Integrar Active Directory al usar Utilidad de Directorios en el Mac
Puedes utilizar el conector de Active Directory (del panel Servicios de la Utilidad de Directorios) para configurar el Mac para acceder a información básica de las cuentas de usuario en un dominio de Active Directory de un servidor Windows 2000 o posterior.
El conector de Active Directory genera todos los atributos necesarios para la autenticación de macOS a partir de las cuentas de usuario de Active Directory. También controla las políticas de autenticación de Active Directory, entre las que se incluyen cambios, caducidades, cambios forzados y opciones de seguridad de las contraseñas. Como el conector admite estas características, no es necesario que hagas cambios de esquema en el dominio de Active Directory para obtener información básica de las cuentas de usuario.
Nota: Los ordenadores con macOS 10.12 o posterior no pueden unirse a un dominio Active Directory sin un nivel funcional de dominio mínimo de Windows Server 2008, a menos que actives de forma explícita la criptografía no segura (weak crypto). Aunque los niveles funcionales de dominio de todos los idiomas sean 2008 o posterior, es posible que el administrador tenga que confiar en el uso de la encriptación AES de Kerberos dominio por dominio.
Cuando macOS está completamente integrado con Active Directory, los usuarios:
Están sujetos a las políticas de contraseña del dominio de la organización.
Usan las mismas credenciales para autenticarse y obtener una autorización para los recursos protegidos.
Son identidades certificadas de máquina y usuario emitidas desde un servidor de servicios de certificados de Active Directory.
Pueden atravesar automáticamente un espacio de nombres del sistema de archivos distribuidos (DFS) y montar el servidor subyacente del bloque de mensajes del servidor (SMB) apropiado.
Consejo: Los clientes Mac adoptan acceso de lectura total de los atributos que se añadan al directorio. Por consiguiente, quizás sea necesario cambiar la ACL de dichos atributos para que los grupos del ordenador puedan leer estos atributos adicionales.
Además de admitir políticas de autenticación, el conector de Active Directory también admite lo siguiente:
Opciones encriptación de paquetes y firma de paquetes en todos los dominios de Active Directory de Windows: Esta funcionalidad está activada por omisión como “permitir”. Puedes cambiar el ajuste por omisión a desactivado u obligatorio con el comando
dsconfigad
. Las opciones de encriptación y de firma de paquetes garantizan la protección de todos los datos que entran y salen del dominio de Active Directory para las búsquedas de registros.Generación dinámica de identificadores (ID) únicos: El controlador genera dinámicamente un ID de usuario único y un ID de grupo primario basados en el ID único global (GUID) de la cuenta de usuario del dominio de Active Directory. Los ID de usuario y de grupo primario generados son los mismos para cada cuenta de usuario, incluso si la cuenta se utiliza para iniciar sesión en distintos ordenadores Mac. Consulta Asignación del ID de grupo, GID primario y UID a un atributo de Active Directory.
Replicación y tolerancia a fallos de Active Directory: El conector de Active Directory detecta múltiples controladores de dominio y determina cuál es el más cercano. Si un controlador de dominio deja de estar disponible, el conector utiliza otro controlador de dominio próximo.
Detección de todos los dominios en un bosque de Active Directory: Puedes configurar el conector para permitir a los usuarios de cualquier dominio del dominio root (bosque) autenticarse en un ordenador Mac. También puedes permitir que solo se autentiquen dominios específicos en el cliente. Consulta Control de autenticaciones desde todos los dominios del bosque (dominio root) de Active Directory.
Montaje de carpetas de inicio de Windows: Cuando un usuario inicia una sesión en un Mac utilizando una cuenta de usuario de Active Directory, el conector de Active Directory puede montar la carpeta de inicio de red de Windows especificada en la cuenta de usuario de Active Directory como carpeta de inicio del usuario. Puedes especificar si quieres utilizar la carpeta de inicio de red especificada en el atributo estándar “home directory” de Active Directory o en el atributo “home directory” de macOS (en caso de que se haya ampliado el esquema de Active Directory para incluirlo).
Uso de una carpeta de inicio local en el Mac: Puedes configurar el conector para crear una carpeta de inicio local en el volumen de arranque del Mac. En este caso, el conector también monta la carpeta de inicio de red de Windows del usuario (que se especifica en la cuenta de usuario de Active Directory) como un volumen de red, es decir, como un punto de volumen compartido. A continuación, el usuario puede usar el Finder para copiar archivos entre el volumen de red de la carpeta de inicio de Windows y la carpeta de inicio local de Mac.
Creación de cuentas móviles para usuarios: Una cuenta móvil dispone de una carpeta de inicio local en el volumen de arranque del Mac. (El usuario dispone también de una carpeta de inicio de red, tal como se especifica en la cuenta de Active Directory del usuario). Consulta Configurar cuentas de usuario móviles.
Uso de LDAP para el acceso y de Kerberos para la autenticación: No utiliza las interfaces de servicio ADSI (Active Directory Services Interface) de Microsoft para obtener servicios de autenticación o de directorio.
Detección de y acceso al esquema extendido: Si el esquema de Active Directory se ha ampliado para incluir tipos (clases de objeto) y atributos de registro de macOS, el conector de Active Directory los detectará y accederá a ellos. Por ejemplo, el esquema de Active Directory podría cambiarse utilizando las herramientas administrativas de Windows para incluir atributos de cliente gestionado de macOS. Este cambio del esquema permite al conector de Active Directory usar soluciones de gestión de dispositivos móviles (MDM) compatibles.