OS X Mavericks : utilisation d’options Active Directory avancées dans un profil de configuration
Il est possible d’utiliser un profil de configuration afin de permettre la connexion d’OS X à un domaine Active Directory.
Sous OS X Mavericks, des options Active Directory avancées, disponibles via Utilitaire d’annuaire ou l’outil de ligne de commande dsconfigad, peuvent également être configurées à l’aide d’un profil de configuration.
Commencez par utiliser une entité de répertoire OS X, créée au préalable dans le gestionnaire de profils.
Enregistrez et téléchargez le profil afin de pouvoir le modifier manuellement.
Les clés de configuration Active Directory suivantes (comme com.apple.DirectoryService.managed) peuvent être ajoutées à l’entité de répertoire. Certains réglages seront configurés uniquement si la clé associée est définie sur « true ». Par exemple, la clé ADPacketEncryptFlag doit être définie sur « true » afin que la clé ADPacketEncrypt puisse être activée.
Clé | Type | Description |
---|---|---|
HostName | Chaîne | Domaine Active Directory auquel se connecter |
UserName | Chaîne | Nom d’utilisateur du compte utilisé pour se connecter au domaine |
Password | Chaîne | Mot de passe du compte utilisé pour se connecter au domaine |
ADOrganizationalUnit | Chaîne | Unité organisationnelle à laquelle l’objet, lié à l’ordinateur devant être connecté, est ajouté |
ADMountStyle | Chaîne | Protocole de réseau domestique à utiliser (afp ou smb) |
ADCreateMobileAccountAtLoginFlag | Opérateur booléen | Activation ou désactivation de la clé ADCreateMobileAccountAtLogin |
ADCreateMobileAccountAtLogin | Opérateur booléen | Création d’un compte mobile lors de la connexion |
ADWarnUserBeforeCreatingMAFlag | Opérateur booléen | Activation ou désactivation de la clé ADWarnUserBeforeCreatingMA |
ADWarnUserBeforeCreatingMA | Opérateur booléen | Avertissement de l’utilisateur avant la création d’un compte mobile |
ADForceHomeLocalFlag | Opérateur booléen | Activation ou désactivation de la clé ADForceHomeLocal |
ADForceHomeLocal | Opérateur booléen | Ouverture forcée du répertoire du réseau local |
ADUseWindowsUNCPathFlag | Opérateur booléen | Activation ou désactivation de la clé ADUseWindowsUNCPath |
ADUseWindowsUNCPath | Opérateur booléen | Utilisation du chemin UNC dans Active Directory pour modifier l’emplacement du réseau domestique |
ADAllowMultiDomainAuthFlag | Opérateur booléen | Activation ou désactivation de la clé ADAllowMultiDomainAuth |
ADAllowMultiDomainAuth | Opérateur booléen | Permet l’authentification à partir de tout domaine de la forêt |
ADDefaultUserShellFlag | Opérateur booléen | Activation ou désactivation de la clé ADDefaultUserShell |
ADDefaultUserShell | Chaîne | Shell utilisateur par défaut (par exemple, /bin/bash) |
ADMapUIDAttributeFlag | Opérateur booléen | Activation ou désactivation de la clé ADMapUIDAttribute |
ADMapUIDAttribute | Chaîne | UID de mappage à attribuer |
ADMapGIDAttributeFlag | Opérateur booléen | Activation ou désactivation de la clé ADMapGIDAttribute |
ADMapGIDAttribute | Chaîne | Identifiant GID utilisateur de mappage à attribuer |
ADMapGGIDAttributeFlag | Opérateur booléen | Activation ou désactivation de la clé ADMapGGIDAttributeFlag |
ADMapGGIDAttribute | Chaîne | Identifiant GID de groupe de mappage à attribuer |
ADPreferredDCServerFlag | Opérateur booléen | Activation ou désactivation de la clé ADPreferredDCServer |
ADPreferredDCServer | Chaîne | Sélection de ce serveur de domaine en priorité |
ADDomainAdminGroupListFlag | Opérateur booléen | Activation ou désactivation de la clé ADDomainAdminGroupList |
ADDomainAdminGroupList | Tableau de chaînes | Autorisation d’administration par des groupes Active Directory spécifiques |
ADNamespaceFlag | Opérateur booléen | Activation ou désactivation de la clé ADNamespace |
ADNamespace | Chaîne | Définition de la nomenclature pour le compte d’utilisateur principal (« forest » ou « domain » ; « domain » étant le nom par défaut) |
ADPacketSignFlag | Opérateur booléen | Activation ou désactivation de la clé ADPacketSign |
ADPacketSign | Chaîne | Signature du paquet (commandes utilisables : « allow », « disable » ou « require » ; « allow » étant la commande par défaut) |
ADPacketEncryptFlag | Opérateur booléen | Activation ou désactivation de la clé ADPacketEncrypt |
ADPacketEncrypt | Chaîne | Chiffrement du paquet (commandes utilisables : « allow », « disable », « require » ou « ssl » ; « allow » étant la commande par défaut) |
ADRestrictDDNSFlag | Opérateur booléen | Activation ou désactivation de la clé ADRestrictDDNS |
ADRestrictDDNS | Tableau de chaînes | Application des mises à jour DNS dynamiques aux interfaces spécifiées uniquement (par exemple, en0, en1, etc) |
ADTrustChangePassIntervalDaysFlag | Opérateur booléen | Activation ou désactivation de la clé ADTrustChangePassIntervalDays |
ADTrustChangePassIntervalDays | numéro | Fréquence de modification, en jours, du mot de passe du compte de confiance de l’ordinateur (la valeur « 0 » est désactivée) |
Pour en savoir plus sur les réglages Active Directory avancés, consultez la source de cet exemple de profil de configuration.
Effectuez l’une des opérations suivantes pour installer un profil à l’aide d’une clé de configuration Active Directory avancée :
Double-cliquez sur le fichier .mobileconfig dans le Finder.
Exécutez la commande /usr/bin/profiles dans Terminal.
À l’aide de l’utilitaire Image système, ajoutez l’action « Ajouter des profils de configuration » à un processus de création d’images NetRestore ou NetInstall personnalisées.
Les configurations Active Directory avancées ne peuvent pas être déployées directement via le gestionnaire de profils.