Konfigurer domenetilgang i Katalogverktøy på Macen
Viktig: Med de avanserte innstillingene for Active Directory-tilkoblingen kan du tilordne bruker-ID-en (UID), primærgruppe-ID-en (GID) og gruppe-GID-attributter fra macOS til de riktige attributtene i Active Directory-oppsettet. Hvis du imidlertid endrer disse innstillingene senere, kan det hende at brukere mister tilgang til filer de har opprettet tidligere.
Binding ved hjelp av Katalogverktøy
Klikk på Tjenester i Katalogverktøy-appen
på Macen.Klikk på låsesymbolet.
Skriv inn brukernavnet og passordet til en administrator og klikk på Endre konfigurasjon (eller bruk Touch ID).
Marker Active Directory, og klikk deretter på «Rediger innstillinger for den markerte tjenesten»-knappen
.Oppgi DNS-vertsnavnet for Active Directory-domenet du vil binde til datamaskinen du konfigurerer.
Administratoren for Active Directory-domenet kan opplyse deg om DNS-vertsnavnet.
Hvis det er nødvendig, redigerer du maskin-ID-en.
Maskin-ID-en, navnet datamaskinen får i Active Directory-domenet, er forhåndsinnstilt som det samme som maskinnavnet. Du kan tilpasse den etter organisasjonens navnesystem. Hvis du ikke er sikker, kan du spørre administratoren for Active Directory-domenet.
Viktig: Hvis maskinnavnet inneholder en bindestrek, kan du få problemer med å binde datamaskinen til et katalogdomene som LDAP eller Active Directory. Endre maskinnavnet til et som ikke inneholder bindestrek for å etablere binding.
Hvis de avanserte alternativene er skjult, klikker du på trekanten ved siden av Vis valg. Du kan også endre innstillingene for de avanserte valgene senere.
(Valgfritt) Velg Brukeropplevelse-alternativer.
Les Konfigurer mobile brukerkontoer, Konfigurer Hjem-mapper for brukerkontoer og Angi UNIX-shell for Active Directory-brukerkontoer.
(Valgfritt) Velg Tilordninger-alternativer.
Les Tilordne gruppe-ID-en, den primære GID-en og UID-en til et Active Directory-attributt.
(Valgfritt) Velg Administrativt-alternativer.
Foretrukket domenetjener: Som standard bruker macOS nettstedinformasjon og grad av respons fra domenekontrollere for å fastslå hvilken domenekontroller som skal brukes. Hvis en domenekontroller på samme nettsted er angitt her, blir den konsultert først. Hvis en domenekontroller er utilgjengelig, vil macOS gå tilbake til standardadferd.
Tillat administrering av: Når dette alternativet er aktivert, vil medlemmer av Active Directory-gruppene i listen (standard: domene- og bedriftsadministratorer) få administratorrettigheter på den lokale Macen. Du kan også angi ønskede sikkerhetsgrupper her.
Tillat autentisering fra alle domener i skog: Som standard søker macOS automatisk blant alle domener etter autentisering. Hvis du vil begrense autentisering til kun domenet som Macen er bundet til, fjerner du avmerkingen i denne avkrysningsruten.
Les Kontroller autentisering fra alle domener i Active Directory-skogen.
Klikk på Bind, og skriv inn følgende informasjon:
Merk: Brukeren må ha rettigheter i Active Directory for å binde en datamaskin til domenet.
Brukernavn og passord: Det kan hende at du kan utføre autentiseringene ved å angi navnet og passordet for Active Directory-brukerkontoen. Hvis ikke, er det mulig at administratoren for Active Directory-domenet må tildele deg et navn og passord.
Maskin-OU: Angi organisasjonsenheten (OU) for datamaskinen du konfigurerer.
Bruk for autentisering: Velg om Active Directory skal legges til i datamaskinens søkekriterier for autentisering.
Bruk for kontakter: Velg om Active Directory skal legges til i datamaskinens søkekriterier for kontakter.
Klikk på OK.
Katalogverktøy konfigurerer godkjent binding mellom datamaskinen du konfigurerer, og Active Directory-tjeneren. Maskinens søkekriterier stilles inn i henhold til valgene du foretok da du utførte autentiseringen, og Active Directory aktiveres i Tjenester-panelet i Katalogverktøy.
Med standardinnstillingene for de avanserte innstillingene for Active Directory legges Active Directory-skog til i datamaskinens søkekriterier for autentisering og/eller kontakter hvis du valgte «Bruk for autentisering» og/eller «Bruk for kontakter».
Men hvis du fjerner avkrysningen for «Tillat autentisering fra alle domener i skogen» i avanserte valg under Administrativ før du klikker på Bind, legges det nærmeste Active Directory-domenet til i stedet for skogen.
Du kan endre søkekriterier senere ved å legge til eller fjerne Active Directory-skogen eller -enkeltdomener. Les Definer søkekriterier.
Bind med en konfigurasjonsprofil
Katalognyttelasten i en konfigurasjonsprofil kan konfigurere en enkelt Mac, eller automatisere hundrevis av Mac-datamaskiner, til å binde seg til Active Directory. Som med andre konfigurasjonsprofilnyttelaster kan du distribuere katalognyttelasten manuelt, med en prosedyre, som en del av en MDM-registrering eller ved å bruke en klientadministrasjonsløsning.
Nyttelaster er en del av konfigurasjonsprofiler og åpner for at administratorer kan administrere bestemte deler av macOS. Kontakt MDM-leverandøren for å få instruksjoner for oppretting av en konfigurasjonsprofil.
Bind med kommandolinjen
Du kan bruke dsconfigad-kommandoen i Terminal-appen til å binde en Mac til Active Directory.
Følgende kommando kan for eksempel brukes til å binde en Mac til Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Når du har bundet en Mac til domenet, kan du bruke dsconfigad til å angi administratorvalg i Katalogverktøy:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Avanserte kommandolinjevalg
Den innebygde støtten for Active Directory inkluderer valg som du ikke finner i Katalogverktøy. Hvis du vil se disse avanserte valgene, bruker du enten katalognyttelasten i en konfigurasjonsprofil eller kommandolinjeverktøyet dsconfigad.
Gjennomgå kommandolinjevalgene ved å åpne man-siden for dsconfigad.
Passordintervall for datamaskinobjekt
Når et Mac-system er bundet til Active Directory, angir den et kontopassord for datamaskinen som arkiveres på systemets nøkkelring og som automatisk endres av Macen. Standardpassordintervallet er hver fjortende dag, men du kan bruke katalognyttelasten eller kommandolinjeverktøyet dsconfigad til å angi intervallet som trengs i henhold til aktuelle regler.
Hvis du angir verdien som 0, blir automatisk endring av kontopassordet deaktivert: dsconfigad -passinterval 0
Merk: Objektpassord for datamaskinen blir arkivert som en passordverdi på systemets nøkkelring. Hvis du vil hente passordet, åpner du Nøkkelringtilgang, velger systemets nøkkelring og velger deretter Passord-kategorien. Finn oppføringen som ser ut som /Active Directory/DOMAIN, der DOMAIN er NetBIOS-navnet på Active Directory-domenet. Dobbeltklikk på denne oppføringen og marker deretter i avkrysningsruten «Vis passord». Autentiser som en lokal administrator etter behov.
Navneområdestøtte
macOS støtter autentisering av flere brukere med samme kortnavn (eller påloggingsnavn) som finnes i andre domener i Active Directory-skogen. Ved å aktivere navneområdestøtte med katalognyttelasten eller kommandolinjeverktøyet dsconfigad kan en bruker i ett domene ha samme kortnavn som en bruker i et annet domene. Begge brukerne må logge på med navnet på sitt domene etterfulgt av kortnavn (DOMENE\kortnavn), som når man logger seg på en Windows-PC. Bruk følgende kommando for å aktivere denne støtten:
dsconfigad -namespace <forest>
Pakkesignering og -kryptering
Open Directory-klienten kan signere og kryptere LDAP-tilkoblingene som brukes til å kommunisere med Active Directory. Med den signerte SMB-støtten i macOS skal det ikke være nødvendig å nedgradere nettstedets sikkerhetsregler for å tilpasse seg Mac-datamaskiner. De signerte og krypterte LDAP-tilkoblingene eliminerer også behovet for å bruke LDAP i stedet for SSL. Hvis det kreves SSL-tilkoblinger, bruker du følgende kommando til å konfigurere Open Directory til å bruke SSL:
dsconfigad -packetencrypt ssl
Vær oppmerksom på at sertifikatene som brukes på domenekontrollerne må være godkjente for SSL-kryptering for å fungere. Hvis domenekontrollersertifikatene ikke er utstedt fra innebygde godkjente systemrøtter i macOS, installerer og godkjenner du sertifikatkjeden i systemnøkkelringen. Sertifikatautoriteter godkjent som standard i macOS finnes i nøkkelringen for systemrot. Gjør ett av følgende hvis du vil installere sertifikater og etablere godkjennelse:
Importer rotsertifikatet og eventuelle andre mellomliggende sertifikater med sertifikatnyttelasten i en konfigurasjonsprofil
Bruk nøkkelringtilgang, som du finner i /Apper/Verktøy/
Bruk sikkerhetskommandoen som følger:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Begrens dynamisk DNS
macOS forsøker som standard å oppdatere adresseoppføringen (A) i DNS for alle grensesnitt. Hvis det er konfigurert flere grensesnitt, kan dette føre til flere oppføringer i DNS. Hvis du vil administrere denne oppførselen, angir du hvilket grensesnitt som skal brukes når du oppdaterer DDNS (Dynamic Domain Name System) ved å bruke katalognyttelasten eller kommandolinjeverktøyet dsconfigad. Angi BSD-navnet på grensesnittet som DDNS-oppdateringene skal knyttes til. BSD-navnet er det samme som Enhet-feltet, som returneres ved å kjøre denne kommandoen:
networksetup -listallhardwareports
Når du bruker dsconfigad i en prosedyre, må du inkludere klartekstpassordet som ble brukt til å binde domenet. Vanligvis vil en Active Directory-bruker uten administratorrettigheter få delegert ansvaret for å binde Mac-datamaskiner til domenet. Dette settet med brukernavn og passord blir arkivert i prosedyren. Etter binding er det standard prosedyre at prosedyren sletter seg selv på en sikker måte slik at denne informasjonen ikke lenger ligger på lagringsenheten.