Macek integrálása az Active Directoryval
Igény szerint konfigurálhat egy Macet, hogy elérje az alapvető felhasználói fiókok adatait egy Windows 2000 (vagy újabb) szerver Active Directory-doménjéből. Az Active Directory-csatoló a Címtár segédeszköz Szolgáltatások paneljén van felsorolva, és a macOS hitelesítéséhez szükséges összes attribútumot előállítja az Active Directory-felhasználói fiókokban lévő szabványos attribútumokból. A csatlakozó az Active Directory hitelesítési házirendeket, köztük a jelszómódosítást, a lejárat időpontját, kényszerített módosításokat és a biztonsági beállításokat is támogatja. Nem szükséges sémamódosításokat végeznie az Active Directory-doménen ahhoz, hogy a felhasználói fiókok alapvető adatait le tudja kérni, mivel az összekötő támogatja ezeket a funkciókat.
Megjegyzés: A macOS nem tud legalább a Windows Server 2008 tartományi funkcionális szintje nélkül Active Directory-tartományhoz kapcsolódni, kivéve, ha kifejezetten meg van adva a „weak crypto” (gyenge titkosítás) lehetőség. Még abban az esetben is előfordulhat, hogy az adminisztrátornak kifejezetten meg kell adnia, hogy az egyes tartományok Kerberos AES titkosítást használjanak, ha az összes tartomány tartományi funkcionális szintje 2008-as vagy annál későbbi.
Hogyan kérdezi le a Mac a DNS segítségével az Active Directory tartományt
A macOS a doménnévrendszer (DNS) segítségével kérdezi le a helyszíni Active Directory-domén topológiáját. A hitelesítéshez Kerberost, a felhasználók és csoportok feloldásához pedig Lightweight Directory Access Protocolt (LDAPv3) használ.
Ha a macOS teljesen integrálva van az Active Directoryval, a felhasználók:
A szervezet domén-jelszóházirendjei alá tartoznak
Ugyanazokat a hitelesítő adatokat használják a hitelesítéshez és a biztonságos erőforrások eléréséhez
Felhasználói és gépi szintű tanúsítványazonosítókat kaphatnak egy Active Directory-tanúsítványszolgáltatások kiszolgálóról
Automatikusan bejárhatják az elosztott fájlrendszerek (DFS) névterét és csatolhatják a megfelelő mögöttes SMB-kiszolgálót.
A DFS-hez kötés nélkül történő csatlakozással kapcsolatos további információkért tekintse meg az Elosztott fájlrendszer névterének támogatását az alábbiakban.
Mobileszköz-felügyeleti (MDM) megoldásban található Címtáradatcsomagot is használhatja ezeknek a beállításoknak a konfigurálásához, majd ezek az adatcsomagok a szervezeten belüli összes Macre kiküldhetők. További információkért, lásd: A Címtár MDM-adatcsomag beállításai.
A Mac ügyfélgépek teljes olvasási jogosultságot feltételeznek a címtárhoz adott attribútumokhoz. Emiatt szükségessé válhat az attribútumok hozzáférés-vezérlési listájának (ACL) módosítása, hogy a számítógépcsoportok olvashassák az érintett hozzáadott attribútumokat is.
Doménre vonatkozó jelszóházirendek
A kötéskor (és utána rendszeres időközönként) a macOS lekérdezi a jelszóházirendeket az Active Directory-doméntól. Ezek a házirendek a Mac összes hálózati és mobil fiókján érvényesek.
Bejelentkezési kísérlet során, amikor a hálózati fiókok elérhetők, a macOS lekérdezi az Active Directorytól a jelszómódosítás esedékessé válásáig hátralévő időt. Alapértelmezés szerint, ha jelszómódosításra van szükség 14 napon belül, a bejelentkezési ablak felkéri a felhasználót a jelszó módosítására. Ha a felhasználó módosítja a jelszót, a módosítás az Active Directoryban és a mobil fiókon is megtörténik (ha van ilyen konfigurálva), és frissül a bejelentkezési kulcskarika jelszava. Ha a felhasználó figyelmen kívül hagyja a jelszókérelmet, a bejelentkezési ablak a lejárati dátum előtt naponta megismétli a figyelmeztetést. A felhasználónak a továbblépéshez 24 órán belül módosítania kell a jelszót. A macOS-adminisztrátorok módosíthatják a bejelentkezési ablak alapértelmezett lejárati értesítését, amelyhez a következőt kell beírniuk a parancssorba: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
Megjegyzés: A macOS nem támogatja a nagy felbontású jelszóházirendeket az Active Directory jelszóbeállítási objektuma (Password Settings Object, PSO) segítségével. A jelszó lejáratának kiszámításakor a rendszer kizárólag az alapértelmezett tartományi házirendet alkalmazza.
Elosztott fájlrendszer névterének támogatása
A macOS támogatja az elosztott fájlrendszer (distributed file system, DFS) névterek feltérképezését, ha a Mac Active Directoryhoz van társítva. Az Active Directoryhoz kapcsolódó Macek a DNS és az Active Directory tartományvezérlői lekérdezésével automatikusan egy adott névtérre oldják fel a megfelelő Server Message Block (SMB) szervert.
A Finder Kapcsolódás a szerverre szolgáltatásával megadhatja a DFS-névtér teljes doménnevét (FQDN), amely tartalmazza a hálózati fájlrendszer csatolásához szükséges DFS-gyökeret. A Macen kattintson az íróasztalra a Finder megnyitásához, az Ugrás menüben válassza a Csatlakozás a kiszolgálóhoz lehetőséget, majd adja meg a következőt: smb://resources.theacmeinc.com/DFSroot.
A macOS felhasználja a rendelkezésre álló Kerberos-jegyeket, és felcsatolja a mögötte található Server Message Block (SMB) szervert és elérési útvonalat. Néhány Active Directory-konfigurációban lehet, hogy ki kell tölteni a hálózati interfész DNS-konfigurációjában található Keresési domének mezőt a teljes Active Directory-doménnévvel.
Tipp: Megnyithatja és bejárhatja a DFS-megosztásokat az Active Directoryhoz történő társítás nélkül, ha a DFS-környezetet teljes doménnevek használatára konfigurálták a hivatkozásokban. Amíg a Mac képes megoldani a megfelelő szerverek hosztneveit, a csatlakozás sikeres marad anélkül, hogy a Macnek társítva kellene lennie a könyvtárral.