Configurar el acceso a dominios en Utilidad de Directorios en la Mac
Importante: las opciones avanzadas del conector de Active Directory permiten asignar el ID de usuario único (UID), ID de grupo primario (GID) y los atributos GID de grupo de macOS a los atributos apropiados en el esquema de Active Directory. Sin embargo, si cambias esta configuración más tarde, los usuarios podrían perder acceso a los archivos creados previamente.
Abrir Utilidad de Directorios por mí
Enlazar utilizando Utilidad de Directorios
En la app Utilidad de Directorios en tu Mac, haz clic en Servicios.
Haz clic en el ícono de candado.
Ingresa el nombre y contraseña de un administrador y haz clic en Modificar configuración (o usa Touch ID).
Selecciona Active Directory y haz clic en el botón Editar la configuración del servicio seleccionado .
Ingresa el nombre de servidor DNS del dominio de Active Directory al que quieres enlazar la computadora que estás configurando.
Puedes obtener el nombre de servidor DNS del administrador del dominio de Active Directory.
Si es necesario, modifica el ID de la computadora.
El ID de la computadora, el nombre por el que se conoce a la computadora en el dominio de Active Directory, está predefinido al nombre de la computadora. Puedes cambiarlo para cumplir con el esquema de nombres de tu organización. Si no estás seguro, consulta con el administrador del dominio de Active Directory.
Importante: si el nombre de tu computadora contiene un guión, es posible que no puedas enlazarte a un dominio de directorio como LDAP o Active Directory. Para establecer un enlace, utiliza un nombre de computadora que no contenga un guión.
Si las opciones avanzadas están ocultas, haz clic en el triángulo para mostrarlas junto a Mostrar opciones. También puedes modificar más adelante la configuración de las opciones avanzadas.
(Opcional) Selecciona opciones en el panel Experiencia del usuario.
Consulta Configurar cuentas de usuario móviles, Configurar carpetas de inicio para cuentas de usuario y Definir una shell de UNIX para cuentas de usuario de Active Directory.
(Opcional) Selecciona opciones en el panel de preferencias Asignaciones.
Consulta Asignar el ID de grupo, GID primario y UID a un atributo de Active Directory.
(Opcional) Selecciona opciones en el panel de preferencias Administración.
Servidor de dominios preferido: por omisión, macOS usa información de los sitios y la capacidad de respuesta de los controladores de dominio para determinar cuál controlador de dominio usar. Si se especifica aquí un controlador de dominio en el mismo sitio, primero se consulta. Si el controlador de dominio no está disponible, macOS entra al comportamiento por omisión.
Permitir administración a: cuando esta opción está habilitada, los miembros de los grupos de Active Directory mencionados (por omisión, administradores de dominios y empresas) reciben privilegios administrativos en la Mac local. También puedes especificar aquí los grupos de seguridad que quieras.
Permitir autenticación desde cualquier dominio del dominio root (bosque): por omisión, macOS busca autenticación en todos los dominios de forma automática. Para restringir la autenticación únicamente al dominio asignado a la Mac, anula la selección de esta casilla.
Consulta Controlar autenticaciones desde todos los dominios del dominio root (bosque) de Active Directory.
Haz clic en Enlazar e ingresa la siguiente información:
Nota: el usuario debe tener privilegios en Active Directory para enlazar una computadora al dominio.
Nombre de usuario y contraseña: es posible que puedas autenticarte ingresando el nombre y la contraseña de tu cuenta de usuario de Active Directory, o puede que el administrador del dominio de Active Directory tenga que proporcionarte un nombre y una contraseña.
OU computadora: ingresa la unidad organizativa (OU, “organizational unit”) de la computadora que estás configurando.
Usar para la autenticación: selecciona si quieres agregar Active Directory a la política de búsqueda de autenticación de la computadora.
Usar para los contactos: selecciona si quieres agregar Active Directory a la política de búsqueda de contactos de la computadora.
Haz clic en OK.
Utilidad de Directorios configurará un vínculo fiable entre la computadora que estás configurando y el servidor Active Directory. Las políticas de búsqueda de la computadora se configuran de acuerdo con las opciones seleccionadas en el momento de la autenticación y Active Directory se activa en el panel Servicios de Utilidad de Directorios.
Con la configuración por omisión de las opciones avanzadas de Active Directory, el dominio root (bosque) de Active Directory se agrega a la política de búsqueda de autenticación y a la política de búsqueda de contactos de la computadora en caso de que se haya seleccionado Usar para autenticar o Usar para los contactos.
Sin embargo, si anulas la selección de la opción Permitir autenticación desde cualquier dominio del dominio root (bosque) en el panel de opciones avanzadas Administración antes de haber hecho clic en Enlazar, se agregará el dominio de Active Directory más próximo en lugar del bosque.
Podrás cambiar las políticas de búsqueda más adelante agregando o eliminado el bosque de Active Directory o dominios individuales. Consulta Definir políticas de búsqueda.
Enlazar utilizando un perfil de configuración
La carga útil del directorio en un perfil de configuración puede configurar una Mac, o automatizar cientos de computadoras Mac, para enlazar con Active Directory. Igual que con las demás cargas útiles de perfiles de configuración, puedes desplegar la carga útil del directorio de forma manual, utilizando un script, como parte de una inscripción MDM, o utilizando una solución cliente-gerencia.
Las cargas útiles forman parte de los perfiles de configuración y permiten a los administradores gestionar partes específicas de macOS. Ponte en contacto con tu proveedor de MDM para obtener instrucciones sobre cómo crear un perfil de configuración.
Enlazar utilizando la línea de comandos
Puedes usar el comando dsconfigad
en la app Terminal para enlazar una Mac a Active Directory.
Por ejemplo, el siguiente comando puede servir para enlazar una Mac a Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Después de enlazar una Mac al dominio, puedes usar dsconfigad
para establecer las opciones administrativas en Directory Utility:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opciones avanzadas de línea de comandos
El soporte nativo para Active Directory incluye opciones que no ves en Utilidad de Directorios. Para ver estas opciones avanzadas, usa Carga útil de directorio en un perfil de configuración, o la herramienta de línea de comandos dsconfigad
.
Empieza revisando las opciones de la línea de comandos abriendo la página man de dsconfigad.
Intervalo de contraseña para objetos de la computadora
Cuando una Mac está unida a un Active Directory, se establece una contraseña de la cuenta de la computadora que se almacena en el llavero del sistema y la Mac la cambia automáticamente. El intervalo de contraseña por omisión es de 14 días pero puedes usar la carga útil del directorio o la herramienta de la línea de comandos dsconfigad
para establecer cualquier intervalo requerido por tu política.
Al establecer el valor a 0 se desactiva el cambio automático de la contraseña de la cuenta: dsconfigad -passinterval 0
Nota: la contraseña para objetos de la computadora se almacena como un valor de contraseña en el llavero del sistema. Para recuperar la contraseña, abre Acceso a Llaveros, selecciona el llavero del sistema y selecciona la categoría Contraseñas. Encuentra la entrada que dice /Active Directory/DOMAIN donde DOMAIN es el nombre NetBIOS del dominio de Active Directory. Haz doble clic en esta entrada y selecciona la casilla Mostrar contraseña. Autenticar como administrador local según sea necesario.
Soporte para espacio de nombres
macOS soporta la autenticación de múltiples usuarios con los mismos nombres cortos (o nombres de inicio de sesión) que existen en diferentes dominios dentro del bosque de Active Directory. Al activar el soporte para espacio de nombres con la carga útil de Directory o con la herramienta de la línea de comandos dsconfigad
, un usuario en un dominio puede tener el mismo nombre corto que otro usuario en un dominio secundario. Ambos usuarios tienen que iniciar sesión utilizando el nombre de su dominio seguido de su nombre corto (DOMAIN\nnombre corto) similar al inicio de sesión en una PC con Windows. Para activar este soporte, usa el siguiente comando:
dsconfigad -namespace <forest>
Firmar y encriptar paquetes
El cliente de Open Directory puede firmar y encriptar las conexiones LDAP utilizadas para comunicarse con Active Directory. Con el soporte de SMB firmados en macOS, no debería ser necesario degradar la política de seguridad de un sitio para admitir computadoras Mac. Las conexiones LDAP firmadas y encriptadas también eliminan la necesidad de usar LDAP por SSL. Si las conexiones SSL son necesarias, usa el siguiente comando para configurar Open Directory para utilizar SSL:
dsconfigad -packetencrypt ssl
Ten en cuenta que los certificados utilizados en los controladores de dominios tienen que ser fiables para la encriptación SSL para que funcionen correctamente. Si los certificados de un controlador de dominios no son emitidos por las raíces del sistema fiable nativo de macOS, instala y confía en el certificado en el llavero el sistema. Las autoridades de certificados fiables por omisión en macOS se encuentran en el llavero de raíces del sistema. Para instalar certificados y establecer confianza, realiza una de las siguientes acciones:
Importa la raíz y cualquier certificado intermedio necesario utilizando la carga útil de certificados en un perfil de configuración
Utiliza Acceso a Llaveros ubicado en /Aplicaciones/Utilidades/
Utiliza el siguiente comando de seguridad:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Restringir DNS dinámico
macOS intenta actualizar su registro de dirección (A) en DNS para todas las interfaces por omisión. Si hay varias interfaces configuradas, esto puede resultar en varios registros en DNS. Para administrar este comportamiento, especifica qué interface utilizar al actualizar el Sistema de Nombres de Dominios Dinámicos (DDNS) usando la carga útil de Directory o la herramienta de línea de comandos dsconfigad
. Especifica el nombre BSD de la interface en la cual se asocian las actualizaciones de DDNS. El nombre BSD es el mismo que el campo Dispositivo, obtenido al ejecutar este comando:
networksetup -listallhardwareports
Cuando utilizas dsconfigad
en un script, debes incluir la contraseña de texto bruto para enlazar con el dominio. Por lo general, un usuario de Active Directory sin otros privilegios de administrador es delegado la responsabilidad de enlazar computadoras Mac al dominio. Este par de nombre de usuario y contraseña está almacenado en el script. Es una práctica común que el script se elimine de forma segura automáticamente después de enlazar para que esta información no permanezca en el dispositivo de almacenamiento.