.
Permitir administración a: Cuando esta opción está activada, los miembros de los grupos de Active Directory de la lista (por omisión, los administradores de dominio y empresa) disfrutan de privilegios administrativos en el Mac local. También puedes especificar los grupos de seguridad que quieras aquí.
Permitir autenticación desde cualquier dominio del dominio del bosque: Por omisión, macOS busca automáticamente todos los dominios para realizar la autenticación. Para restringir la autenticación a únicamente el dominio con que el Mac está enlazado, anula la selección de esta opción.
Consulta Control de autenticaciones desde todos los dominios del bosque (dominio root) de Active Directory.
Haz clic en Enlazar y, a continuación, introduce la siguiente información:
Nota: Para enlazar un ordenador al dominio, el usuario debe disponer de privilegios en Active Directory.
Nombre de usuario y contraseña: Es posible que puedas autenticarte introduciendo el nombre y la contraseña de tu cuenta de usuario de Active Directory, o puede que el administrador del dominio de Active Directory tenga que proporcionarte un nombre y una contraseña.
OU ordenador: Introduce la unidad organizativa (OU, “organizational unit”) del ordenador que estás configurando.
Usar para autenticar: Selecciona si quieres que Active Directory se añada a la política de búsqueda de autenticación del ordenador.
Usar para los contactos: Selecciona si quieres que Active Directory se añada a la política de búsqueda de contactos del ordenador.
Haz clic en Aceptar.
Utilidad de Directorios configurará un enlace fiable entre el ordenador que está configurando y el servidor Active Directory. Las políticas de búsqueda del ordenador se configuran de acuerdo con las opciones seleccionadas en el momento de la autenticación y Active Directory se activa en el panel Servicios de Utilidad de Directorios.
Con los ajustes por omisión de las opciones avanzadas de Active Directory, el bosque de Active Directory se añade a la política de búsqueda de autenticación y a la política de búsqueda de contactos del ordenador en caso de que hayas seleccionado “Usar para autenticar” o “Usar para los contactos”.
Sin embargo, si anulas la selección de la opción “Permitir la autenticación desde cualquier dominio del bosque” en el panel de opciones avanzadas de Administración antes de haber hecho clic en Enlazar, se añadirá el dominio de Active Directory más próximo en lugar del bosque.
Podrás cambiar las políticas de búsqueda más adelante añadiendo o eliminando el bosque de Active Directory o dominios individuales. Consulta Definir políticas de búsqueda.
Enlazar con un perfil de configuración
La carga del directorio de un perfil de configuración puede configurar un solo Mac o automatizar cientos de ordenadores Mac para enlazarlos con Active Directory. Como sucede con otras cargas del perfil de configuración, puedes implementar la carga del directorio manualmente con ayuda de un script como parte de una inscripción de MDM, o bien mediante una solución de gestión del cliente.
Las cargas forman parte de los perfiles de configuración y permiten a los administradores gestionar elementos específicos de macOS. En “Gestor de perfiles”, selecciona las mismas características que seleccionarías en Unidad de Directorios. A continuación, selecciona cómo obtendrán los ordenadores Mac el perfil de configuración.
En la app Server del Mac, haz lo siguiente:
Para configurar el gestor de perfiles, consulta Iniciar el gestor de perfiles en el manual de uso de macOS Server.
Para crear una carga de Active Directory, consulta Ajustes de carga de MDM Directorio para dispositivos Apple en los ajustes del servicio de gestión de dispositivos móviles para administradores de TI.
Si no tienes la app Server, puedes descargarla de Mac App Store.
Enlazar con la línea de comandos
Puedes usar el comando dsconfigad de la app Terminal para enlazar un Mac con Active Directory.
Por ejemplo, el siguiente comando se puede utilizar para enlazar un Mac con Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Tras enlazar un Mac con el dominio, puedes usar dsconfigad para configurar las opciones administrativas en Utilidad de Directorios.
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Opciones de línea de comandos avanzadas
La compatibilidad nativa para Active Directory incluye opciones que no encontrarás en Utilidad de Directorios. Para ver estas opciones avanzadas, puedes usar la carga Directorio de un perfil de configuración o la herramienta de línea de comandos dsconfigad.
Empieza a revisar las opciones de línea de comandos. Para ello, abre la página man de dsconfigad.
Intervalo de la contraseña del objeto del ordenador
Cuando se enlaza un sistema Mac con Active Directory, se establece una contraseña de cuenta del ordenador que se almacena en el llavero del sistema y que el Mac modifica automáticamente. El intervalo de la contraseña por omisión es cada 14 días. Sin embargo, puedes usar la carga del directorio o la herramienta de línea de comandos dsconfigad para configurar cualquier intervalo de acuerdo con tus políticas.
Al ajustar el valor a 0, se desactiva el cambio automático de la contraseña de la cuenta: dsconfigad -intervalo de contraseña 0
Nota: La contraseña del objeto del ordenador se guarda como un valor de contraseña en el llavero del sistema. Para recuperar la contraseña, abre Acceso a Llaveros, selecciona el llavero del sistema y, a continuación, selecciona la categoría Contraseñas. Busca una entrada parecida a /Active Directory/DOMINIO, en la que DOMINIO sea el nombre NetBIOS del dominio de Active Directory. Haz doble clic en esta entrada y, a continuación, selecciona la opción “Mostrar contraseña”. Si es necesario, autentícate como administrador local.
Compatibilidad con el espacio de nombres
macOS es compatible con la autenticación de varios usuarios con los mismos nombres cortos (o nombres de inicio de sesión) que existen en los diferentes dominios incluidos en el bosque de Active Directory. Al activar la compatibilidad con el espacio de nombres con la carga de Directorio o con la herramienta de línea de comandos dsconfigad, un usuario de un dominio puede disponer del mismo nombre corto que un usuario de un dominio secundario. Ambos usuarios deben iniciar sesión con el nombre de sus dominios seguido de sus nombres cortos (DOMINIO\ nombre corto), de forma similar al inicio de sesión en un PC con Windows. Utiliza el siguiente comando para activar esta compatibilidad:
dsconfigad -espacio de nombres <bosque>
Encriptación y firma de paquetes
El cliente de Open Directory puede firmar y encriptar las conexiones LDAP, utilizadas para establecer la comunicación con Active Directory. Si se firma la compatibilidad con SMB en macOS, no debería ser necesario restaurar una versión anterior de la política de seguridad del sitio para que se adapte a los ordenadores Mac. Las conexiones LDAP firmadas y encriptadas también eliminan cualquier necesidad de uso de LDAP mediante SSL. Si se necesitan conexiones SSL, utiliza el siguiente comando para configurar Open Directory para usar SSL:
dsconfigad -encriptación del paquete ssl
Ten en cuenta que los certificados usados en los controladores del dominio deben ser seguros para que la encriptación de SSL se realice correctamente. En caso de que la emisión de los certificados del controlador no se haya realizado mediante la raíz del sistema seguro nativo de macOS, instala la cadena de certificados en el llavero del sistema y márcala como segura. Las autoridades de certificación seguras por omisión de macOS se incluyen en el llavero “Raíz del sistema”. Para instalar certificados y marcarlos como seguros, realiza una de las siguientes operaciones:
Importa los certificados de raíz e intermedios necesarios mediante la carga de certificados en un perfil de configuración
Usa Acceso a Llaveros, que se encuentra en /Aplicaciones/Utilidades/
Utiliza los comandos de seguridad como se indica a continuación:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Restringir el DNS dinámico
macOS intenta actualizar su registro de dirección (A) en DNS para todas las interfaces por omisión. Si se configuran varias interfaces, puede que se produzcan varios registros en DNS. Para gestionar este comportamiento, especifica la interfaz que se debe usar al actualizar el sistema de nombres de dominio dinámico (DDNS) con la carga de Directorio o con la herramienta de línea de comandos dsconfigad. Especifica el nombre BSD de una interfaz a la que asociar las actualizaciones de DDNS. El nombre BSD coincide con el campo Dispositivo, devuelto al ejecutar este comando:
networksetup -listallhardwareports
Cuando uses dsconfigad en un script, debes incluir la contraseña de texto no encriptado utilizada para realizar el enlace al dominio. Normalmente, un usuario de Active Directory que no disponga de ningún otro privilegio de administrador es responsable del enlace de los ordenadores Mac con el dominio. Este conjunto de nombre de usuario y contraseña se almacena en el script. El script se suele borrar automáticamente de forma segura tras realizar el enlace para que esta información se deje de incluir en el dispositivo de almacenamiento.