Domain-pääsyn määrittäminen Macin Hakemistotyökalulla
Tärkeää: Active Directory -liittimen lisävalinnoilla voit kuvata macOS:n yksilöllisen käyttäjätunnuksen (UID), ensisijaisen ryhmätunnuksen (GID) ja ryhmä-GID-attribuutit Active Directory -skeeman vastaaviin attribuutteihin. Jos kuitenkin muutat näitä asetuksia myöhemmin, käyttäjät saattavat menettää pääsyn aiemmin luotuihin tiedostoihin.
Hakemistotyökalulla sitominen
Klikkaa Macin Hakemistotyökalu-apissa
Palvelut.Klikkaa lukkokuvaketta.
Syötä ylläpitäjän käyttäjätunnus ja salasana ja klikkaa Muokkaa määritystä (tai käytä Touch ID:tä).
Valitse Active Directory ja klikkaa sitten Muokkaa valitun laitteen asetuksia -painiketta
.Syötä sen Active Directory -domainin DNS-nimi, jonka haluat sitoa määritettävään tietokoneeseen.
Active Directory -domainin ylläpitäjä voi kertoa DNS-nimen.
Muokkaa tarvittaessa tietokoneen ID:tä.
Tietokoneen tunnus on nimi, jolla tietokone tunnetaan Active Directory -domainissa, ja se on oletuksena tietokoneen nimi. Voit vaihtaa sen noudattamaan organisaation nimeämiskäytäntöä. Jos et ole varma, kysy Active Directory -domainin ylläpitäjältä.
Tärkeää: Jos tietokoneen nimi sisältää väliviivan, et välttämättä voi muodostaa sidosta hakemistodomainiin, kuten LDAP tai Active Directory. Jos haluat muodostaa sidoksen, muuta tietokoneen nimi sellaiseksi, joka ei sisällä väliviivaa.
Jos lisävalinnat on kätketty, klikkaa Näytä valinnat -kohdan vieressä olevaa lisätietokolmiota. Voit muuttaa lisäasetuksia myöhemminkin.
(Valinnainen) Valitse Käyttökokemus-asetukset.
Katso Siirrettävien käyttäjätilien käyttöönottaminen, Kotikansioiden käyttöönottaminen käyttäjätileille ja UNIX-komentotulkin asettaminen Active Directory -käyttäjätileille.
(Valinnainen) Valitse Kuvaukset-asetukset.
Katso Ryhmätilien ryhmätunnuksen, ensisijaisen GID:n ja UID:n kuvaaminen Active Directory -attribuuttiin.
(Valinnainen) Valitse Ylläpito-asetukset.
Suosi tätä domainpalvelinta: Oletuksena macOS määrittää käytettävän domain-ohjaimen paikan tietojen ja domain-ohjaimen reagoivuuden perusteella. Jos tässä määritetään samassa paikassa oleva domain-ohjain, siltä kysytään ensin. Jos kyseinen domain-ohjain ei ole käytettävissä, macOS palaa oletustoimintaan.
Salli hallinnoida: Kun tämä vaihtoehto on valittuna, listattujen Active Directory -ryhmien jäsenet (oletuksena domainin ja yrityksen ylläpitäjät) saavat ylläpito-oikeudet paikallisella Macilla. Voit määrittää tähän haluamasi ryhmät.
Salli todentaminen miltä tahansa metsän domainilta: Oletuksena macOS etsii todentamistietoja kaikista domaineista. Jos haluat rajoittaa todentamisen vain domainiin, johon Mac on sidottu, poista tämän valintaneliön valinta.
Katso Todentamisen hallitseminen kaikilta Active Directory -metsän domaineilta.
Klikkaa Sido ja syötä seuraavat tiedot:
Huomaa: Käyttäjällä on oltava oikeuksia Active Directoryssä, jotta hän voi sitoa tietokoneen domainiin.
Käyttäjätunnus ja salasana: voit ehkä suorittaa todentamisen syöttämällä Active Directory -käyttäjätunnuksen ja salasanan, tai sitten Active Directory -domainin ylläpitäjän on annettava käyttäjätunnus ja salasana.
Tietokoneen OU: syötä määritettävän tietokoneen organisaatioyksikkö (organizational unit, OU).
Käytä todentamiseen: Valitse, jos haluat lisätä Active Directoryn tietokoneen todentamisen hakukäytäntöön.
Käytä yhteystietoihin: Valitse, jos haluat lisätä Active Directoryn tietokoneen yhteystietojen hakukäytäntöön.
Klikkaa OK.
Hakemistotyökalu luo luotetun sidonnan määritettävän tietokoneen ja Active Directory -palvelimen välille. Tietokoneen hakukäytännöt asetetaan todentauduttaessa valittujen asetusten mukaan ja Active Directory sallitaan Hakemistotyökalun Palvelut-osiossa.
Active Directoryn oletusasetuksilla Active Directory -metsä lisätään tietokoneen todentamisen ja yhteystietojen hakukäytäntöön, jos valitsit Käytä todentamiseen- ja Käytä yhteystietoihin -valintaneliöt.
Jos kuitenkin poistat Ylläpito-lisävalinnoista Salli todentaminen miltä tahansa metsän domainilta -valintaneliön valinnan ennen Sido-painikkeen klikkaamista, lähin Active Directory -domain lisätään metsän sijaan.
Voit muuttaa hakukäytäntöjä lisäämällä tai poistamalla Active Directory -metsän tai yksittäisiä domaineja. Katso Hakukäytäntöjen määrittäminen.
Määritysprofiililla sitominen
Määritysprofiilin hakemistotietosisältö voi sitoa Active Directoryyn yhden Macin tai satoja. Kuten määritysprofiilin muidenkin tietosisältöjen kanssa, voit ottaa hakemistotietosisällön käyttöön käsin, skriptillä, osana MDM-käyttöönottoa tai verkkolaitteiden hallintaratkaisulla.
Tietosisällöt ovat osa määritysprofiileja ja ylläpitäjät voivat hallita niillä tiettyjä macOS:n osia. Saat ohjeet asetusprofiilin luomiseen ottamalla yhteyttä MDM-toimittajaasi.
Komentorivillä sitominen
Voit sitoa Macin Active Directoryyn Pääte-apin dsconfigad-komennolla.
Voit sitoa Macin Active Directoryyn esim. seuraavalla komennolla:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Kun olet sitonut Macin domainiin, voit tehdä ylläpitoasetuksia Hakemistotyökalussa dsconfigad-komennolla:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Komentorivin lisävalinnat
Natiivi Active Directory -tuki sisältää vaihtoehtoja, jotka eivät näy Hakemistotyökalussa. Näet nämä lisävalinnat joko määritysprofiilin hakemistotietosisällöllä tai dsconfigad-komentorivityökalulla.
Voit tutustua komentoriviasetuksiin dsconfigad-man-sivulla.
Tietokoneobjektin salasanan vaihtoväli
Kun Mac sidotaan Active Directoryyn, järjestelmän avainnippuun tallennetaan tietokonesalasana, jota Mac muuttaa automaattisesti. Oletusarvoinen salasanan vaihtoväli on 14 päivää, mutta hakemistotietosisällöllä tai dsconfigad-komentorivityökalulla voit asettaa minkä tahansa käytäntösi vaatiman ajan.
Arvon 0 asettaminen poistaa käytöstä tilisalasanan automaattisesti vaihtamisen: dsconfigad -passinterval 0
Huomaa: Tietokoneobjektin salasana tallennetaan salasana-arvona järjestelmän avainnippuun. Jos haluat hakea salasanan, avaa Avainnippu, valitse järjestelmän avainnippu ja valitse Salasanat-kategoria. Etsi tietue, jonka nimi on /Active Directory/DOMAIN, jossa DOMAIN on Active Directory -domainin NetBIOS-nimi. Kaksoisklikkaa tietuetta ja valitse Näytä salasana -valintaneliö. Todentaudu paikallisena ylläpitäjänä tarpeen mukaan.
Nimiavaruustuki
macOS tukee useiden sellaisten käyttäjien todentamista, joilla on sama käyttäjätunnus Active Directory -metsän eri domaineissa. Jos otat käyttöön nimiavaruustuen hakemistotietosisällöllä tai dsconfigad-komentorivityökalulla, yhdellä käyttäjällä voi olla sama käyttäjätunnus yhdessä domainissa kuin toisella käyttäjällä toisessa domainissa. Molempien käyttäjien on kirjauduttava sisään domainilla, jota seuraa heidän käyttäjätunnuksensa (DOMAIN\käyttäjätunnus), samalla tavalla kuin Windows-PC:lle. Voit ottaa tämän tuen käyttöön seuraavalla komennolla:
dsconfigad -namespace <forest>
Pakettien allekirjoitus ja salaus
Open Directory -verkkolaite voi allekirjoittaa ja salata Active Directoryn kanssa kommunikoimiseen käytettävät LDAP-yhteydet. macOS:n SMB-allekirjoitustuella asennuksen tietoturvakäytäntöä ei tarvitse heikentää Macien vuoksi. Allekirjoitetut ja salatut LDAP-yhteydet poistavat myös tarpeen käyttää LDAPia SSL:n ylitse. Jos SSL-yhteyksiä tarvitaan, voit määrittää Open Directoryn käyttämään SSL:ää seuraavalla komennolla:
dsconfigad -packetencrypt ssl
Huomaa, että domain-ohjaimien varmenteiden tulee olla luotettuja, jotta SSL-salaus onnistuu. Jos domain-ohjaimen varmenteet eivät ole macOS:n natiivisti luottamien järjestelmäjuurien myöntämiä, asenna varmenneketju järjestelmän avainnippuun ja aseta se luotetuksi. macOS:n oletuksena luottamat varmentajat ovat Järjestelmäjuuret-avainnipussa. Jos haluat asentaa varmenteita ja määrittää luottamuksen, tee jokin seuraavista:
Tuo juuri- ja tarvittavat välivarmenteet määritysprofiilin varmennetietosisällöllä
Käytä /Apit/Lisäapit/-kansiossa olevaa Avainnippua
Käytä security-komentoa seuraavalla tavalla:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <varmennetiedoston_polku>
Dynaamisen DNS:n rajoittaminen
macOS yrittää oletuksena päivittää A (Address) -DNS-tietueensa kaikille verkkoliitännöille. Jos määritettynä on useita liitäntöjä, tämä saattaa aiheuttaa useita tietueita DNS:ssä. Voit hallita tätä määrittämällä, mitä liitäntää käytetään, kun DDNS:ää (Dynamic Domain Name System) päivitetään hakemistotietosisällöllä tai dsconfigad-komentorivityökalulla. Määritä DDNS-päivityksiin käytettävän liitännän BSD-nimi. BSD-nimi on sama kuin tämän komennon palauttama Device-kenttä:
networksetup -listallhardwareports
Kun käytät dsconfigad-komentoa skriptissä, sinun on sisällytettävä domainiin sitomiseen käytettävä selväkielinen salasana. Macien sitominen domainiin annetaan tyypillisesti Active Directory -käyttäjälle, jolla ei ole muita ylläpito-oikeuksia. Tämä käyttäjätunnus ja salasana tallennetaan skriptiin. Skripti laitetaan yleensä poistamaan itsensä sitomisen jälkeen, jotta tieto ei jää tallennuslaitteelle.