Préparez-vous pour macOS Sierra 10.12 avec Active Directory

Obtenez des informations sur la configuration requise pour l’utilisation de Mac OS Sierra avec Active Directory.

Les utilisateurs Active Directory sur macOS Sierra peuvent voir un message similaire à celui affiché ci-dessous lorsqu’ils tentent d’obtenir un TGT (ticket-granting-ticket) Kerberos en utilisant la commande kinit dans Terminal :

Encryption type arcfour-hmac-md5(23) used for authentication is weak and will be deprecated.

Si ce message s’affiche, votre domaine Active Directory prend uniquement en charge le chiffrement RC4 de Kerberos. Dans la mesure où ce type de chiffrement est faible, la prise en charge du chiffrement RC4 de Kerberos sera supprimée dans une prochaine version de Mac OS.

Bien que les clients Active Directory de macOS Sierra continueront à utiliser RC4, vous devez configurer votre domaine et votre forêt Active Directory de sorte qu’ils utilisent le chiffrement AES-128 ou AES-256 pour Kerberos afin de garantir leur future compatibilité.

Vérifiez si vous utilisez le chiffrement Kerberos AES

Pour vous assurer que vous utilisez le protocole de chiffrement AES, vous pouvez utiliser l’option -e avec la commande kinit pour demander de manière explicite le chiffrement AES lors de l’obtention d’un TGT. Par exemple :

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM

Si cette commande fonctionne, votre environnement Active Directory prend en charge le chiffrement Kerberos AES-128. Si la commande échoue, vous recevrez le message d’erreur suivant :

kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC

Si ce message d’erreur s’affiche, votre domaine Active Directory ne prend pas en charge le chiffrement AES et ne sera pas compatible avec les clients macOS à l’avenir.

Découvrez les autres modifications auxquelles vous devrez probablement préparer votre établissement avant d’effectuer la mise à jour vers iOS 10 ou macOS Sierra.