Configurare l'accesso al dominio in Utility Directory sul Mac
Importante: le opzioni avanzate del connettore Active Directory permettono di assegnare gli attributi UID (unique user ID), GID (primary group ID) e GID di gruppo di macOS agli attributi appropriati nello schema Active Directory. In ogni caso, se in seguito modifichi queste impostazioni, gli utenti potrebbero perdere l'accesso ai file creati precedentemente.
Vincolare l'utilizzo di Utility Directory
Nell'app Utility Directory sul Mac, fai clic su Servizi.
Fai clic sull'icona a forma di lucchetto.
Inserisci la password e il nome utente di amministratore, quindi fai clic su “Modifica configurazione”, oppure utilizza Touch ID.
Seleziona “Active Directory”, quindi fai clic sul pulsante “Modifica le impostazioni per il servizio selezionato” .
Inserisci il nome host DNS del dominio Active Directory che desideri vincolare al computer che stai configurando.
L'amministratore del dominio Active Directory può informarti riguardo al nome host DNS.
Se necessario, modifica l'ID del computer.
L’ID del computer, il nome mediante il quale il computer è noto nel dominio Active Directory, è preimpostato sul nome del computer. Puoi modificarlo per conformarsi allo schema di denominazione della tua organizzazione. Se non sei sicuro, chiedi all’amministratore del dominio Active Directory.
Importante: se il nome del tuo computer contiene un trattino, potresti non essere in grado di vincolarlo a un dominio di directory quale LDAP o Active Directory. Per stabilire il vincolo, utilizza un nome di computer che non contiene simboli.
Se le opzioni avanzate sono nascoste, fai clic sul triangolo di apertura accanto a “Mostra Opzioni”. Puoi anche modificare le impostazioni delle opzioni avanzate in seguito.
(Facoltativo) Seleziona le opzioni nel pannello “Esperienza utente”.
Consulta Impostare account utente mobili, Configurare le cartelle Inizio per gli account utente e Impostare una shell UNIX per gli account utente di Active Directory.
(Facoltativo) Seleziona le opzioni nel pannello Mappature.
Consulta Assegnare l'ID gruppo, il GID primario e l'UID a un attributo Active Directory.
(Facoltativo) Seleziona le opzioni nel pannello Amministrazione.
Preferisci questo server di dominio: di default, macOS utilizza le informazioni del sito e le risposte del controller di dominio per determinare quale controller di dominio utilizzare. Se un controller di dominio nello stesso sito viene specificato qui, viene consultato prima. Se il controller di dominio non è disponibile, macOS ritorna al comportamento di default.
Consenti amministrazione da: quando questa opzione è abilitata, ai membri dei gruppi di Active Directory nell'elenco (di default, amministratori enterprise e di dominio) vengono concessi i privilegi da amministratore sul Mac locale. Inoltre, puoi specificare qui i gruppi di sicurezza desiderati.
Consenti autenticazione da tutti i domini nella foresta: di default, macOS cerca automaticamente tutti i domini per l'autenticazione. Per limitare l'autenticazione solo per il dominio del Mac a cui è vincolato, deseleziona questo riquadro.
Consulta Controllare l'autenticazione da tutti i domini nella foresta Active Directory.
Fai clic su Vincola e inserisci le seguenti informazioni:
Nota: l’utente deve disporre dei privilegi in Active Directory per vincolare un computer al dominio.
Nome utente e Password: puoi autenticarti inserendo il nome e la password del tuo account utente di Active Directory, altrimenti l'amministratore del dominio Active Directory dovrà fornire un nome e una password.
OU computer: inserisci l'unità organizzativa (OU, organizational unit) per il computer che stai configurando.
Usa per l'autenticazione: seleziona se Active Directory viene aggiunto ai criteri di ricerca di autenticazione del computer.
Usa per i contatti: seleziona se Active Directory viene aggiunto ai criteri di ricerca dei contatti del computer.
Fai clic su OK.
Utility Directory imposta il trusted binding tra il computer che stai configurando e il server Active Directory. I criteri di ricerca del computer sono impostati in accordo con le opzioni che hai selezionato quando hai effettuato l’autenticazione e Active Directory è abilitato nel pannello Servizi di Utility Directory.
Con le impostazioni di default per le opzioni avanzate di Active Directory, la foresta di Active Directory è aggiunta ai criteri di ricerca autenticazioni e contatti se hai selezionato “Usa per l'autenticazione” o “Usa per i contatti”.
Tuttavia, se deselezioni “Consenti autenticazione da tutti i domini nella foresta” nel pannello “Opzioni avanzate” di Amministratore prima di fare clic su “Attiva binding”, il dominio Active Directory più vicino viene aggiunto al posto della foresta.
Puoi modificare i criteri di ricerca in seguito, aggiungendo o rimuovendo la foresta di Active Directory o i domini individuali. Consulta Definire i criteri di ricerca.
Vincolare utilizzando un profilo di configurazione
Il payload directory in un profilo di configurazione può configurare un singolo Mac o automatizzare centinaia di Mac, per vincolarsi ad Active Directory. Come con altri payload di profilo di configurazione, puoi distribuire il payload directory manualmente, utilizzando uno script, come parte di una registrazione MDM o utilizzando una soluzione di gestione dei client.
I payload sono parte dei profili di configurazione e consentono agli amministratori di gestire parti specifiche di macOS. Seleziona le stesse funzionalità in Gestore profilo che utilizzeresti in Utility Directory. Quindi scegli come i Mac riceveranno il profilo di configurazione.
Nell'app Server sul Mac, esegui una delle seguenti operazioni:
Per configurare “Gestione profili”, consulta Avviare “Gestione profili” nel Manuale utente di macOS Server.
Per creare un payload Active Directory, consulta Impostazioni del payload Directory MDM per dispositivi Apple nelle impostazioni per la gestione dei dispositivi mobili per gli amministratori IT.
Se non disponi dell'app Server, puoi scaricarla da Mac App Store.
Vincolare utilizzando la riga di comando
Puoi utilizzare il comando dsconfigad
nell'app Terminale per vincolare un Mac a Active Directory.
Ad esempio, il seguente comando può essere utilizzato per vincolare un Mac ad Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Dopo aver vincolato un Mac al dominio, puoi utilizzare dsconfigad
per impostare le opzioni amministrative in Utility Directory:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opzioni di linea di comando avanzate
Il supporto nativo per Active Directory include le opzioni che non si vedono in Utility Directory. Per vedere queste opzioni avanzate, utilizza un payload Directory in un profilo di configurazione, oppure lo strumento linea di comando dsconfigad
.
Inizia rivedendo le opzioni della linea di comando aprendo la pagina man di dsconfigad.
Intervallo della password oggetto computer
Quando un sistema Mac viene vincolato ad Active Directory, imposta la password dell'account del computer che viene archiviata nel portachiavi di sistema e cambiata automaticamente dal Mac. L'intervallo della modifica della password di default è di 14 giorni, ma puoi utilizzare il payload directory o lo strumento linea di comando dsconfigad
per impostare l'intervallo conforme alle tua politica.
L'impostazione del valore su 0 disabilita il cambio automatico della password dell'account: dsconfigad -passinterval 0
Nota: la password oggetto computer viene archiviata come valore password nel portachiavi di sistema. Per recuperare la password, apri Accesso Portachiavi, seleziona il portachiavi di sistema, quindi seleziona la categoria Password. Trova la voce simile a /Active Directory/DOMAIN dove DOMAIN è il nome NetBIOS del dominio Active Directory. Fai doppio clic su questa voce, quindi seleziona l'opzione “Mostra password”. Se necessario, effettua l'autenticazione come amministratore locale.
Supporto del namespace
macOS supporta l'autenticazione di più utenti con gli stessi nomi brevi (o nomi di login) che esistono in diversi domini all'interno della foresta di Active Directory. Abilitando il supporto del namespace con il payload Directory o lo strumento linea di comando dsconfigad
, un utente in un dominio può avere lo stesso nome breve di un utente nel dominio secondario. Entrambi gli utenti devono eseguire il login utilizzando il nome del loro dominio seguito dai loro nomi brevi (DOMINIO\Nome breve), simile all'accesso a un PC Windows. Per abilitare questo supporto, utilizza il seguente comando:
dsconfigad -namespace <forest>
Pacchetto di firma e codifica
Il client Open Directory può firmare e codificare le connessioni LDAP utilizzate per comunicare con Active Directory. Con il supporto SMB firmato in macOS, non dovrebbe essere necessario effettuare il downgrade delle politiche di sicurezza del sito per ospitare i Mac. Le connessioni LDAP firmate e codificate eliminano anche la necessità di utilizzare LDAP su SSL. Se sono necessarie le connessioni SSL, utilizza il seguente comando per configurare Open Directory per utilizzare SSL:
dsconfigad -packetencrypt ssl
I certificati utilizzati sui controller di dominio devono essere attendibili per la codifica SSL affinché abbiano successo. Se i certificati del controller di dominio non vengono rilasciati dalle root di sistema attendibili native macOS, installa e autorizza la catena certificati nel portachiavi di sistema. Le autorità di certificazione attendibili di default in macOS sono nel portachiavi Root di sistema. Per installare i certificati e stabilire l'attendibilità, esegui una delle seguenti operazioni:
Importa la root e tutti certificati intermedi necessari utilizzando il payload certificati in un profilo di configurazione
Utilizza Accesso Portachiavi in /Applicazioni/Utility/
Utilizza il comando di sicurezza come segue:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <percorso/a/certificato/file>
Limitare il DNS dinamico
Di default, macOS tenta di aggiornare il suo record Indirizzo (A) nel DNS per tutte le interfacce. Se vengono configurate più interfacce, potrebbero risultare più record nel DNS. Per gestire questo comportamento, specifica quale interfaccia utilizzare quando aggiorni il DDNS (Dynamic Domain Name System) utilizzando il payload Directory o lo strumento linea di comando dsconfigad
. Specifica il nome BSD dell'interfaccia a cui associare gli aggiornamenti DDNS. Il nome BSD è identico al campo Dispositivo, restituito eseguendo questo comando:
networksetup -listallhardwareports
Durante l'utilizzo di dsconfigad
in uno script, devi includere la password in chiaro utilizzata per vincolare il dominio. Generalmente, a un utente Active Directory che non dispone di altri privilegi di amministratore viene delegata la responsabilità di vincolare i Mac al dominio. Questa associazione nome utente e password viene archiviata nello script. È prassi comune per lo script, eliminare se stesso in modo sicuro dopo il vincolo affinché questa informazione non risieda più sul dispositivo di archiviazione.