Mac-tietokoneiden ja Active Directoryn integrointi
Voit määrittää Macin käyttämään peruskäyttäjätilitietoja Windows 2000 ‑palvelimen (tai uudemman) Active Directory ‑domainissa. Active Directory ‑liitin on luetteloitu hakemistotyökalun Palvelu-osiossa. Se luo normaaleista attribuuteista kaikki macOS-tunnistautumiseen vaadittavat attribuutit Active Directory ‑käyttäjätileillä. Liitin tukee myös Active Directoryn todentamismenetelmiä, mukaan lukien salasanan vaihtaminen, vanheneminen, pakotettu vaihtaminen ja suojausasetukset. Koska liitin tukee näitä ominaisuuksia, Active Directory -domainin mallia ei tarvitse muuttaa käyttäjätilien perustietojen saamista varten.
Huomaa: macOS:ää ei voida liittää Active Directory -domainiin, jos domainin taso ei ole vähintään Windows Server 2008, paitsi jos otat ”weak crypto”-asetuksen käyttöön. Vaikka kaikkien domainien toimintatasot olisivat 2008-tasoa tai uudempaa, ylläpitäjän on ehkä määritettävä jokainen domain käyttämään Kerberoksen AES-salausta.
Kuinka Mac selvittää Active Directory ‑domainin DNS:llä
macOS selvittää paikallisen Active Directory ‑domainin topologian DNS:llä (Domain Name System). Se käyttää Kerberosta todentamiseen ja LDAPv3:a käyttäjien ja ryhmien selvittämiseen.
Kun macOS on integroitu Active Directoryyn, käyttäjät:
ovat organisaation domainin salasanakäytäntöjen alaisia
käyttävät samoja tunnistetietoja suojattuihin resursseihin todentautumiseen
voivat saada käyttäjälle ja tietokoneelle varmenneidentiteetin Active Directory Certificate Services ‑palvelimelta
pääsevät automaattisesti DFS (Distributed File System) ‑nimiavaruuden läpi ja voivat tuoda näkyviin alla olevan SMB (Server Message Block) ‑palvelimen.
Jos haluat lisätietoja yhteyden muodostamisesta DFS:ään ilman liittämistä, katso alta DFS-nimiavaruuden tuki.
Voit määrittää nämä asetukset myös mobiililaitteiden hallintaratkaisun (MDM) Hakemisto-tietosisällössä ja sitten lähettää kyseisen tietosisällön kaikille organisaation Maceille. Jos haluat lisätietoja, katso Hakemiston MDM-tietosisältöasetukset.
Mac-verkkolaitteet olettavat saavansa täydet lukuoikeudet hakemistoon lisättyihin attribuutteihin. Siksi saattaa olla tarpeen muuttaa näiden attribuuttien pääsynhallintaluettelot, jotta tietokoneryhmien sallitaan lukea näitä lisättyjä attribuutteja.
Domainin salasanakäytännöt
macOS kysyy Active Directory -domainilta sitomisen yhteydessä (ja säännöllisin väliajoin sen jälkeen) salasanakäytännöistä. Näitä käytäntöjä noudatetaan kaikilla Macilla olevilla verkko- ja liikkuvilla tileillä.
SIsäänkirjautumisen aikana, kun verkkotilit ovat käytettävissä, macOS kysyy Active Directorylta, minkä ajan kuluttua salasana on vaihdettava. Oletuksena salasana on vaihdettava 14 päivän kuluessa ja sisäänkirjautumisikkuna pyytää käyttäjää vaihtamaan sen. Jos käyttäjä vaihtaa salasanan, muutos tapahtuu sekä Active Directoryssä että liikkuvalla tilillä (jos sellainen on määritetty) ja sisäänkirjautumisavainnipun salasana päivitetään. Jos käyttäjä ohittaa salasanapyynnön, sisäänkirjautumisikkuna kysyy käyttäjältä vanhenemispäivää edeltävään päivään saakka. Käyttäjän täytyy vaihtaa salasana 24 tunnin kuluessa, jotta sisäänkirjautuminen onnistuu. macOS-ylläpitäjä voi muuttaa sisäänkirjautumisikkunan oletusarvoisen vanhenemisilmoituksen seuraavalla komennolla: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>
.
Huomaa: macOS ei tue hienojakoisia salasanakäytäntöjä, jotka käyttävät Active Directoryn Password Settings Objectia (PSO). Vain oletusdomainkäytäntöjä käytetään, kun lasketaan salasanan vanhentuminen.
DFS-nimiavaruuden tuki
macOS tukee DFS (distributed file system) ‑nimiavaruuksien läpikulkua, jos Mac on liitetty Active Directoryyn. Active Directoryyn sidottu Mac selvittää automaattisesti tietyn nimiavaruuden SMB-palvelimen kyselemällä DNS:iä ja Active Directory ‑domainin domainkontrollereita.
Voit käyttää Finderin Yhdistä palvelimelle ‑ominaisuutta määrittääksesi DFS-nimiavaruuden täydellisen domainnimen (FQDN), joka sisältää DFS-juuren verkkotiedostojärjestelmän näkyviin tuomista varten. Avaa Macissa Finder klikkaamalla työpöytää, valitse Siirry-valikossa Yhdistä palvelimelle ‑komento ja syötä osoitteeksi smb://resources.betterbag.com/DFSroot.
macOS käyttää käytettävissä olevia Kerberos-lippuja ja tuo alla olevan SMB-palvelimen ja ‑polun näkyviin. Joissakin Active Directory ‑määrityksissä saattaa olla tarpeen täyttää verkkoliitännän DNS-määrityksessä Hakudomainit-kenttään täydellinen Active Directory ‑domainnimi.
Vinkki: Pääset DFS-jakoihin ja niiden läpi ilman liittämistä Active Directoryyn, jos DFS-ympäristö on määritetty käyttämään viittauksissa täydellisiä domainnimiä. Edellyttäen että Mac voi ratkaista tarvittavat palvelinten palvelinnimet, yhteys onnistuu ilman Macin liittämistä hakemistoon.