डोमेन एक्सेस कॉन्फ़िगर करें
महत्वपूर्ण : Active Directory कनेक्टर के उन्नत विकल्प के साथ, आप Active Directory स्कीमा में ऐट्रिब्यूट सुधारने के लिए macOS यूनिक प्रयोगकर्ता ID (UID), प्राइमरी समूह ID (GID), और समूह GID ऐट्रिब्यूट मैप सकते हैं। हालांकि, यदि आप इन सेटिंग्ज़ को बाद में बदलते हैं, तो हो सकता है प्रयोगकर्ता पहले बनाई गई फ़ाइलें एक्सेस न कर पाएँ।
मेरे लिए डायरेक्टरी यूटिलिटी खोलें
डायरेक्टरी यूटिलिटी की मदद से जोड़ें
सेवाएँ पर क्लिक करें।
“लॉक” आइकॉन पर क्लिक करें।
व्यवस्थापक का प्रयोगकर्ता नाम और पासवर्ड डालें, फिर कॉन्फ़िगरेशन संशोधित करें पर क्लिक करें (या Touch ID का उपयोग करें)।
Active Directory चुनें, फिर संपादित करें बटन (पेंसिल जैसा दिखता है) पर क्लिक करें।
Active Directory डोमेन का DNS होस्ट दर्ज करें जिसे आप अपने कॉन्फ़िगर किए जा रहे कंप्यूटर के साथ जोड़ना चाहते हैं।
Active Directory डोमेन का एडमिनिस्ट्रेटर आपको DNS होस्ट का नाम बता सकता है।
यदि आवश्यक हो, तो कंप्यूटर ID संपादित करें।
कंप्यूटर ID, यानी वह नाम जिससे Active Directory डोमेन कंप्यूटर को पहचानता है, कंप्यूटर के नाम में प्रीसेट किया हुआ रहता है। आप इसे अपने संगठन की नामकरण योजना के अनुरूप बदल सकते हैं। यदि आप सुनिश्चित नहीं है तो Active Directory डोमेन व्यवस्थापक से पूछें।
महत्वपूर्ण : यदि आपके कंप्यूटर के नाम में हाइफन है, तो आप LDAP या Active Directory जैसा डायरेक्टरी डोमेन नहीं जोड़ पाएंगे। संयोजन स्थापित करने के लिए, ऐसा कंप्यूटर नाम उपयोग करें जिसमें हाइफन न हो।
(वैकल्पिक) प्रयोगकर्ता अनुभव पैन में विकल्प चुनें।
अधिक जानकारी के लिए देखें मोबाइल प्रयोगकर्ता खाता सेट अप करें, प्रयोगकर्ता खाता के लिए होम फ़ोल्डर सेट अप करें, और Active Directory के लिए UNIX शेल सेट करें।
(वैकल्पिक) मैपिंग पैन में विकल्प चुनें।
अधिक जानकारी के लिए Active Directory ऐट्रिब्यूट में समूह ID, प्राइमरी ID और UID मैप करें देखें।
(वैकल्पिक) उन्नत विकल्प चुनें। आप बाद में उन्नत विकल्प सेटिंग्ज़ भी बदल सकते हैं।
यदि उन्नत विकल्प छिपे हुए हैं तो विंडो में प्रकटीकरण त्रिभुज पर क्लिक करें।
इस डोमेन सर्वर को वरीयता दें : पूर्वनिर्धारित रूप से, कौन सा डोमेन कंट्रोलर उपयोग करना है यह तय करने के लिए macOS साइट जानकारी और डोमेन कंट्रोलर रेस्पॉंसिवनेस का उपयोग करता है। यदि समान साइट में डोमेन कंट्रोलर यहाँ निर्धारित है, तो पहले इसे संपर्क करना चाहिए। यदि डोमेन कंट्रोलर अनुपलब्ध है, तो macOS वापस पूर्वनिर्धारित व्यवहार पर लौट जाता है।
इससे व्यवस्थापक को अनुमति दें : जब यह विकल्प सक्षम किया जाता है तो सूचीबद्ध Active Directory समूह (पूर्वनिर्धारित रूप से, डोमेन तथा एंटरप्राइज एडमिन) को लोकल Mac पर व्यवस्थापकीय विशेषाधिकार प्रदान किए जाते हैं। आप यहाँ वांछित सुरक्षा समूह भी विनिर्दिष्ट कर सकते हैं।
फॉरेस्ट में किसी भी डोमेन से ऑथेंटिकेशन की अनुमति दें : पूर्वनिर्धारित रूप से, macOS द्वारा ऑथेंटिकेशन के लिए सभी डोमेन की स्वचालित जाँच की जाती है। ऑथेंटिकेशन केवल Mac के डोमेन तक सीमित रखने के लिए इस चेकबॉक्स को अचयनित करें।
डायरेक्टरी यूटिलिटी में उन्नत विकल्पों के के बारे में अधिक जानकारी के लिए, देखें :
बाइंड करें पर क्लिक करें, फिर निम्नलिखित जानकारी दर्ज करें :
नोट : डोमेन से कंप्यूटर जोड़ने के लिए Active Directory में प्रयोगकर्ता की प्रिवलेज होनी चाहिए।
प्रयोगकर्ता नाम और पासवर्ड : अपने Active Directory प्रयोगकर्ता खाते का नाम और पासवर्ड दर्ज कर आप प्रमाणित करने में सफल हो सकते हैं, या Active Directory डोमेन व्यवस्थापक को नाम और पासवर्ड प्रदान करना पड़ सकता है।
कंप्यूटर OU: जिस कंप्यूटर को आप कॉन्फिगर कर रहे हैं उसके लिए ऑर्गनाइजेशनल यूनिट (OU) दर्ज करें।
ऑथेंटिकेशन के लिए उपयोग करें : सेलेक्ट करें यदि आप कंप्यूटर की ऑथेंटिकेशन खोज नीति में Active Directory जोड़ना चाहते हैं।
संपर्क के लिए उपयोग करें : यदि आप कंप्यूटर की संपर्क खोज नीति में Active Directory जोड़ना चाहते हैं तो इसे चुनें।
OK पर क्लिक करें।
डायरेक्टरी यूटिलिटी आपके द्वारा कॉन्फ़िगर किए जाने वाले कंप्यूटर और Active Directory सर्वर के बीच भरोसेमंद बाइंडिंग सेट अप करता है। कंप्यूटर की खोज नीतियाँ आपके ऑथेंटिकेट करने और डायरेक्टरी यूटिलिटी सर्विस पैन में Active Directory सक्षम होने पर आपके द्वारा चुने गए विकल्पों के अनुसार सेट की जाती हैं।
Active Directory उन्नत विकल्पों के लिए डिफॉल्ट सेटिंग के साथ, Active Directory फॉरेस्ट कंप्यूटर के ऑथेंटिकेशन खोज नीति और संपर्क की खोज की नीति में जुड़ जाता है यदि आपने “ऑथेंटिकेशन के लिए उपयोग” या “संपर्क के लिए उपयोग” चुना हो।
हालांकि, यदि आपने बाइंड पर क्लिक करने से पहले एडमिनिस्ट्रेटिव उन्नत विकल्प पैन में “फॉरेस्ट में किसी भी डोमेन से ऑथेंटिकेशन की अनुमति दें” अचयनित किया हो, तो फॉरेट की बजाए निकटतम Active Directory डोमेन जुड़ जाता है।
आप बाद में Active Directory फ़ॉरेस्ट या कोई एकल डोमेन हटाकर खोज नीतियाँ बदल सकते हैं। अधिक जानकारी के लिए खोज नीतियों को परिभाषित करें देखें।
किसी कॉन्फ़िगरेशन प्रोफ़ाइल की मदद से बाइंड करें
Active Directory को बाइंड करने के लिए कॉन्फ़िगरेशन प्रोफ़ाइल में डायरेक्टरी पेलोड कोई एकल Mac कॉन्फ़िगर कर सकता है, या सैकड़ों Mac कंप्यूटर स्वचालित कर सकता है। जैसा कि अन्य कॉन्फ़िगरेशन प्रोफ़ाइल पेलोड के साथ होता है, MDM नामांकन के अंग के रूप में, या क्लाइंट-प्रबंधित समाधान का उपयोग करते हुए स्क्रिप्ट की मदद से आप स्वयं डायरेक्टरी पेलोड नियुक्त कर सकते हैं।
पेलोड कॉन्फ़िगरेशन प्रोफ़ाइल के अंग होते हैं और macOS के विशेष हिस्सों के प्रबंधित के लिए व्यवस्थापक को अनुमति देते हैं। प्रोफ़ाइल प्रबंधक में आप वे ही फीचर चुनते हैं जो डायरेक्टरी यूटिलिटी में चुनेंगे। फिर आप यह चुनते हैं कि कैसे Mac कंप्यूटर कॉन्फ़िगरेशन प्रॉफ़ाइल प्राप्त करता है।
Mac App Store से macOS सर्वर की कॉपी डाउनलोड करें।
प्रोफ़ाइल मैनेजर सहायता में जाएँ, फिर प्रोफ़ाइल मैनेजर कॉन्फ़िगर करें।
Active Directory पेलोड बनाने के लिए प्रोफ़ाइल मैनेजर में डायरेक्टरी सेटिंग्ज़ खोलें।
कमांड लाइन की मदद से बाइंड करें
साथ ही आप, Active Directory
से अपना Mac जोड़ने के लिए टर्मिनल ऐप में dsconfigad कमांड उपयोग कर सकते हैं।
उदाहरण के लिए, Active Directory से Mac जोड़ने के लिए निम्नलिखित कमांड उपयोग किया जा सकता है।
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
डोमेने से Mac जोड़ने के बाद, आप डायरेक्टरी यूटिलिटी मेंएडमिनिस्ट्रेटिव
विकल्प सेट करने के लिए dsconfigad उपयोग कर सकते हैं :
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
उन्नत कमांड–लाइन विकल्प
Active Directory के लिए नेटिव सपोर्ट में शामिल हैं वे विकल्प जिन्हें आप डायरेक्टरी यूटिलिटी में नहीं देखते। इन उन्नत विकल्पों को देखने के लिए, कॉन्फ़िगरेशन प्रोफ़ाइल में डायरेक्टरी पेलोड का उपयोग करें, या dsconfigad
कमांड–लाइन टूल का उपयोग करें।
ह dsconfigad मैन पृष्ठ खोलकर कमांड-लाइन विकल्प की समीक्षा करना आरंभ करें।
कंप्यूटर ऑब्जेक्ट पासवर्ड इंटर्वल
जब कोई Mac सिस्टम Active Directory से जुड़ा होता है तो यह कंप्यूतर अकाउंट पासवर्ड सेट करता है जो सिस्टम के कीचेन में स्टोर होता है और यह Mac द्वारा स्वचालित रूप से बदला जाता है। पूर्वनिर्धारित पासवर्ड इंटरवल प्रत्येक 14 दिन होता है, लेकिन आप डायरेक्टरी पेलोड या dsconfigad
कमांड–लाइन की मदद से अपनी नीति की आवश्यकता के अनुरूप कोई भी इंटरवल सेट कर सकते हैं।
0 वैल्यू सेट करने से खाता पासवर्ड का स्वचालित परिवर्तन अक्षम हो जाता है : dsconfigad -passinterval 0
नोट : कंप्यूटर ऑब्जेक्ट पासवर्ड सिस्टम के कीचेन में पासवर्ड वैल्यू के रूप में स्टोर होता है। पासवर्ड पुन: प्राप्त करने के लिए, कीचेन एक्सेस खोलें, सिस्टम कीचेन चुनें, फिर पासवर्ड श्रेणी चुनें। वह प्रविष्टि ढूँढें जो /Active Directory/DOMAIN की तरह दिखता हो जहाँ DOMAIN होता है Active Directory डोमेन का NetBIOS नाम। इस प्रविष्टि पर डबल-क्लिक करें, फिर “पासवर्ड दिखाएँ” चेकबॉक्स चुनें। जरूरत हो तो स्थानीय व्यवस्थापक के रूप में प्रमाणित करें।
नेमस्पेस सपोर्ट
macOS समान संक्षिप्त नाम (या लॉगिन नाम) वाले एकाधिक प्रयोगकर्ताओं को प्रमाणित किए जाने को समर्थित करता है जो Active Directory फ़ॉरेस्ट के अंदर विभिन्न डोमेन में मौजूद होता है। डायरेक्टरी पेलोड या dsconfigad
कमांड–लाइन टूल से नेमस्पेस सहायता सक्षम करते हुए, एक डोमेन के प्रयोगकर्ता के पास वही संक्षिप्त नाम हो सकता है जैसा कि सेकंड्री डोमेन के प्रयोगकर्ता का। दोनों प्रयोगकर्ताओं को अपने डोमेन के नाम की मदद से लॉगिन करना होता है जिसके बाद उनके संक्षिप्त नाम (DOMAIN\संक्षिप्त नाम) हो, जैसा कि Windows PC में लॉगिन करने में होता है। इस सपोर्ट को सक्षम करने के लिए, निम्नलिखित कमांड की मदद लें :
dsconfigad -namespace <forest>
पैकेट साइनिंग और एनक्रिप्शन
ओपन डायरेक्टरी क्लाइंट साइन और LDAP कनेक्शन कूटलेखन कर सकते हैं जिसका उपयोग Active Directory के साथ संचार करने के लिए होता है। macOS में साइन किए गए SMB सपोर्ट से, Mac कंप्यूटर को समायोजित करने के लिए साइट की सुरक्षा नीति को डाउनग्रेड करने की जरूरत नहीं होती। साइन और एनक्रिप्ट किए हुए LDAP कनेक्शन SSL पर LDAP उपयोग करने की आवश्यकता खत्म कर देता है। यदि SSL कनेक्शन की आवश्यकता है तो SSL उपयोग करने के लिए निम्नलिखित कमांड का उपयोग करें :
dsconfigad -packetencrypt ssl
ध्यान दें कि डोमेन कंट्रोलर पर प्रयुक्त सर्टिफिकेट SSL एनक्रिप्शन की सफलता के लिए ट्रस्टेड हो। यदि macOS के नेटिव टस्टेड सिस्टम रूट से डोमेन कंट्रोलर सर्टिफिकेट जारी नहीं किया गया है, तो सिस्टेम कीचेन में सर्टिफिकेट चेन इंस्टॉल और ट्रस्ट करें। macOS में पूर्वनिर्धारित रूप से ट्रस्टेड सर्टिफिकेट ऑथरिटीज सिस्टम रूट कीचेन में होते हैं। सर्टिफिकेट इंस्टॉल करने के लिए, इनमें से कोई एक करें :
कॉन्फ़िगरेशन प्रोफ़ाइल में सर्टिफिकेट पेलोड की मदद से रूट तथा कोई आवश्यक इंटरमीडिएट सर्टिफिकेट आयात करें।
/ऐप्लिकेशन/यूटिलिटीज/ में स्थित कीचेन ऐक्सेस का उपयोग करें
निम्नानुसार सुरक्षा कमांड उपयोग करें :
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
रेस्ट्रिक्ट डायनामिक DNS
सभी पूर्वनिर्धारित इंटरेफेस के लिए DNS में अपनी पता (A) रिकॉर्ड अपडेट करने के लिए macOS प्रयास करता है। यदि अनेक इंटरफेस कॉन्फ़िगर किए गए हैं, तो इसके परिणामस्वरूप DNS में एकाधिक रिकॉर्ड होते हैं। इस व्यवहार को प्रबंधित करने के लिए, निर्दिष्ट करें कि डायरेक्टरी पेलोड या dsconfigad
कमांड–लाइन टूल की मदद से डायनामिक डोमेने नाम सिस्टम (DDNS) अपडेट करते समय किस इंटरफेस का उपयोग किया जाए। इंटरफेस का वह BSD नाम विनिर्दिष्ट करें जिसमें DDNS अपडेट जोड़ना है। BSD नाम उपकरण फ़ील्ड के समान होता है, जो यह कमांड चलाने से वापस आता है :
networksetup -listallhardwareports
जब स्क्रिप्ट में dsconfigad
उपयोग किया जाए, तो आपको डोमेन जोड़ने के लिए प्रयुक्त क्लिक-टेक्स्ट पासवर्ड शामिल करना होगा। विशेष रूप से, बिना अन्य व्यवस्थापकीय विशेषाधिकार वाले Active Directory प्रयोगकर्ता को डोमेन से Mac कंप्यूटर जोड़ने की जिम्मेदारी सौंपी जाती है। यह प्रयोगकर्ता नाम और पासवर्ड युग्म स्क्रिप्ट में स्टोर रहता है। स्क्रिप्ट के लिए यह सामान्य विधि है कि वह बाइंडिंग के बाद खुद को सुरक्षित रूप से डिलीट कर ले ताकि यह जानकारी स्टोरेज उपकरण पर न रह जाए।