Voorbereidingen treffen voor macOS Sierra 10.12 met Active Directory
Lees meer over de vereisten voor het gebruik van macOS Sierra met Active Directory.
Deze aanbevelingen zijn bedoeld voor je Active Directory-beheerders, zodat deze kunnen bepalen of ze geschikt zijn voor je organisatie.
Als je denkt dat deze wijziging voor je consequenties heeft, neem je contact op met de systeembeheerder van je instelling.
Gebruikers van Active Directory-op macOS Sierra zien mogelijk een bericht als hieronder wanneer ze proberen een Kerberos Ticket Granting Ticket (TGT) te verkrijgen via het Terminal-commando 'kinit':
Versleutelingstype arcfour-hmac-md5(23) gebruikt voor verificatie is zwak en zal worden afgeschaft.
Als je dit bericht ziet, ondersteunt je Active Directory-account alleen RC4-codering voor Kerberos. Deze codering is kwetsbaar en daarom wordt ondersteuning voor RC4-codering voor Kerberos in een latere versie van macOS verwijderd.
Hoewel Active Directory-clients in macOS Sierra nog steeds RC4 gebruiken, doe je er goed aan je Active Directory-domein en -forest te configureren voor het gebruik van AES-128- of AES-256-codering voor Kerberos, om de compatibiliteit in de toekomst te waarborgen.
Nagaan of je Kerberos-codering met AES gebruikt
Als je wilt controleren of je daadwerkelijk AES Kerberos-codering gebruikt, kun je de vlag '-e' gebruiken bij het commando 'kinit'. Je vraagt daarmee expliciet om AES-codering bij het verkrijgen van een TGT. Bijvoorbeeld:
kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM
Als dit commando werkt, ondersteunt je Active Directory-omgeving Kerberos-codering met AES-128. Als het commando niet werkt, zie je een foutbericht als dit:
kinit: krb5_get_init_creds: preauth vereist maar geen preauth-opties verzonden door KDC
Als je deze fout ziet, ondersteunt je Active Directory-domein geen AES-codering en zal het in de toekomst niet compatibel zijn met macOS-clients.
Lees meer over andere wijzigingen waarvoor je instelling voorbereidingen moet treffen voordat updates naar iOS 10 of macOS Sierra worden uitgevoerd.