הגדרת גישה למתחמים ב”כלי העזר למדריכי כתובות” ב-Mac

1. ביישום “כלי העזר למדריכי כתובות” ב-Mac, לחץ/י על “שירותים”.

2. לחץ/י על צלמית המנעול.

3. הקש/י שם משתמש של מנהל/ת מערכת ולאחר מכן לחץ/י על ״שנה תצורה״ (או השתמש/י ב-Touch ID).

4. יש לבחור ב-Active Directory, ואז ללחוץ על הכפתור ״ערוך/י את הגדרות השירות שנבחר״ .

5. הקש/י את שם מארח ה-DNS של מתחם Active Directory שברצונך לאגד למחשב שהינך מגדיר/ה.

   המנהל/ת של מתחם Active Directory י/תוכל לומר לך מהו שם מארח ה-DNS.

6. במקרה הצורך, ערוך/י את מזהה המחשב.

   מזהה המחשב, השם המציין את המחשב במתחם של Active Directory, מוגדר מראש כשם המחשב. ניתן לשנות אותו בהתאם לסכימת מתן השמות בארגון. אם אינך בטוח/ה, היוועץ/י במנהל/ת המתחם של Active Directory.

   חשוב: אם שם המחשב מכיל מקף, יתכן שלא תוכל/י לאגד למתחם מדריכי כתובות, כגון LDAP או Active Directory. על-מנת ליצור איגוד, השתמש/י בשם מחשב שאינו מכיל מקף.

7. אם האפשרויות המתקדמות מוסתרות, לחץ/י על המשולש ליד ״הצג אפשרויות״. ניתן לשנות הגדרות של אפשרויות מתקדמות גם במועד מאוחר יותר.

8. (לא חובה) בחר/י אפשרויות בחלונית ״חוויית המשתמש״.

   ראה/י הגדרת חשבונות ניידים למשתמשים, הגדרת תיקיות בית עבור חשבונות משתמשים והגדרת מעטפת של UNIX עבור חשבונות משתמשים של Active Directory.

9. (לא חובה) בחר/י אפשרויות בחלונית ״מיפויים״.

   ראה/י מיפוי מזהה הקבוצה, ה-GID הראשי וה-UID למאפיין של Active Directory.

10. (לא חובה) בחר/י אפשרויות בחלונית ״ניהולי״.

    • תן עדיפות לשרת מתחם זה: כברירת-מחדל, נעשה ב-macOS שימוש במידע מהאתר ובתגובתיות בקר המתחם כדי לקבוע באיזה בקר מתחם להשתמש. אם מוגדר כאן בקר מתחם מאותו אתר, הוא הראשון שנלקח בחשבון. אם בקר המתחם אינו זמין, macOS חוזר לאופן הפעולה המוגדר כברירת-מחדל.

    • אפשר ניהול על-ידי: כאשר אפשרות זו פעילה, חברים בקבוצות Active Directory הרשומות (כברירת-מחדל, מנהלי מתחמים וארגונים) מקבלים הרשאות ניהול ב-Mac המקומי. ניתן לציין כאן גם קבוצות אבטחה רצויות.

    • אפשר אימות מכל מתחם ביער: כברירת-מחדל, macOS מחפש אוטומטית בכל המתחמים לביצוע אימות. להגבלת האימות למתחם שאליו ה-Mac מאוגד, בטל/י את הבחירה בתיבת סימון זו.

    ראה/י בקרת אימות מכל המתחמים ביער של Active Directory.

11. לחץ/י על ״אגד״ ולאחר מכן הזן/י את הפרטים הבאים:

    הערה: דרושות למשתמש הרשאות ב-Active Directory כדי לאגד מחשב למתחם.

    • שם משתמש וסיסמה: יתכן שתוכל/י לבצע אימות על-ידי הקשת השם והסיסמה של חשבון המשתמש שלך ב-Active Directory, או שמנהל/ת המתחם של Active Directory י/תצטרך לספק שם וסיסמה.

    • OU של המחשב: הקש/י את היחידה הארגונית (OU) עבור המחשב שהינך מגדיר/ה.

    • השתמש לצורך אימות: בחר/י אם ברצונך ש-Active Directory יתווסף למדיניות של חיפוש אימות במחשב.

    • השתמש עבור אנשי קשר: בחר/י אם ברצונך ש-Active Directory יתווסף למדיניות של חיפוש אנשי קשר במחשב.

12. לחץ/י על ״אישור״.

    ״כלי העזר למדריכי כתובות״ מגדיר אימות מהימן בין המחשב שהינך מגדיר/ה לבין השרת של Active Directory. פריטי מדיניות החיפוש של המחשב מוגדרים בהתאם לאפשרויות שבחרת כשביצעת את האימות, ו-Active Directory מוגדר כפעיל בחלונית ״שירותים״ של ״כלי העזר למדריכי כתובות״.

    עם הגדרות ברירת-המחדל עבור אפשרויות מתקדמות של Active Directory, היער של Active Directory נוסף למדיניות חיפוש האימות ולמדיניות חיפוש אנשי הקשר של המחשב אם בחרת באפשרות ״השתמש לצורך אימות״ או ״השתמש עבור אנשי קשר״.

    עם זאת, אם תבטל/י את הבחירה באפשרות ״אפשר אימות מכל מתחם ביער״ בחלונית ״אפשרויות מתקדמות – ניהולי״ בטרם תלחץ/י על ״אגד״, יתווסף מתחם Active Directory הקרוב ביותר במקום היער.

    ניתן לשנות פריטי מדיניות חיפוש במועד מאוחר יותר על-ידי הוספה או הסרה של יער Active Directory או של מתחמים בודדים. ראה/י הגדרת מדיניות חיפוש.

מטען מדריכי הכתובות בפרופיל תצורה יכול להגדיר Mac בודד, או מאות מחשבי Mac באופן אוטומטי, לאיגוד ל-Active Directory. בדומה למטענים אחרים של פרופילי תצורה, ניתן לפרוס את מטען מדריכי הכתובות ידנית, באמצעות תסריט, כחלק מהרשמת MDM או באמצעות פתרון ניהול לקוחות.

מטענים הם חלק מפרופילי תצורה והם מאפשרים למנהלים לנהל חלקים מסוימים ב-macOS. במנהל הפרופילים, עליך לבחור את אותם מאפיינים שהיית בוחר/ת ב״כלי העזר למדריכי כתובות״. לאחר מכן, בחר/י כיצד מחשבי ה-Mac יקבלו את פרופיל התצורה.

ביישום ״שרת” ב-Mac, בצע/י את הפעולות הבאות:

• כדי להגדיר את מנהל הפרופילים, ראה/י הפעלת מנהל הפרופילים במדריך למשתמש של macOS Server.

• ליצירת מטען של Active Directory, ראה/י הגדרות מטען MDM של מדריכי כתובות עבור מכשירי Apple ב”הגדרות ניהול מכשירים ניידים (MDM) עבור צוותי טכנולוגיית מידע”.

אם היישום “שרת” אינו מותקן, הורד/י אותו מה-Mac App Store.

ניתן להשתמש בפקודה dsconfigad ביישום ״מסוף״ כדי לאגד Mac ל-Active Directory.

לדוגמא, ניתן להשתמש בפקודה הבאה כדי לאגד Mac ל-Active Directory:

לאחר האיגוד של Mac למתחם, ניתן להשתמש בפקודה dsconfigad כדי להגדיר את אפשרויות הניהול ב״כלי העזר למדריכי כתובות״:

אפשרויות שורת פקודה מתקדמות

התמיכה המקורית ב-Active Directory כוללת אפשרויות שאינך רואה ב״כלי העזר למדריכי כתובות״. על-מנת לראות אפשרויות מתקדמות אלה, השתמש/י במטען ״מדריך כתובות״ בפרופיל תצורה, או בכלי שורת הפקודה dsconfigad.

• התחל/י לסקור את אפשרויות שורת הפקודה על-ידי פתיחת עמוד ה-Man בשם dsconfigad.

מרווח זמן לסיסמת אובייקט מחשב

כאשר מערכת Mac מאוגדת ל-Active Directory, היא מגדירה סיסמת חשבון מחשב המאוחסנת בצרור המפתחות של המערכת ומשתנה אוטומטית על-ידי ה-Mac. ברירת-המחדל של מרווח זמן לסיסמה היא כל 14 יום, אך ניתן להשתמש במטען מדריך הכתובות או בכלי שורת הפקודה dsconfigad כדי להגדיר כל מרווח זמן שהמדיניות שלך מחייבת.

הגדרת הערך ל-0 אינה מאפשרת שינוי אוטומטי של סיסמת החשבון: dsconfigad -passinterval 0

תמיכה במרחבי שמות

‏macOS תומך באימות משתמשים מרובים עם אותם שמות קצרים (או שמות התחברות) הקיימים במתחמים שונים ביער של Active Directory. הפעלת תמיכה במרחבי שמות באמצעות מטען מדריך הכתובות או כלי שורת הפקודה dsconfigad תאפשר למשתמש במתחם אחד להחזיק בשם קצר זהה לזה של משתמש במתחם משני. שני המשתמשים צריכים להתחבר עם שם המתחם שלהם ואחריו השם הקצר שלהם (DOMAIN\short name), בדומה להתחברות למחשב Windows. להפעלת תמיכה זו, השתמש/י בפקודה הבאה:

dsconfigad -namespace <forest>‎

חתימה והצפנה של מנות

לקוח Open Directory יכול לחתום ולהצפין את חיבורי ה-LDAP המשמשים לקיום תקשורת עם Active Directory. עם התמיכה בחתימת SMB ב-macOS, לא אמור להיות צורך להוריד בדרגה את מדיניות האבטחה של האתר כדי להתאים למחשבי Mac. חיבורי ה-LDAP החתומים והמוצפנים גם מבטלים כל צורך בשימוש ב-LDAP מעל SSL. אם יש צורך בחיבורי SSL, השתמש/י בפקודה הבאה כדי להגדיר את Open Directory לשימוש ב-SSL:

dsconfigad -packetencrypt ssl

שים/י לב שעל-מנת שהצפנת SSL תצליח, האישורים שנמצאים בשימוש בבקרי המתחם חייבים להיות מהימנים. אם אישורי בקר המתחם אינם מונפקים בבסיסי המערכת המהימנים המקוריים של macOS, התקן/י את שרשרת האישורים ותן/י בה אמון בצרור המפתחות של המערכת. גורמים מאשרים הנחשבים מהימנים ב-macOS כברירת-מחדל נמצאים בצרור המפתחות ״שורשי המערכת״. על-מנת להתקין אישורים ולבסס אמון, בצע/י אחת מהפעולות הבאות:

• ייבא/י את אישור הבסיס וכל אישור מתווך נחוץ באמצעות מטען האישורים בפרופיל תצורה

• השתמש/י ביישום ״גישה לצרור המפתחות״ הממוקם ב-/Applications/Utilities/

• השתמש/י בפקודה אבטחה בצורה זו:

  ‎/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>‎

הגבלת DNS דינאמי

כברירת-מחדל, macOS מנסה לעדכן את רשומת Address ‏(A) שלו ב-DNS עבור כל הממשקים. אם מוגדרים מספר ממשקים, הדבר עלול להביא לריבוי רשומות ב-DNS. על-מנת לנהל אופן פעולה זה, ציין/י באיזה ממשק יש להשתמש בעת עדכון ה-Dynamic Domain Name System ‏(DDNS) באמצעות מטען מדריך הכתובות או כלי שורת הפקודה dsconfigad. ציין/י את שם ה-BSD של הממשק שבו יש לשייך את עדכוני ה-DDNS. שם ה-BSD זהה לשדה Device, המוחזר על-ידי הפעלת פקודה זו:

networksetup -listallhardwareports

בעת שימוש ב-dsconfigad בתסריט, יש לכלול את סיסמת המלל הרגיל המשמשת לאיגוד למתחם. בדרך כלל, משתמש Active Directory ללא הרשאות ניהוליות אחרות, מקבל את האחריות לאגד מחשבי Mac למתחם. צמד השם והסיסמה של משתמש זה מאוחסן בתסריט. שיטת פעולה נפוצה היא הגדרת התסריט למחוק את עצמו באופן מאובטח לאחר האיגוד על-מנת שפרטים אלה לא יישארו בהתקן האחסון.