Integrare i Mac con Active Directory
Puoi configurare un Mac in modo che acceda alle informazioni dell’account di base dell’utente nel dominio Active Directory di un server Windows 2000 (o versione successiva). Il connettore Active Directory si trova nel pannello Servizi di Utility Directory, e genera tutti gli attributi richiesti per l’autenticazione di macOS dagli attributi standard negli account utenti Active Directory. Il connettore supporta anche le politiche di autenticazione Active Directory, compresi le modifiche, le scadenze, i cambiamenti forzati e le opzioni di sicurezza della password. Poiché il connettore supporta queste funzionalità, non è necessario modificare lo schema del dominio Active Directory per ottenere le informazioni di base dell’account utente.
Nota: se non abiliti l’opzione “crittografia debole”, per associare macOS a un dominio Active Directory devi disporre almeno del livello di funzionalità Windows Server 2008. Anche se i livelli di funzionalità del dominio sono del 2008 o successivi, l’amministratore potrebbe dover specificare esplicitamente l’attendibilità di ciascun dominio per utilizzare la crittografia AES Kerberos.
Come il Mac utilizza il DNS per verificare il dominio Active Directory
macOS utilizza il DNS (Domain Name System) per verificare la topologia del dominio Active Directory on -premise. Usa Kerberos per l’autenticazione e LDAPv3 (Lightweight Directory Access Protocol) per la risoluzione utente e gruppi.
Quando macOS è completamente integrato con Active Directory, gli utenti:
Sono soggetti alle politiche per le password di dominio dell’organizzazione.
Utilizzano le stesse credenziali per l’autenticazione e ottenere l’autorizzazione di accesso alle risorse protette.
Possono ricevere le identità dei certificati dell’utente e del computer da un server Active Directory Certificate Services.
Possono esaminare automaticamente un namespace DFS (Distributed File System) e attivare il server SMB (Server Message Block) appropriato sottostante.
Per maggiori informazioni sulla connessione DFS senza binding, consulta la sezione “Supporto del namespace Distributed File System” di seguito.
Inoltre, puoi utilizzare il payload Directory della tua soluzione di gestione dei dispositivi mobili (MDM) per configurare queste impostazioni, quindi inviare tale payload a tutti i Mac aziendali. Per ulteriori informazioni, consulta Impostazioni del payload MDM Directory.
I client Mac ammettono il pieno accesso in lettura agli attributi che vengono aggiunti alla directory. Pertanto, potrebbe essere necessario cambiare l’elenco di controllo degli accessi di quegli attributi per permettere a gruppi di computer di leggere questi attributi aggiuntivi.
Politiche per le password di dominio
Durante il vincolo (e ad intervalli di tempo successivamente), macOS interroga il dominio Active Directory per le politiche sulle password. Questi criteri vengono applicati per tutti gli account mobili e le reti su un Mac.
Durante un tentativo di accesso, mentre gli account di rete sono disponibili, macOS interroga Active Directory per determinare il periodo di tempo prima che venga richiesta una modifica della password. Di default, se la modifica della password viene richiesta entro 14 giorni, la finestra di login chiede all’utente di cambiarla. Se l’utente modifica la password, la modifica viene eseguita in Active Directory anche nell’account mobile (se configurato) e la password del portachiavi di login viene aggiornata. Se l’utente ignora la richiesta della password, la finestra di login la richiede all’utente fino al giorno prima della scadenza. L’utente deve cambiare la password entro 24 ore dall’accesso per poter proseguire. Un amministratore di macOS può modificare la notifica di scadenza di default per la finestra di login da riga di comando inserendo defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <numero di giorni>.
Nota: macOS non supporta politiche di password elaborate usando PSO (Password Settings Object) di Active Directory. Viene usata solo la politica di dominio di default quando si calcola la data di scadenza della password.
Supporto del namespace Distributed File System
macOS supporta l’esame del namespace DFS (distributed file system) se il Mac dispone di un binding con Active Directory. Un Mac associato a Active Directory interroga i controller di dominio e DNS nel dominio Active Directory per risolvere automaticamente il giusto server SMB (Server Message Block) per un particolare namespace.
Puoi utilizzare la funzionalità “Connessione al server” nel Finder viene utilizzata per specificare il nome del dominio completamente qualificato del namespace DFS, che include la root DFS per attivare il network file system. Su un Mac, fai clic sul desktop per aprire il Finder, scegli il comando “Connessione al server” nel menu Vai, quindi inserisci smb://resources.betterbag.com/DFSroot.
macOS utilizza qualsiasi ticket Kerberos disponibile e attiva il relativo server e percorso SMB. Alcune configurazioni di Active Directory potrebbero esserti necessarie per popolare il campo “Domini di ricerca” nella configurazione DNS per l’interfaccia network con il nome di dominio di Active Directory completamente qualificato.
Suggerimento: puoi accedere e attraversare le condivisioni DFS senza effettuare il binding con Active Directory se l’ambiente DFS è configurato per utilizzare i nomi di dominio qualificati (FQDN) nei riferimenti. Se il Mac è in grado di risolvere i nomi host dei server appropriati, la connettività viene eseguita con successo senza che il Mac debba essere legato alla directory.