Mac पर डाइरेक्टरी यूटिलिटी में डोमेन ऐक्सेस कॉन्फ़िगर करें
महत्वपूर्ण : Active Directory कनेक्टर के उन्नत विकल्प के साथ, आप Active Directory स्कीमा में ऐट्रिब्यूट सुधारने के लिए macOS यूनिक यूज़र ID (UID), प्राइमरी समूह ID (GID), और समूह GID ऐट्रिब्यूट मैप सकते हैं। हालांकि, यदि आप इन सेटिंग्ज़ को बाद में बदलते हैं, तो हो सकता है यूज़र पहले बनाई गई फ़ाइलें एक्सेस न कर पाएँ।
मेरे लिए डाइरेक्टरी यूटिलिटी खोलें
डाइरेक्टरी यूटिलिटी की मदद से बाइंड करें
अपने Mac पर डाइरेक्टरी यूटिलिटी ऐप में सेवा पर क्लिक करें।
“लॉक” आइकॉन पर क्लिक करें।
ऐडमिनिस्ट्रेटर का यूज़रनेम और पासवर्ड दर्ज करें, फिर “कॉन्फ़िगरेशन संशोधित करें” पर क्लिक करें (या Touch ID का उपयोग करें)।
Active Directory को चुनें, फिर “चयनित सेवा के लिए सेटिंग्ज़ संपादित करें” बटन पर क्लिक करें।
Active Directory डोमेन का DNS होस्टनेम दर्ज करें जिसे आप अपने कॉन्फ़िगर किए जा रहे कंप्यूटर के साथ जोड़ना चाहते हैं।
Active Directory डोमेन का ऐडमिनिस्ट्रेटर आपको DNS होस्टनेम बता सकता है।
यदि आवश्यक हो, तो कंप्यूटर ID संपादित करें।
कंप्यूटर ID, यानी वह नाम जिससे Active Directory डोमेन कंप्यूटर को पहचानता है, कंप्यूटर के नाम में प्रीसेट किया हुआ रहता है। आप इसे अपने संगठन की नामकरण योजना के अनुरूप बदल सकते हैं। यदि आप सुनिश्चित नहीं हैं, तो Active Directory डोमेन ऐडमिनिस्ट्रेटर से पूछें।
महत्वपूर्ण : यदि आपके कंप्यूटर के नाम में हाइफ़न है, तो आप LDAP या Active Directory जैसा डाइरेक्टरी डोमेन नहीं जोड़ पाएँगे। बाइंडिंग स्थापित करने के लिए, अपने कंप्यूटर का नाम ऐसे नाम में बदलें जिसमें कोई हाइफ़न न हो।
यदि उन्नत विकल्प छिपे हुए हैं, तो विंडो में विकल्प दिखाएँ के आगे प्रकटीकरण त्रिभुज पर क्लिक करें। आप बाद में उन्नत विकल्प सेटिंग्ज़ भी बदल सकते हैं।
(वैकल्पिक) यूज़र अनुभव विकल्प चुनें।
देखें मोबाइल यूज़र अकाउंट्स सेट अप करें, यूज़र अकाउंट्स के लिए होम फ़ोल्डर्स सेट अप करें, तथा Active Directory यूज़र अकाउंट्स के लिए UNIX शेल सेट करें।
(वैकल्पिक) मैपिंग विकल्प चुनें।
Active Directory ऐट्रिब्यूट में समूह ID, प्राइमरी ID और UID मैपकरें देखें।
(वैकल्पिक) ऐडमिनिस्ट्रेटिव विकल्प चुनें।
इस डोमेन सर्वर को वरीयता दें : डिफ़ॉल्ट रूप से, कौन-सा डोमेन कंट्रोलर उपयोग करना है यह तय करने के लिए macOS साइट जानकारी और डोमेन कंट्रोलर प्रतिक्रिया का उपयोग करता है। यदि समान साइट में डोमेन कंट्रोलर यहाँ निर्धारित है, तो पहले इसे संपर्क करना चाहिए। यदि डोमेन कंट्रोलर अनुपलब्ध है, तो macOS डिफ़ॉल्ट व्यवहार पर रिवर्ट हो जाता है।
इससे ऐडमिनिस्ट्रेशन को अनुमति दें : जब यह विकल्प सक्षम किया जाता है तो सूचीबद्ध Active Directory समूह (डिफ़ॉल्ट रूप से, डोमेन तथा एंटरप्राइज़ ऐडमिनिस्ट्रेटर) को स्थानीय Mac पर ऐडमिनिस्ट्रेटर विशेषाधिकार प्रदान किए जाते हैं। आप यहाँ वांछित सुरक्षा समूह भी विनिर्दिष्ट कर सकते हैं।
फॉरेस्ट में किसी भी डोमेन से प्रमाणन की अनुमति दें : डिफ़ॉल्ट रूप से, macOS द्वारा प्रमाणन के लिए सभी डोमेन की ऑटोमैटिक जाँच की जाती है। प्रमाणन केवल Mac के डोमेन तक सीमित रखने के लिए इस चेकबॉक्स को अचयनित करें।
Active Directory फॉरेस्ट में सभी डोमेन का प्रमाणन नियंत्रित करना देखें।
बाइंड करें पर क्लिक करें, फिर निम्नलिखित जानकारी दर्ज करें :
नोट : डोमेन से कंप्यूटर जोड़ने के लिए Active Directory में यूज़र की प्रिवलेज होनी चाहिए।
यूज़र नाम और पासवर्ड : अपने Active Directory यूज़र खाते का नाम और पासवर्ड दर्ज करके आप प्रमाणित करने में सफल हो सकते हैं, या Active Directory डोमेन ऐडमिनिस्ट्रेटर को नाम और पासवर्ड प्रदान करना पड़ सकता है।
कंप्यूटर OU: जिस कंप्यूटर को आप कॉन्फिगर कर रहे हैं उसके लिए ऑर्गनाइजेशनल यूनिट (OU) दर्ज करें।
प्रमाणन के लिए उपयोग करें : सेलेक्ट करें यदि आप कंप्यूटर की प्रमाणन खोज नीति में Active Directory जोड़ना चाहते हैं।
संपर्क के लिए उपयोग करें : यदि आप कंप्यूटर की संपर्क खोज नीति में Active Directory जोड़ना चाहते हैं तो इसे चुनें।
OK पर क्लिक करें।
डाइरेक्टरी यूटिलिटी आपके द्वारा कॉन्फ़िगर किए जाने वाले कंप्यूटर और Active Directory सर्वर के बीच भरोसेमंद बाइंडिंग सेटअप करता है। कंप्यूटर की खोज नीतियाँ आपके प्रमाणित करने और डाइरेक्टरी यूटिलिटी सर्विस पैन में Active Directory सक्षम होने पर आपके द्वारा चुने गए विकल्पों के अनुसार सेट की जाती हैं।
Active Directory उन्नत विकल्पों के लिए डिफॉल्ट सेटिंग के साथ, Active Directory फॉरेस्ट कंप्यूटर के प्रमाणन खोज नीति और संपर्क की खोज की नीति में जुड़ जाता है यदि आपने “प्रमाणन के लिए उपयोग” या “संपर्क के लिए उपयोग” चुना हो।
हालाँकि, बाइंड पर क्लिक करने से पहले, यदि आप ऐडमिनिस्ट्रेटिव एडवांस विकल्पों में "फ़ॉरेस्ट में किसी भी डोमेन से प्रमाणीकरण की अनुमति दें" को अचयनित करते हैं, तो फ़ॉरेस्ट के बजाय निकटतम Active Directory डोमेन जोड़ा जाता है।
आप बाद में Active Directory फ़ॉरेस्ट या कोई एकल डोमेन हटाकर खोज नीतियाँ बदल सकते हैं। देखें खोज नीतियों को परिभाषित करें।
किसी कॉन्फ़िगरेशन प्रोफ़ाइल की मदद से बाइंड करें
Active Directory को बाइंड करने के लिए कॉन्फ़िगरेशन प्रोफ़ाइल में डाइरेक्टरी पेलोड कोई एकल Mac कॉन्फ़िगर कर सकता है या सैकड़ों Mac कंप्यूटर ऑटोमैटिक कर सकता है। जैसा कि अन्य कॉन्फ़िगरेशन प्रोफ़ाइल पेलोड के साथ होता है, MDM नामांकन के अंग के रूप में, या क्लाइंट-प्रबंधित समाधान का उपयोग करते हुए स्क्रिप्ट की मदद से आप स्वयं डाइरेक्टरी पेलोड नियुक्त कर सकते हैं।
पेलोड कॉन्फ़िगरेशन प्रोफ़ाइल के अंग होते हैं और macOS के विशेष हिस्सों के प्रबंधित के लिए ऐडमिनिस्ट्रेटर को अनुमति देते हैं। कॉन्फ़िगरेशन प्रोफ़ाइल बनाने के निर्देश जानने के लिए अपने MDM वेंडर से संपर्क करें।
कमांड लाइन की मदद से बाइंड करें
साथ ही आप, Active Directory
से अपना Mac जोड़ने के लिए टर्मिनल ऐप में dsconfigad कमांड उपयोग कर सकते हैं।
उदाहरण के लिए, Active Directory से Mac जोड़ने के लिए निम्नलिखित कमांड उपयोग किया जा सकता है :
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
डोमेने से Mac जोड़ने के बाद आप डाइरेक्टरी यूटिलिटी में व्यवस्थापक विकल्प सेट करने के लिए dsconfigad
उपयोग कर सकते हैं :
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
उन्नत कमांड–लाइन विकल्प
Active Directory के लिए नेटिव सपोर्ट में शामिल हैं वे विकल्प जिन्हें आप डाइरेक्टरी यूटिलिटी में नहीं देखते। इन उन्नत विकल्पों को देखने के लिए कॉन्फ़िगरेशन प्रोफ़ाइल में डाइरेक्टरी पेलोड का उपयोग करें, या dsconfigad
कमांड–लाइन टूल का उपयोग करें।
ह dsconfigad मैन पृष्ठ खोलकर कमांड-लाइन विकल्प की समीक्षा करना आरंभ करें।
कंप्यूटर ऑब्जेक्ट पासवर्ड इंटर्वल
जब कोई Mac सिस्टम Active Directory से जुड़ा होता है, तो यह कंप्यूटर खाता पासवर्ड सेट करता है जो सिस्टम के कीचेन में स्टोर होता है और यह Mac द्वारा ऑटोमैटिकली बदला जाता है। डिफ़ॉल्ट पासवर्ड इंटरवल प्रत्येक 14 दिन होता है, लेकिन आप डाइरेक्टरी पेलोड या dsconfigad
कमांड–लाइन की मदद से अपनी नीति की आवश्यकता के अनुरूप कोई भी इंटरवल सेट कर सकते हैं।
0 वैल्यू सेट करने से खाता पासवर्ड का ऑटोमैटिक परिवर्तन अक्षम हो जाता है : dsconfigad -passinterval 0
नोट : कंप्यूटर ऑब्जेक्ट पासवर्ड सिस्टम के कीचेन में पासवर्ड वैल्यू के रूप में स्टोर होता है। पासवर्ड को रिट्रीव करने के लिए कीचेन ऐक्सेस खोलें, सिस्टम कीचेन चुनें, फिर पासवर्ड श्रेणी चुनें। वह एंट्री ढूँढें जो /Active Directory/DOMAIN की तरह दिखता हो जहाँ DOMAIN होता है Active Directory डोमेन का NetBIOS नाम। इस एंट्री पर डबल-क्लिक करें, फिर “पासवर्ड दिखाएँ” चेकबॉक्स चुनें। ज़रूरत हो तो स्थानीय ऐडमिनिस्ट्रेटर के रूप में प्रमाणित करें।
नेमस्पेस सपोर्ट
macOS समान संक्षिप्त नाम (या लॉगइन नाम) वाले एकाधिक यूज़र को प्रमाणित किए जाने को समर्थित करता है जो Active Directory फ़ॉरेस्ट के अंदर विभिन्न डोमेन में मौजूद होता है। डाइरेक्टरी पेलोड या dsconfigad
कमांड–लाइन टूल से नेमस्पेस सहायता सक्षम करते हुए, एक डोमेन के यूज़र के पास वही संक्षिप्त नाम हो सकता है जैसा कि सेकंड्री डोमेन के यूज़र का। दोनों यूज़र को अपने डोमेन के नाम की मदद से लॉगइन करना होता है जिसके बाद उनके संक्षिप्त नाम (DOMAIN\संक्षिप्त नाम) हो, जैसा कि Windows PC में लॉगइन करने में होता है। इस सपोर्ट को सक्षम करने के लिए, निम्नलिखित कमांड की मदद लें :
dsconfigad -namespace <forest>
पैकेट साइनिंग और एंक्रिप्शन
Open Directory क्लाइंट साइन और LDAP कनेक्शन कूटलेखन कर सकते हैं जिसका उपयोग Active Directory के साथ संचार करने के लिए होता है। macOS में साइन किए गए SMB सपोर्ट से, Mac कंप्यूटर को समायोजित करने के लिए साइट की सुरक्षा नीति को डाउनग्रेड करने की ज़रूरत नहीं होती। साइन और एनक्रिप्ट किए हुए LDAP कनेक्शन SSL पर LDAP उपयोग करने की आवश्यकता खत्म कर देता है। यदि SSL कनेक्शन की आवश्यकता है, तो SSL उपयोग करने के लिए Open Directory को कॉन्फ़िगर करने के लिए निम्न कमांड का उपयोग करें :
dsconfigad -packetencrypt ssl
ध्यान दें कि डोमेन कंट्रोलर पर प्रयुक्त सर्टिफ़िकेट SSL एंक्रिप्शन की सफलता के लिए ट्रस्टेड हो। यदि macOS के नेटिव विश्वसनीय सिस्टम रूट से डोमेन कंट्रोलर सर्टिफ़िकेट जारी नहीं किया गया है, तो सिस्टम कीचेन में सर्टिफ़िकेट चेन इंस्टॉल और ट्रस्ट करें। macOS में डिफ़ॉल्ट रूप से ट्रस्टेड सर्टिफ़िकेट ऑथरिटीज़ सिस्टम रूट कीचेन में होते हैं। सर्टिफ़िकेट इंस्टॉल करने के लिए, इनमें से कोई एक काम करें :
कॉन्फ़िगरेशन प्रोफ़ाइल में सर्टिफ़िकेट पेलोड की मदद से रूट तथा कोई आवश्यक इंटरमीडिएट सर्टिफ़िकेट इंपोर्ट करें
/ऐप्लिकेशन/यूटिलिटीज/ में स्थित कीचेन ऐक्सेस का उपयोग करें
निम्नानुसार सुरक्षा कमांड उपयोग करें :
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
रेस्ट्रिक्ट डायनामिक DNS
सभी डिफ़ॉल्ट इंटरेफ़ेस के लिए DNS में अपनी पता (A) रिकॉर्ड अपडेट करने के लिए macOS कोशिश करता है। यदि अनेक इंटरफेस कॉन्फ़िगर किए गए हैं, तो इसके परिणामस्वरूप DNS में एकाधिक रिकॉर्ड होते हैं। इस व्यवहार को प्रबंधित करने के लिए निर्दिष्ट करें कि डाइरेक्टरी पेलोड या dsconfigad
कमांड–लाइन टूल की मदद से डायनामिक डोमेने नाम सिस्टम (DDNS) अपडेट करते समय किस इंटरफ़ेस का उपयोग किया जाए। इंटरफेस का वह BSD नाम विनिर्दिष्ट करें जिसमें DDNS अपडेट जोड़ना है। BSD नाम डिवाइस फ़ील्ड के समान होता है, जो यह कमांड चलाने से वापस आता है :
networksetup -listallhardwareports
जब स्क्रिप्ट में dsconfigad
उपयोग किया जाए, तो आपको डोमेन जोड़ने के लिए प्रयुक्त क्लिक-टेक्स्ट पासवर्ड शामिल करना होगा। विशेष रूप से, बिना अन्य ऐडमिनिस्ट्रेटर विशेषाधिकार वाले Active Directory यूज़र को डोमेन से Mac कंप्यूटर जोड़ने की ज़िम्मेदारी सौंपी जाती है। यह यूज़र नाम और पासवर्ड युग्म स्क्रिप्ट में स्टोर रहता है। स्क्रिप्ट के लिए यह सामान्य विधि है कि वह बाइंडिंग के बाद खुद को सुरक्षित रूप से डिलीट कर ले ताकि यह जानकारी स्टोरेज डिवाइस पर न रह जाए।