Integrar Active Directory mediante Utilidad de Directorios en la Mac
Puedes usar el conector de Active Directory (en el panel Servicios de Utilidad de Directorios) para configurar tu Mac a fin de acceder a información básica de cuentas de usuario en un dominio de Active Directory de un servidor con Windows 2000 o posterior.
El conector de Active Directory genera todos los atributos requeridos para la autenticación de macOS a partir de cuentas de usuario de Active Directory. También controla las políticas de autenticación de Active Directory, entre las que se incluyen cambios, caducidades, cambios forzados y opciones de seguridad de las contraseñas. Debido a que el conector admite estas características, no necesitas realizar cambios de esquema al dominio de Active Directory para obtener información básica de la cuenta del usuario.
Nota: el sistema operativo macOS Sierra y posterior no puede unirse a un dominio de Active Directory que no tenga un nivel funcional de dominio de al menos Windows Server 2008, a menos que actives explícitamente el nivel de encriptación bajo. Incluso si los niveles funcionales de dominio de todos los dominios son del 2008 o posteriores, es posible que el administrador necesite especificar explícitamente la confianza de cada dominio para usar el cifrado Kerberos AES. Consulta el artículo de Apple Support Prepararse para macOS Sierra 10.12 con Active Directory.
Cuando macOS está totalmente integrado con Active Directory, los usuarios:
Están sujetos a las políticas de contraseña de dominio de la organización
Usa las mismas credenciales para autenticar y obtener autorización a recursos protegidos
Se emiten identidades de certificados de máquina y usuario desde un servidor de Servicios de Certificados de Active Directory
Pueden entrar automáticamente a un espacio de nombres del Sistema de Archivos Distribuido (DFS) y montar el servidor Bloque de Mensajes de Servidor (SMB) subyacente adecuado
Consejo: los clientes Mac adoptan acceso de lectura total de los atributos que se agreguen al directorio. Por consiguiente, puede ser necesario cambiar la ACL de dichos atributos para que los grupos de computadoras puedan leer estos atributos adicionales.
Además de admitir las políticas de autenticación, el conector de Active Directory también admite lo siguiente:
Opciones de firma de paquetes y encriptación de paquetes en todos los dominios de Active Directory de Windows: esta funcionalidad está activada por omisión como “permitir”. Puedes cambiar la configuración por omisión a desactivado u obligatorio con la herramienta de línea de comandos
dsconfigad
. Las opciones de encriptación y de firma de paquetes garantizan la protección de todos los datos que entran y salen del dominio de Active Directory para las búsquedas de registros.Generación dinámica de ID únicas: el conector genera un ID de usuario único y un ID de grupo primario basados en el ID único global (GUID) de la cuenta de usuario del dominio de Active Directory. Los ID de usuario y de grupo primario generados son los mismos para cada cuenta de usuario, incluso si la cuenta se utiliza para iniciar sesión en distintas computadoras Mac. Consulta Asignar el ID de grupo, GID primario y UID a un atributo de Active Directory.
Replicación y tolerancia a fallos de Active Directory: el conector de Active Directory detecta múltiples controladores de dominio y determina cuál es el más cercano. Si un controlador de dominio deja de estar disponible, el conector recurre a otro controlador de dominio cercano.
Detección de todos los dominios en un bosque de Active Directory: puedes configurar el conector para permitir a los usuarios de cualquier dominio del dominio root (bosque) autenticarse en una computadora Mac. También puedes permitir que sólo se autentiquen dominios específicos en el cliente. Consulta Controlar autenticaciones desde todos los dominios del dominio root (bosque) de Active Directory.
Montado de carpetas de inicio de Windows: cuando un usuario inicia una sesión en una Mac utilizando una cuenta de usuario de Active Directory, el conector de Active Directory puede montar la carpeta de inicio de red de Windows especificada en la cuenta de usuario de Active Directory como carpeta de inicio del usuario. Puedes elegir si quieres utilizar la carpeta de inicio de red especificada en el atributo estándar “home directory” de Active Directory o en el atributo “home directory” de macOS (en caso que se haya ampliado el esquema de Active Directory para incluirlo).
Usar una carpeta de inicio local en la Mac: puedes configurar el conector para crear una carpeta de inicio local en el volumen de arranque de la Mac. En este caso, el conector también monta la carpeta de inicio de red de Windows del usuario (que se especifica en la cuenta de usuario de Active Directory) como un volumen de red, es decir, como un punto de volumen compartido. Usando el Finder, el usuario puede entonces copiar archivos entre el volumen de red de la carpeta de inicio de Windows y la carpeta de inicio local de Mac.
Creación de cuentas móviles para usuarios: una cuenta móvil dispone de una carpeta de inicio local en el volumen de arranque de la Mac. (El usuario dispone también de una carpeta de inicio de red, tal y como se especifica en la cuenta de Active Directory del usuario). Consulta Configurar cuentas de usuario móviles.
LDAP para el acceso y Kerberos para la autenticación: no utiliza las interfaces de servicio ADSI (Active Directory Services Interface) de Microsoft para obtener servicios de autenticación o de directorio.
Detección y acceso a esquemas ampliados: si el esquema de Active Directory se amplió para incluir tipos (clases de objeto) y atributos de registro de macOS, el conector de Active Directory los detectará y accederá a ellos. Por ejemplo, el esquema de Active Directory podría cambiarse utilizando las herramientas administrativas de Windows para incluir atributos de cliente administrado de macOS. Este cambio del esquema permite que el conector de Active Directory admita configuraciones administradas de cliente realizadas mediante macOS Server.