Configure l’accès à un domaine dans Utilitaire d’annuaire sur Mac
Important : des options avancées du connecteur Active Directory permettent de mapper l’identifiant d’utilisateur unique (UID) de macOS, l’identifiant de groupe (GID) principal et les attributs d’identifiant de groupe avec les attributs appropriés du schéma Active Directory. Cependant, si vous modifiez ultérieurement ces réglages, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment.
Liaison à l’aide d’Utilitaire d’annuaire
Dans l’app Utilitaire d’annuaire sur votre Mac, cliquez sur Services.
Cliquez sur l’icône de cadenas.
Saisissez un nom d’utilisateur et un mot de passe d’administrateur, puis cliquez sur Modifier la configuration (ou utilisez Touch ID).
Sélectionnez « Active Directory », puis cliquez sur le bouton « Modifier les réglages du service sélectionné » .
Saisissez le nom d’hôte DNS du domaine Active Directory auquel vous souhaitez lier l’ordinateur en cours de configuration.
L’administrateur du domaine Active Directory peut vous communiquer le nom d’hôte DNS.
Si nécessaire, modifiez l’identifiant de l’ordinateur.
L’identifiant de l’ordinateur, c’est-à-dire le nom sous lequel il est enregistré dans le domaine Active Directory, est par défaut le nom de l’ordinateur. Vous pouvez modifier cela afin de respecter le schéma de dénomination de votre organisation. En cas de doute, prenez contact avec l’administrateur du domaine Active Directory.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir le lier à un domaine d’annuaire tel que LDAP ou Active Directory. Pour établir une liaison, utilisez un nom d’ordinateur ne comportant pas de trait d’union.
Si les options avancées sont masquées, cliquez sur le triangle d’affichage en regard de « Afficher les options ». Vous pouvez également modifier les réglages d’options avancées ultérieurement.
(Facultatif) Sélectionnez des options dans la sous-fenêtre Expérience utilisateur.
Consultez les rubriques Configurer des comptes utilisateur mobiles, Configurer des dossiers de départ pour des comptes utilisateur et Définir un shell UNIX pour des comptes utilisateur Active Directory.
(Facultatif) Sélectionnez des options dans la sous-fenêtre Mappages.
Consultez la rubrique Mapper l’identifiant de groupe, l’identifiant de groupe principal et l’identifiant d’utilisateur avec un attribut Active Directory.
(Facultatif) Sélectionnez des options dans la sous-fenêtre Administratif.
Préférer ce serveur de domaine : Par défaut, macOS utilise les informations du site et la réactivité du contrôleur de domaine pour déterminer le contrôleur de domaine à utiliser. Si un contrôleur de domaine du même site est indiqué ici, il est consulté en premier. Si le contrôleur de domaine est indisponible, macOS revient au comportement par défaut.
Permettre l’administration par : Lorsque cette option est activée, les membres des groupes Active Directory répertoriés (par défaut, les administrateurs du domaine et de l’entreprise) reçoivent des autorisations d’administrateur sur le Mac local. Vous pouvez également indiquer ici les groupes de sécurité de votre choix.
Autoriser l’authentification depuis n’importe quel domaine de la forêt : Par défaut, macOS recherche automatiquement à s’authentifier pour tous les domaines. Pour limiter l’authentification au domaine auquel le Mac est associé, décochez cette case.
Consultez la rubrique Contrôler l’authentification à partir de tous les domaines de la forêt Active Directory.
Cliquez sur Liaison, puis saisissez les informations suivantes :
Remarque : l’utilisateur doit disposer dans Active Directory d’autorisations lui permettant de lier un ordinateur au domaine.
Nom d’utilisateur et mot de passe : Vous pouvez vous authentifier en saisissant le nom et le mot de passe de votre compte utilisateur Active Directory ou en ayant recours au nom et au mot de passe d’un administrateur du domaine Active Directory.
Clé OU ordinateur : Saisissez l’unité organisationnelle (OU) de l’ordinateur en cours de configuration.
Utiliser pour l’authentification : Sélectionnez cette option si vous voulez qu’Active Directory soit ajouté aux règles de recherche d’authentification de l’ordinateur.
Utiliser pour les contacts : Sélectionnez cette option si vous voulez qu’Active Directory soit ajouté aux règles de recherche de contacts de l’ordinateur.
Cliquez sur OK.
Utilitaire d’annuaire configure la liaison sécurisée entre l’ordinateur que vous êtes en train de configurer et le serveur Active Directory. Les règles de recherche de l’ordinateur sont configurées en fonction des options que vous avez sélectionnées lorsque vous vous êtes authentifié et Active Directory est activé dans la sous-fenêtre Services d’Utilitaire d’annuaire.
Avec les réglages par défaut des options avancées d’Active Directory, la forêt Active Directory est ajoutée aux règles de recherche d’authentification et de contacts de l’ordinateur si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour les contacts ».
Toutefois, si vous désélectionnez l’option « Autoriser l’authentification depuis n’importe quel domaine de la forêt » dans la sous-fenêtre Options avancées d’Administratif avant de cliquer sur Relier, c’est le domaine Active Directory le plus proche qui est ajouté, et non la forêt.
Vous pouvez modifier les règles de recherche ultérieurement en ajoutant ou en supprimant la forêt ou des domaines individuels Active Directory. Consultez la rubrique Définir des règles de recherche.
Effectuer une liaison à l’aide d’un profil de configuration
Les données utiles d’annuaire d’un profil de configuration peuvent configurer un Mac unique, ou automatiser des centaines d’ordinateurs Mac en vue d’une liaison à Active Directory. Comme pour d’autres données utiles de profil de configuration, vous pouvez les déployer manuellement, à l’aide d’un script, dans le cadre d’une inscription à un service MDM, ou à l’aide d’une solution de gestion de clients.
Les données utiles font partie des profils de configuration et permettent aux administrateurs de gérer des aspects spécifiques de macOS. Sélectionnez dans Gestionnaire de profils les mêmes fonctionnalités que dans Utilitaire d’annuaire. Vous choisissez ensuite comment les ordinateurs Mac reçoivent le profil de configuration.
Dans l’app Serveur sur votre Mac, procédez comme suit :
Pour configurer Gestionnaire de profils, consultez la rubrique Démarrer Gestionnaire de profils dans le Guide d’utilisation de macOS Server.
Pour créer des données utiles Active Directory, consultez la rubrique Réglages des données utiles MDM Annuaire pour les appareils Apple du guide Réglages de la gestion des appareils mobiles pour les administrateurs informatiques.
Si vous ne disposez pas de l’app Serveur, vous pouvez la télécharger depuis le Mac App Store.
Liaison à l’aide de la ligne de commande
Vous pouvez utiliser la commande dsconfigad
dans l’app Terminal pour lier un Mac à Active Directory.
Par exemple, la commande suivante peut être utilisée pour lier un Mac à Active Directory :
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Une fois que vous avez lié un Mac au domaine, vous pouvez utiliser dsconfigad
pour définir les options d’administration dans Utilitaire d’annuaire :
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Options de ligne de commande avancées
La prise en charge native d’Active Directory comprend des options que vous ne voyez pas dans Utilitaire d’annuaire. Pour voir ces options avancées, utilisez soit les données utiles d’annuaire d’un profil de configuration, soit l’outil de ligne de commande dsconfigad
.
Commencez à consulter les options de ligne de commande en ouvrant la page man pour dsconfigad.
Durée de validité des mots de passe d’objet d’ordinateur
Lorsqu’un système Mac est lié à Active Directory, il définit un mot de passe de compte d’ordinateur stocké dans le trousseau système et automatiquement modifié par le Mac. La durée de validité par défaut pour le mot de passe est de 14 jours, mais vous pouvez utiliser les données utiles d’annuaire ou l’outil de ligne de commande dsconfigad
pour définir la durée requise par vos règles.
Si vous définissez la valeur sur 0, la modification automatique du mot de passe de compte est désactivée : dsconfigad -passinterval 0
Remarque : le mot de passe d’objet d’ordinateur est stocké en tant que valeur de mot de passe dans le trousseau système. Pour récupérer le système, ouvrez Trousseaux d’accès, sélectionnez le trousseau système, puis sélectionnez la catégorie Mots de passe. Trouvez l’entrée ressemblant à /Active Directory/DOMAINE, où DOMAINE est le nom NetBIOS du domaine Active Directory. Cliquez deux fois sur cette entrée, puis cochez la case « Afficher le mot de passe ». Authentifiez-vous comme administrateur local le cas échéant.
Prise en charge des espaces de nom
macOS prend en charge l’authentification de plusieurs utilisateurs avec les mêmes noms abrégés (ou noms de connexion) existant dans différents domaines de la forêt Active Directory. Si vous activez la prise en charge des espaces de nom avec les données utiles Annuaire ou l’outil de ligne de commande dsconfigad
, un utilisateur d’un domaine peut avoir le même nom court qu’un utilisateur dans un domaine secondaire. Les deux utilisateurs doivent se connecter en saisissant le nom de leur domaine suivi de leur nom court (DOMAINE\nom court), comme pour la connexion à un PC Windows. Pour activer cette prise en charge, utilisez la commande suivante :
dsconfigad -namespace <forest>
Signature et chiffrement de paquet
Le client Open Directory peut signer et chiffrer les connexions LDAP utilisées pour communiquer avec Active Directory. Grâce à la prise en charge des SMB signés sous macOS, il n’est normalement pas nécessaire de revenir à une version antérieure des règles de sécurité du site pour les ordinateurs Mac. Les connexions LDAP signées et chiffrées évitent également d’avoir à utiliser LDAP via SSL. Si des connexions SSL sont requises, utilisez la commande suivante pour configurer Open Directory afin de permettre l’utilisation de connexions SSL :
dsconfigad -packetencrypt ssl
Sachez que les certificats utilisés sur les contrôleurs de domaine doivent être fiables pour que le chiffrement SSL réussisse. Si les certificats du contrôleur de domaine ne sont pas générés par les racines système fiables natives de macOS, installez la chaîne de certificat dans le trousseau système et indiquez sa fiabilité. Les autorités de certificat indiquées comme fiables par défaut sous macOS se trouvent dans le trousseau Racines du système. Pour installer des certificats et indiquer leur fiabilité, effectuez l’une des opérations suivantes :
Importez le certificat racine et tout certificat intermédiaire nécessaire à l’aide des données utiles de certificat dans un profil de configuration.
Utilisez Trousseaux d’accès dans /Applications/Utilitaires/.
Utilisez la commande de sécurité suivante :
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <chemin/vers/le/certificat>
Restreindre les DNS dynamiques
macOS tente de mettre à jour son enregistrement d’adresse (A) dans le DNS pour toutes les interfaces par défaut. Si plusieurs interfaces sont configurées, cela peut entraîner la création de plusieurs enregistrements dans le DNS. Pour gérer ce comportement, indiquez quelle interface utiliser lors de la mise à jour du système de nom de domaine dynamique (DDNS) à l’aide des données utiles Annuaire ou de l’outil de ligne de commande dsconfigad
. Indiquez le nom BSD de l’interface dans laquelle associer les mises à jour DDNS. Le nom BSD est le même que le champ Appareil, renvoyé par l’exécution de la commande suivante :
networksetup -listallhardwareports
Lorsque vous utilisez dsconfigad
dans un script, vous devez inclure le mot de passe (en clair) utilisé pour la liaison au domaine. Généralement, un utilisateur Active Directory sans autres autorisations d’administrateur a la responsabilité de lier l’ordinateur Mac au domaine. Cette paire nom d’utilisateur/mot de passe est stockée dans le script. Le script se supprime généralement automatiquement de manière sécurisée après la liaison afin que ces informations ne se trouvent plus sur l’appareil de stockage.