도메인 접근 구성하기
중요사항: Active Directory 커넥터의 고급 옵션을 사용하면 macOS UID(고유 사용자 ID), GID(주 그룹 ID) 및 그룹 GID 속성을 Active Directory 스키마에 있는 올바른 속성에 매핑할 수 있습니다. 나중에 이러한 설정을 변경하는 경우 사용자가 이전에 생성한 파일에 대한 접근 권한을 유실될 수도 있습니다.
디렉토리 유틸리티를 사용하여 바인딩하기
서비스를 클릭하십시오.
잠금 아이콘을 클릭하십시오.
관리자의 사용자 이름 및 암호를 입력한 다음 구성 수정을 클릭하거나 Touch ID를 사용하십시오.
Active Directory를 선택한 다음 편집 버튼(연필 모양)을 클릭하십시오.
구성하는 컴퓨터에 바인딩할 Active Directory 도메인의 DNS 호스트 이름을 입력하십시오.
Active Directory 도메인 관리자가 DNS 호스트 이름을 알려줄 것입니다.
필요하다면, 컴퓨터 ID를 편집하십시오.
컴퓨터 ID는 Active Directory 도메인에 알려질 컴퓨터의 이름이며, 컴퓨터의 이름으로 미리 설정되어 있습니다. 사용자 조직의 이름 지정 스키마에 맞게 ID를 변경할 수 있습니다. 확실하지 않다면, Active Directory 도메인 관리자에게 문의하십시오.
중요사항: 컴퓨터 이름에 하이픈이 포함되어 있다면 LDAP 또는 Active Directory와 같은 디렉토리 도메인에 바인딩할 수 없습니다. 바인딩을 구축하려면 하이픈이 포함되어 있지 않은 컴퓨터 이름을 사용하십시오.
(선택사항) 사용자 환경 패널에서 옵션을 선택하십시오.
추가 정보는 모바일 사용자 계정 설정하기, 사용자 계정의 홈 폴더 설정하기 및 Active Directory 사용자 계정의 UNIX 셸 설정하기를 참조하십시오.
(선택 사항) 매핑 패널에서 옵션을 선택하십시오.
추가 정보는 그룹 ID, 주 GID 및 UID를 Active Directory 속성으로 매핑하기를 참조하십시오.
(선택 사항) 고급 옵션을 선택하십시오. 또한, 나중에 고급 옵션 설정을 변경할 수도 있습니다.
고급 옵션이 가려진 경우 윈도우에 있는 펼침 삼각형을 클릭하십시오.
이 도메인 서버 권장: 기본적으로, macOS는 사이트 정보 및 도메인 컨트롤러 응답을 사용하여 사용할 도메인 컨트롤러를 결정합니다. 이 때 동일한 사이트에 있는 도메인 컨트롤러를 지정한 경우 먼저 상의됩니다. 도메인 컨트롤러를 사용할 수 없는 경우 macOS가 기본 동작으로 돌아갑니다.
다음으로 관리 허용: 이 옵션이 활성화되면 나열된 로컬 Mac에서 Active Directory 그룹 구성원(기본적으로, 도메인 및 엔터프라이즈 관리자)에게 관리자 권한이 부여됩니다. 여기에서 원하는 보안 그룹을 지정할 수도 있습니다.
포리스트의 모든 도메인으로부터 인증 허용: 기본적으로, macOS는 인증을 위해 모든 도메인을 자동으로 검색합니다. Mac이 바인딩된 도메인으로만 인증을 제한하려면 이 체크상자를 선택 해제하십시오.
디렉토리 유틸리티의 고급 옵션에 대한 추가 정보를 보려면 다음을 참조하십시오.
바인드를 클릭한 후 다음 정보를 입력하십시오.
참고: 사용자가 Active Directory에서 컴퓨터를 도메인에 바인딩하려면 권한이 있어야 합니다.
사용자 이름 및 암호: 자신의 Active Directory 사용자 계정의 이름 및 암호를 입력하여 인증할 수도 있고 Active Directory 도메인 관리자가 이름과 암호를 제공할 수도 있습니다.
컴퓨터 OU: 구성하는 컴퓨터에 대한 조직 단위(OU)를 입력하십시오.
인증에 사용: Active Directory를 컴퓨터의 인증 검색 정책에 추가하려면 선택하십시오.
연락처에 사용: Active Directory를 컴퓨터의 연락처 검색 정책에 추가하려면 선택하십시오.
승인을 클릭하십시오.
디렉토리 유틸리티에서 구성하는 컴퓨터와 Active Directory 서버 사이에 신뢰 바인딩을 설정합니다. 컴퓨터의 검색 정책이 인증했을 때 선택한 옵션에 따라 설정되며 디렉토리 유틸리티의 서비스 패널에서 Active Directory가 활성화됩니다.
‘인증에 사용’ 또는 ‘연락처에 사용’ 옵션을 선택했다면 Active Directory 고급 옵션에 대한 기본 설정을 통해 컴퓨터의 인증 검색 정책 및/또는 연락처 검색 정책에 Active Directory 포리스트가 추가됩니다.
하지만 바인드를 클릭하기 전에 관리자 고급 옵션 패널에서 ‘포리스트의 모든 도메인으로부터 인증 허용’을 선택 해제했다면 포리스트 대신에 가장 가까운 Active Directory 도메인이 추가됩니다.
Active Directory 포리스트 또는 개별 도메인을 추가 또는 제거하여 검색 정책을 나중에 변경할 수 있습니다. 추가 정보는 검색 정책 정의하기를 참조하십시오.
구성 프로파일을 사용하여 바인딩하기
구성 프로파일의 디렉토리 페이로드는 단일 Mac을 구성하거나 수백 개의 Mac 컴퓨터를 자동화하여 Active Directory를 바인딩할 수 있습니다. 다른 구성 프로파일 페이로드와 마찬가지로, MDM 등록의 일부인 스크립트를 사용하여 또는 클라이언트 관리 솔루션을 사용하여 디렉토리 페이로드를 수동으로 배포할 수 있습니다.
페이로드는 구성 프로파일의 일부이며 관리자는 이를 통해 macOS의 특정 부분을 관리할 수 있습니다. 프로파일 관리에서 디렉토리 유틸리티에 있는 동일한 기능을 선택하십시오. 그런 다음 Mac 컴퓨터가 구성 프로파일을 받는 방식을 선택하십시오.
Mac App Store에서 macOS Server를 다운로드하십시오.
프로파일 관리 도움말로 이동한 다음 프로파일 관리를 구성하십시오.
프로파일 관리자 도움말에서 디렉토리 설정을 열고 Active Directory 페이로드를 생성하십시오.
명령어 라인을 사용하여 바인딩하기
터미널 앱에서 dsconfigad
명령을 사용하여 Mac을 Active Directory에 바인딩할 수 있습니다.
예를 들어, 다음 명령을 사용하여 Mac을 Active Directory에 바인딩할 수 있습니다.
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Mac을 도메인에 바인딩하면 디렉토리 유틸리티에서 dsconfigad
를 사용하여 관리 옵션을 설정할 수 있습니다.
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
고급 명령어 라인 옵션
Active Directory에 대한 고유 지원에는 디렉토리 유틸리티에서 보이지 않는 옵션이 포함됩니다. 이러한 고급 옵션을 보려면 구성 프로파일에서 디렉토리 페이로드를 사용하거나 dsconfigad
명령어 라인 도구를 사용하십시오.
dsconfigad man page를 열고 명령어 라인 옵션을 검토하십시오.
컴퓨터 객체 암호 간격
Mac 시스템이 Active Directory에 바인딩되면 시스템 키체인에 저장되고 Mac에서 자동으로 변경되는 컴퓨터 계정 암호를 설정합니다. 기본 암호 간격은 14일마다이지만 디렉토리 페이로드 또는 dsconfigad
명령어 라인 도구를 사용하여 사용자의 정책에서 요구하는 간격을 설정할 수 있습니다.
다음과 같이 값을 0으로 설정하면 계정 암호 자동 변경을 비활성화합니다. dsconfigad -passinterval 0
참고: 컴퓨터 객체 암호는 암호 값으로 시스템 키체인에 저장됩니다. 암호를 검색하려면 키체인 접근을 열고 시스템 키체인을 선택한 다음 암호 카테고리를 선택하십시오. /Active Directory/DOMAIN(DOMAIN은 Active Directory 도메인의 NetBIOS 이름)과 같은 항목을 찾으십시오. 이 항목을 이중 클릭한 다음 ‘암호 보기’ 체크상자를 선택하십시오. 필요할 경우 로컬 관리자로 인증하십시오.
네임스페이스 지원
macOS는 Active Directory 포리스트 내의 서로 다른 도메인에 존재하는 동일한 이름(또는 로그인 이름)을 가진 여러 사용자를 인증하는 것을 지원합니다. 디렉토리 페이로드 또는 dsconfigad
명령어 라인 도구에서 네임스페이스 지원을 활성화하면 한 도메인에 있는 사용자가 보조 도메인에 있는 사용자와 동일한 이름을 가질 수 있습니다. 두 사용자는 Windows PC에 로그인할 때와 비슷하게 도메인 이름 다음에 이름(DOMAIN\이름)을 사용하여 로그인해야 합니다. 이 지원을 활성화하려면 다음 명령을 사용하십시오.
dsconfigad -namespace <forest>
패킷 로그인 및 암호화
Open Directory 클라이언트는 Active Directory와 통신하는 데 사용되는 LDAP 연결에 서명하고 암호화할 수 있습니다. macOS에서 SMB 지원에 서명한 경우 Mac 컴퓨터를 수용하기 위해 해당 사이트의 보안 정책을 다운그레이드할 필요가 없습니다. 서명 및 암호화된 LDAP 연결은 SSL을 통해 LDAP를 사용할 필요도 없습니다. SSL 연결이 필요한 경우 다음 명령을 사용하여 SSL을 사용하도록 Open Directory를 구성하십시오.
dsconfigad -packetencrypt ssl
SSL을 암호화하기 위해서는 도메인 컨트롤러에 사용되는 인증서를 신뢰할 수 있어야 합니다. 도메인 컨트롤러 인증서가 macOS 고유의 신뢰할 수 있는 시스템 루트에서 발행되지 않은 경우 시스템 키체인에서 인증서 키체인을 설치하고 신뢰하십시오. macOS에서 기본적으로 신뢰할 수 있는 인증 기관은 시스템 루트 키체인에 있습니다. 인증서를 설치하고 신뢰를 구축하려면 다음 중 하나를 수행합니다.
구성 프로파일에서 인증서 페이로드를 사용하여 Root 및 필요한 모든 중간 인증서를 가져옵니다.
/응용 프로그램/유틸리티/에 있는 키체인 접근을 사용합니다.
다음과 같은 보안 명령을 사용합니다.
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
동적 DNS 제한하기
macOS는 기본적으로 모든 인터페이스에 대해 DNS에 있는 주소(A) 레코드를 업데이트하려고 합니다. 여러 인터페이스를 구성한 경우 DNS에 여러 레코드가 생성될 수 있습니다. 이 동작을 관리하려면 DDNS(Dynamic Domain Name System)를 업데이트할 때 디렉토리 페이로드 또는 dsconfigad
명령어 라인 도구를 사용하여 사용할 인터페이스를 지정하십시오. DDNS 업데이트와 관련된 인터페이스의 BSD 이름을 지정하십시오. BSD 이름은 다음 명령을 실행하여 반환된 기기 필드와 같습니다.
networksetup -listallhardwareports
스크립트에서 dsconfigad
를 사용할 때는 도메인 바인딩에 사용되는 평문 암호를 포함해야 합니다. 일반적으로, 다른 관리자 권한이 없는 Active Directory 사용자에게 Mac 컴퓨터를 도메인에 바인딩하는 책임이 위임됩니다. 이 사용자 이름 및 암호 쌍은 스크립트에 저장됩니다. 일반적으로, 스크립트는 바인딩 후 안전하게 자동으로 삭제되기 때문에 이 정보는 저장 장치에 더 이상 남아 있지 않습니다.