Preparazione per macOS Sierra 10.12 con Active Directory

Scopri i requisiti per l’utilizzo di macOS Sierra con Active Directory.

Nel tentativo di ottenere un Ticket Granting Ticket (TGT) di Kerberos usando il comando kinit in Terminal, gli utenti Active Directory su macOS Sierra possono riceve un messaggio come questo:

Il tipo di crittografia arcfour-hmac-md5(23) utilizzato per l’autenticazione è debole e non sarà più utilizzato.

Se ricevi questo messaggio, significa che il tuo dominio Active Directory supporta solo la crittografia RC4 per Kerberos. Vista la debolezza di questo tipo di crittografia RC4, il relativo supporto per Kerberos sarà rimosso in una futura versione di macOS.

Anche se su macOS Sierra i client Active Directory continueranno a utilizzare la suite RC4, per garantire una futura compatibilità è necessario configurare il dominio e la foresta Active Directory per l’uso della crittografia AES-128 o AES-256 per Kerberos.

Scopri se stai utilizzando la crittografia AES per Kerberos

Per controllare se stai utilizzando la crittografia AES per Kerberos, puoi utilizzare il contrassegno -e con il comando kinit per richiedere esplicitamente la crittografia AES quando ottieni un TGT. Ad esempio:

kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.ESEMPIO.COM

Se questo comando funziona, significa che il tuo ambiente Active Directory supporta la crittografia AES-128 per Kerberos. Se il comando non funziona, vedrai un messaggio di errore:

kinit: krb5_get_init_creds: Preautenticazione necessaria ma KDC non ha inviato nessuna opzione di preautenticazione

Se ricevi questo messaggio, il tuo dominio Active Directory non supporta la crittografia AES e non sarà compatibile con i client macOS in futuro.

Scopri altre modifiche per cui preparare il tuo istituto prima dell’aggiornamento a iOS 10 o macOS Sierra.