Mengonfigurasi akses domain di Utilitas Direktori di Mac
Penting: Dengan pilihan lanjutan konektor Active Directory, Anda dapat memetakan ID pengguna unik (UID) macOS, ID kelompok utama (GID), dan atribut GID grup ke atribut yang benar di skema Active Directory. Namun, jika Anda mengubah pengaturan ini nanti, pengguna dapat kehilangan akses ke file yang dibuat sebelumnya.
Buka Utilitas Direktori untuk saya
Mengikat menggunakan Utilitas Direktori
Di app Utilitas Direktori
di Mac Anda, klik Layanan.Klik ikon gembok.
Masukkan nama pengguna dan kata sandi administrator, lalu klik Modifikasi Konfigurasi (atau gunakan Touch ID).
Pilih Active Directory, lalu klik tombol “Edit pengaturan untuk layanan yang dipilih”
.Masukkan nama host DNS domain Active Directory yang ingin Anda satukan ke komputer yang Anda konfigurasi.
Administrator domain Active Directory dapat menginformasikan Anda nama host DNS.
Bila perlu, edit ID Komputer.
ID Komputer, nama komputer yang diketahui di domain Active Directory, dan diatur sebelumnya agar sama dengan nama komputer. Anda dapat mengubahnya agar sesuai dengan skema penamaan organisasi Anda. Jika Anda tidak yakin, tanyakan pada administrator domain Active Directory.
Penting: Jika nama komputer berisi tanda hubung, Anda mungkin tidak dapat mengikat ke domain direktori, seperti LDAP atau Active Directory. Untuk membuat pengikatan, ubah nama komputer Anda agar tidak memiliki tanda hubung.
Jika pilihan lanjutan disembunyikan, klik segitiga pengungkapan di samping Tampilkan Pilihan. Anda juga dapat mengubah pengaturan pilihan lanjutan nanti.
(Opsional) Pilih opsi Pengalaman Pengguna.
Lihat Mengatur akun pengguna seluler, Mengatur folder utama untuk akun pengguna, dan Mengatur shell UNIX untuk akun pengguna Active Directory.
(Opsional) Pilih opsi Pemetaan.
Lihat Memetakan ID kelompok, GID Utama, dan UID ke atribut Active Directory.
(Opsional) Pilih opsi Administratif.
Lebih memilih server domain ini: Secara default, macOS menggunakan informasi situs dan responsivitas pengontrol domain untuk menentukan domain yang akan digunakan oleh pengontrol. Jika ditetapkan di sini, pengontrol domain di situs yang sama akan dikonsultasikan terlebih dahulu. Jika pengontrol domain tidak tersedia, macOS akan kembali ke perilaku default.
Mengizinkan administrasi oleh: Jika pilihan ini diaktifkan, anggota grup Active Directory yang tercantum (secara default, admin domain dan perusahaan) diberi hak administratif di Mac lokal. Anda juga dapat menetapkan grup keamanan yang diinginkan di sini.
Mengizinkan pengesahan dari domain mana pun di hutan: Secara default, macOS mencari semua domain secara otomatis untuk pengesahan. Untuk membatasi pengesahan menjadi hanya domain yang mengikat Mac, batalkan pilihan kotak centang ini.
Lihat Mengontrol pengesahan dari semua domain di hutan Active Directory.
Klik Ikat, lalu masukkan informasi berikut:
Catatan: Pengguna harus memiliki hak di Active Directory untuk mengikat komputer ke domain.
Nama Pengguna dan Kata Sandi: Anda mungkin dapat mengesahkan dengan memasukkan nama dan kata sandi akun pengguna Active Directory Anda, atau administrator domain Active Directory mungkin perlu memberikan nama dan kata sandi.
OU Komputer: Masukkan unit organisasi (OU) untuk komputer yang Anda sedang konfigurasikan.
Gunakan untuk pengesahan: Pilih jika Anda ingin Active Directory ditambahkan ke kebijakan pencarian pengesahan komputer.
Gunakan untuk kontak: Pilih jika Anda ingin Active Directory ditambahkan ke kebijakan pencarian kontak komputer.
Klik OKE.
Utilitas Direktori mengatur pengikatan tepercaya antara komputer yang sedang Anda konfigurasikan dan server Active Directory. Kebijakan pencarian komputer diatur sesuai dengan pilihan yang Anda pilih saat mengesahkan, dan Active Directory diaktifkan di panel Layanan Utilitas Direktori.
Dengan pengaturan default untuk pilihan lanjutan Active Directory, hutan Active Directory ditambahkan ke kebijakan pencarian pengesahan komputer dan kebijakan pencarian kontak jika Anda memilih “Gunakan untuk pengesahan” atau “Gunakan untuk kontak”.
Namun, sebelum mengeklik Ikat, jika Anda batal memilih “Izinkan pengesahan dari semua domain di hutan” di pilihan lanjutan Administratif, domain Active Directory terdekat ditambahkan ke hutan.
Anda dapat mengubah kebijakan pencarian nanti dengan menambahkan atau menghapus hutan Active Directory atau domain individu. Lihat Menentukan kebijakan pencarian.
Mengikat menggunakan profil konfigurasi
muatan direktori di profil konfigurasi dapat mengonfigurasi satu Mac, atau mengautomasikan ratusan komputer Mac, untuk mengikatnya ke Active Directory. Sama halnya dengan muatan profil konfigurasi lainnya, Anda dapat menerapkan muatan direktori secara manual, menggunakan skrip, bagian dari pendaftaran MDM, atau dengan menggunakan solusi manajemen klien.
Muatan adalah bagian dari profil konfigurasi dan memungkinkan administrator untuk mengelola bagian tertentu macOS. Hubungi vendor MDM Anda untuk instruksi mengenai cara membuat profil konfigurasi.
Mengikat menggunakan baris perintah
Anda dapat menggunakan baris perintah dsconfigad di app Terminal untuk mengikat Mac ke Active Directory.
Misalnya, perintah berikut dapat digunakan untuk mengikat Mac ke Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Setelah mengikat Mac ke domain, Anda dapat menggunakan dsconfigad untuk mengatur pilihan administratif di Utilitas Direktori:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Pilihan baris perintah lanjutan
Dukungan asli untuk Active Directory meliputi pilihan yang tidak Anda lihat di Utilitas Direktori. Untuk melihat pilihan lanjutan ini, gunakan muatan Direktori di profil konfigurasi; atau alat baris perintah dsconfigad.
Mulai meninjau pilihan baris perintah dengan membuka halaman man dsconfigad.
Interval kata sandi objek komputer
Saat terikat dengan Active Directory, sistem Mac akan mengatur kata sandi akun komputer yang disimpan di rantai kunci sistem dan diubah secara otomatis oleh Mac. Interval kata sandi default adalah setiap 14 hari, tapi Anda dapat menggunakan muatan direktori atau alat baris perintah dsconfigad untuk mengatur interval yang diperlukan kebijakan Anda.
Mengatur nilai ke 0 akan menonaktifkan pengubahan otomatis kata sandi akun: dsconfigad -passinterval 0
Catatan: Kata sandi objek komputer disimpan sebagai nilai kata sandi di rantai kunci sistem. Untuk mengambil kata sandi, buka Akses Rantai Kunci, pilih rantai kunci sistem, lalu pilih kategori Kata Sandi. Temukan entri yang terlihat seperti /Active Directory/DOMAIN di mana DOMAIN adalah nama NetBIOS dari domain Active Directory. Klik entri ini dua kali, lalu pilih kotak centang “Tampilkan kata sandi”. Sahkan sebagai administrator lokal jika perlu.
Dukungan namespace
macOS mendukung pengesahan beberapa pengguna dengan nama pendek yang sama (atau nama masuk) yang ada di domain yang berbeda di hutan Active Directory. Dengan mengaktifkan dukungan namespace dengan muatan Direktori atau alat baris perintah dsconfigad, pengguna di satu domain dapat memiliki nama pendek yang sama dengan pengguna di domain kedua. Kedua pengguna harus masuk menggunakan nama domain diikuti dengan nama pendek mereka (DOMAIN\nama pendek), mirip dengan masuk ke PC Windows. Untuk mengaktifkan dukungan ini, gunakan perintah berikut:
dsconfigad -namespace <forest>
Penandatanganan dan enkripsi paket
Klien Open Directory dapat menandatangani dan mengenkripsi koneksi LDAP yang digunakan untuk berkomunikasi dengan Active Directory. Dengan dukungan SMB yang ditandatangani di macOS, kebijakan keamanan situs tidak perlu diturunkan untuk mengakomodasi komputer Mac. Koneksi LDAP yang ditandatangani dan dienkripsi meniadakan keharusan untuk menggunakan LDAP melalui SSL. Jika koneksi SSL diperlukan, gunakan perintah berikut untuk mengonfigurasi Open Directory agar menggunakan SSL:
dsconfigad -packetencrypt ssl
Ingat bahwa sertifikat yang digunakan di pengontrol domain harus tepercaya agar enkripsi SSL berhasil. Jika sertifikat pengontrol domain tidak diterbitkan dari dasar sistem tepercaya asli macOS, instal dan percayai rantai sertifikat di rantai kunci Sistem. Otoritas sertifikat yang dipercayai secara default di macOS berada di rantai kunci Dasar Sistem. Untuk menginstal sertifikat dan membangun kepercayaan, lakukan salah satu hal berikut:
Impor dasar dan sertifikat menengah yang diperlukan menggunakan muatan sertifikat di profil konfigurasi
Gunakan Akses Rantai Kunci yang berada di /Aplikasi/Utilitas/
Gunakan perintah keamanan sebagai berikut:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <jalur/ke/file/sertifikat>
Membatasi DNS Dinamis
macOS mencoba untuk memperbarui catatan Alamatnya (A) di DNS untuk semua antarmuka secara default. Jika beberapa antarmuka dikonfigurasi, ini dapat mengakibatkan adanya beberapa catatan di DNS. Untuk mengelola perilaku ini, tetapkan antarmuka mana yang akan digunakan saat memperbarui Sistem Nama Domain Dinamis (DDNS) dengan menggunakan muatan Direktori atau alat baris perintah dsconfigad. Menetapkan nama BSD antarmuka yang akan digunakan untuk mengaitkan pembaruan DDNS. Nama BSD sama dengan bidang Perangkat, dihasilkan dengan menjalankan perintah ini:
networksetup -listallhardwareports
Saat menggunakan dsconfigad di skrip, Anda harus menyertakan kata sandi teks bersih yang digunakan untuk mengikat ke domain. Biasanya, pengguna Active Directory tanpa hak administrator lainnya akan diberi tanggung jawab untuk mengikat komputer Mac ke domain. Pasangan nama pengguna dan kata sandi ini disimpan di skrip. Biasanya, skrip akan menghapus dirinya sendiri dengan aman setelah pengikatan, sehingga informasi ini tidak lagi ada di perangkat penyimpanan.