הגדרת גישה למתחמים ב”כלי העזר למדריכי כתובות” ב-Mac
חשוב: באמצעות האפשרויות המתקדמות של המקשר של Active Directory, ניתן למפות את מזהה המשתמש הייחודי (UID), את מזהה הקבוצה הראשית (GID) ואת מאפייני GID של הקבוצה של macOS למאפיינים המתאימים בסכימה של Active Directory. עם זאת, אם תשנה/י הגדרות אלה מאוחר יותר, יתכן שהמשתמשים יאבדו את האפשרות לגשת לקבצים שנוצרו לפני כן.
פתח את ״כלי העזר למדריכי כתובות״ עבורי
איגוד באמצעות ״כלי העזר למדריכי כתובות״
ביישום “כלי העזר למדריכי כתובות” ב-Mac, לחץ/י על “שירותים”.
לחץ/י על צלמית המנעול.
הקש/י שם משתמש של מנהל/ת מערכת ולאחר מכן לחץ/י על ״שנה תצורה״ (או השתמש/י ב-Touch ID).
יש לבחור ב-Active Directory, ואז ללחוץ על הכפתור ״ערוך/י את הגדרות השירות שנבחר״ .
הקש/י את שם מארח ה-DNS של דומיין Active Directory שברצונך לאגד למחשב שהינך מגדיר/ה.
המנהל/ת של דומיין Active Directory י/תוכל לומר לך מהו שם מארח ה-DNS.
במקרה הצורך, ערוך/י את מזהה המחשב.
מזהה המחשב, השם המציין את המחשב בדומיין של Active Directory, מוגדר מראש כשם המחשב. ניתן לשנות אותו בהתאם לסכימת מתן השמות בארגון. אם אינך בטוח/ה, היוועץ/י במנהל/ת הדומיין של Active Directory.
חשוב: אם שם המחשב מכיל מקף, יתכן שלא תוכל/י לאגד לדומיין מדריכי כתובות, כגון LDAP או Active Directory. כדי לאגד את המחשבים, יש לשנות את שם המחשב לשם שאינו מכיל מקף.
אם האפשרויות המתקדמות מוסתרות, לחץ/י על המשולש ליד ״הצג אפשרויות״. ניתן לשנות הגדרות של אפשרויות מתקדמות גם במועד מאוחר יותר.
(לא חובה) לבחור את אפשרויות חוויית המשתמש.
ראה/י הגדרת חשבונות ניידים למשתמשים, הגדרת תיקיות בית עבור חשבונות משתמשים והגדרת מעטפת של UNIX עבור חשבונות משתמשים של Active Directory.
(לא חובה) לבחור את אפשרויות המיפוי.
ראה/י מיפוי מזהה הקבוצה, ה-GID הראשי וה-UID למאפיין של Active Directory.
(לא חובה) לבחור את אפשרויות הניהול.
תן עדיפות לשרת דומיין זה: כברירת-מחדל, נעשה ב-macOS שימוש במידע מהאתר ובתגובתיות בקר הדומיין כדי לקבוע באיזה בקר דומיין להשתמש. אם מוגדר כאן בקר דומיין מאותו אתר, הוא הראשון שנלקח בחשבון. אם בקר הדומיין אינו זמין, macOS חוזר לאופן הפעולה המוגדר כברירת-מחדל.
אפשר ניהול על-ידי: כאשר אפשרות זו פעילה, חברים בקבוצות Active Directory הרשומות (כברירת-מחדל, מנהלי מתחמים וארגונים) מקבלים הרשאות ניהול ב-Mac המקומי. ניתן לציין כאן גם קבוצות אבטחה רצויות.
אפשר אימות מכל דומיין ביער: כברירת-מחדל, macOS מחפש אוטומטית בכל המתחמים לביצוע אימות. להגבלת האימות לדומיין שאליו ה-Mac מאוגד, בטל/י את הבחירה בתיבת סימון זו.
לחץ/י על ״אגד״ ולאחר מכן הזן/י את הפרטים הבאים:
הערה: דרושות למשתמש הרשאות ב-Active Directory כדי לאגד מחשב לדומיין.
שם משתמש וסיסמה: יתכן שתוכל/י לבצע אימות על-ידי הקשת השם והסיסמה של חשבון המשתמש שלך ב-Active Directory, או שמנהל/ת הדומיין של Active Directory י/תצטרך לספק שם וסיסמה.
OU של המחשב: הקש/י את היחידה הארגונית (OU) עבור המחשב שהינך מגדיר/ה.
השתמש לצורך אימות: בחר/י אם ברצונך ש-Active Directory יתווסף למדיניות של חיפוש אימות במחשב.
השתמש עבור אנשי קשר: בחר/י אם ברצונך ש-Active Directory יתווסף למדיניות של חיפוש אנשי קשר במחשב.
לחץ/י על ״אישור״.
״כלי העזר למדריכי כתובות״ מגדיר אימות מהימן בין המחשב שהינך מגדיר/ה לבין השרת של Active Directory. פריטי מדיניות החיפוש של המחשב מוגדרים בהתאם לאפשרויות שבחרת כשביצעת את האימות, ו-Active Directory מוגדר כפעיל בחלונית ״שירותים״ של ״כלי העזר למדריכי כתובות״.
עם הגדרות ברירת-המחדל עבור אפשרויות מתקדמות של Active Directory, היער של Active Directory נוסף למדיניות חיפוש האימות ולמדיניות חיפוש אנשי הקשר של המחשב אם בחרת באפשרות ״השתמש לצורך אימות״ או ״השתמש עבור אנשי קשר״.
עם זאת, אם הבחירה באפשרות ״אפשר אימות מכל מתחם ביער״ תבוטל מתוך ״אפשרויות מתקדמות – ניהולי״ לפני הלחיצה על ״איגוד״, יתווסף מתחם Active Directory הקרוב ביותר במקום היער.
ניתן לשנות פריטי מדיניות חיפוש במועד מאוחר יותר על-ידי הוספה או הסרה של יער Active Directory או של מתחמים בודדים. ראה/י הגדרת מדיניות חיפוש.
איגוד באמצעות פרופיל תצורה
מדריך הכתובות מטען בפרופיל תצורה יכול להגדיר Mac בודד, או מאות מחשבי Mac באופן אוטומטי, לאיגוד ל‑Active Directory. בדומה למטענים אחרים של פרופילי תצורה, ניתן לפרוס את מטען מדריכי הכתובות ידנית, באמצעות תסריט, כחלק מהרשמת MDM או באמצעות פתרון ניהול לקוחות.
מטענים הם חלק מפרופילי תצורה והם מאפשרים למנהלים לנהל חלקים מסוימים ב-macOS. יש לפנות אל ספק ה-MDM לקבלת הוראות בנוגע ליצירת פרופיל תצורה.
איגוד באמצעות שורת הפקודה
ניתן להשתמש בפקודה dsconfigad
ביישום ״מסוף״ כדי לאגד Mac ל-Active Directory.
לדוגמא, ניתן להשתמש בפקודה הבאה כדי לאגד Mac ל-Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
לאחר האיגוד של Mac לדומיין, ניתן להשתמש בפקודה dsconfigad
כדי להגדיר את אפשרויות הניהול ב״כלי העזר למדריכי כתובות״:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
אפשרויות שורת פקודה מתקדמות
התמיכה המקורית ב-Active Directory כוללת אפשרויות שאינך רואה ב״כלי העזר למדריכי כתובות״. על-מנת לראות אפשרויות מתקדמות אלה, השתמש/י במטען ״מדריך כתובות״ בפרופיל תצורה, או בכלי שורת הפקודה dsconfigad
.
התחל/י לסקור את אפשרויות שורת הפקודה על-ידי פתיחת עמוד ה-Man בשם dsconfigad.
מרווח זמן לסיסמת אובייקט מחשב
כאשר מערכת Mac מאוגדת ל-Active Directory, היא מגדירה סיסמת חשבון מחשב המאוחסנת בצרור המפתחות של המערכת ומשתנה אוטומטית על-ידי ה-Mac. ברירת-המחדל של מרווח זמן לסיסמה היא כל 14 יום, אך ניתן להשתמש במטען מדריך הכתובות או בכלי שורת הפקודה dsconfigad
כדי להגדיר כל מרווח זמן שהמדיניות שלך מחייבת.
הגדרת הערך ל-0 אינה מאפשרת שינוי אוטומטי של סיסמת החשבון: dsconfigad -passinterval 0
הערה: סיסמת אובייקט המחשב מאוחסנת כערך סיסמה בצרור המפתחות של המערכת. כדי לאחזר את הסיסמה, פתח/י את ״גישה לצרור המפתחות״, בחר/י את צרור המפתחות של המערכת ולאחר מכן בחר/י את הקטגוריה ״סיסמאות״. חפש/י את הערך שנראה כמו /Active Directory/DOMAIN כאשר DOMAIN הוא שם ה-NetBIOS של דומיין Active Directory. לחץ/י פעמיים על ערך זה ובחר/י את תיבת הסימון ״הצג סיסמה״. בצע/י אימות כמנהל/ת מערכת מקומי/ת כנדרש.
תמיכה במרחבי שמות
macOS תומך באימות משתמשים מרובים עם אותם שמות קצרים (או שמות התחברות) הקיימים במתחמים שונים ביער של Active Directory. הפעלת תמיכה במרחבי שמות באמצעות מטען מדריך הכתובות או כלי שורת הפקודה dsconfigad
תאפשר למשתמש בדומיין אחד להחזיק בשם קצר זהה לזה של משתמש בדומיין משני. שני המשתמשים צריכים להתחבר עם שם הדומיין שלהם ואחריו השם הקצר שלהם (DOMAIN\short name), בדומה להתחברות למחשב Windows. להפעלת תמיכה זו, השתמש/י בפקודה הבאה:
dsconfigad -namespace <forest>
חתימה והצפנה של מנות
לקוח Open Directory יכול לחתום ולהצפין את חיבורי ה-LDAP המשמשים לקיום תקשורת עם Active Directory. עם התמיכה בחתימת SMB ב-macOS, לא אמור להיות צורך להוריד בדרגה את מדיניות האבטחה של האתר כדי להתאים למחשבי Mac. חיבורי ה-LDAP החתומים והמוצפנים גם מבטלים כל צורך בשימוש ב-LDAP מעל SSL. אם יש צורך בחיבורי SSL, השתמש/י בפקודה הבאה כדי להגדיר את Open Directory לשימוש ב-SSL:
dsconfigad -packetencrypt ssl
שים/י לב שעל-מנת שהצפנת SSL תצליח, האישורים שנמצאים בשימוש בבקרי הדומיין חייבים להיות מהימנים. אם אישורי בקר הדומיין אינם מונפקים בבסיסי המערכת המהימנים המקוריים של macOS, התקן/י את שרשרת האישורים ותן/י בה אמון בצרור המפתחות של המערכת. גורמים מאשרים הנחשבים מהימנים ב-macOS כברירת-מחדל נמצאים בצרור המפתחות ״שורשי המערכת״. על-מנת להתקין אישורים ולבסס אמון, בצע/י אחת מהפעולות הבאות:
ייבא/י את אישור הבסיס וכל אישור מתווך נחוץ באמצעות מטען האישורים בפרופיל תצורה
השתמש/י ביישום ״גישה לצרור המפתחות״ הממוקם ב-/Applications/Utilities/
השתמש/י בפקודה אבטחה בצורה זו:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
הגבלת DNS דינאמי
כברירת-מחדל, macOS מנסה לעדכן את רשומת Address (A) שלו ב-DNS עבור כל הממשקים. אם מוגדרים מספר ממשקים, הדבר עלול להביא לריבוי רשומות ב-DNS. על-מנת לנהל אופן פעולה זה, ציין/י באיזה ממשק יש להשתמש בעת עדכון ה-Dynamic Domain Name System (DDNS) באמצעות מטען מדריך הכתובות או כלי שורת הפקודה dsconfigad
. ציין/י את שם ה-BSD של הממשק שבו יש לשייך את עדכוני ה-DDNS. שם ה-BSD זהה לשדה Device, המוחזר על-ידי הפעלת פקודה זו:
networksetup -listallhardwareports
בעת שימוש ב-dsconfigad
בתסריט, יש לכלול את סיסמת המלל הרגיל המשמשת לאיגוד לדומיין. בדרך כלל, משתמש Active Directory ללא הרשאות ניהוליות אחרות, מקבל את האחריות לאגד מחשבי Mac לדומיין. צמד השם והסיסמה של משתמש זה מאוחסן בתסריט. שיטת פעולה נפוצה היא הגדרת התסריט למחוק את עצמו באופן מאובטח לאחר האיגוד על-מנת שפרטים אלה לא יישארו בהתקן האחסון.