De toegang tot een domein configureren in Adreslijsthulpprogramma op de Mac
Belangrijk: Via de geavanceerde opties van de Active Directory-connector kun je de kenmerken van de unieke gebruikers-ID (UID), de primaire groeps-ID (GID) en de groeps-ID in macOS koppelen aan de bijbehorende kenmerken in het Active Directory-schema. Als je deze instellingen echter later wijzigt, kan de toegang van gebruikers tot eerder aangemaakte bestanden verloren gaan.
Een koppeling maken via Adreslijsthulpprogramma
Klik in de app Adreslijsthulpprogramma op de Mac op 'Voorzieningen'.
Klik op het hangslotsymbool.
Voer de gebruikersnaam en het wachtwoord van een beheerder in en klik op 'Wijzig configuratie' (of gebruik Touch ID).
Selecteer 'Active Directory' en klik op de knop 'Wijzig de instellingen voor de geselecteerde voorziening' .
Typ de DNS-hostnaam van het Active Directory-domein waarmee je de computer wilt koppelen die je aan het configureren bent.
De beheerder van het Active Directory-domein kan je de DNS-hostnaam vertellen.
Wijzig zo nodig de computer-ID.
De computer-ID is de naam waaronder de computer bekend staat in het Active Directory-domein. Standaard wordt hiervoor de naam van de computer gebruikt. Je kunt deze naam aanpassen aan het naamgevingsbeleid van je organisatie. Als je twijfelt, raadpleeg je de beheerder van het Active Directory-domein.
Belangrijk: Als de naam van je computer een koppelteken (-) bevat, kun je mogelijk geen koppeling tot stand brengen met een adreslijstdomein zoals LDAP of Active Directory. Om verbinding te maken moet je de naam van je computer wijzigen zodat deze geen koppelteken bevat.
Als de geavanceerde opties verborgen zijn, klik je op het driehoekje naast 'Toon opties'. Je kunt de instellingen voor de geavanceerde opties ook op een later tijdstip wijzigen.
(Optioneel) Selecteer opties voor 'Gebruikersinstellingen'.
Zie Accounts voor mobiele gebruikers configureren, Thuismappen configureren voor gebruikersaccounts en Een UNIX-shell configureren voor gebruikersaccounts in Active Directory.
(Optioneel) Selecteer opties voor 'Koppelingen'.
Zie De groeps-ID, primaire groeps-ID en UID koppelen aan een Active Directory-kenmerk.
(Optioneel) Selecteer opties voor 'Beheer'.
Standaarddomeinserver: macOS gebruikt standaard informatie over de site en de snelheid waarmee de domeincontroller reageert om te bepalen welke domeincontroller wordt ingesteld. Als je hier een domeincontroller instelt die deel uitmaakt van dezelfde site, wordt deze als eerste geraadpleegd. Als de domeincontroller niet beschikbaar is, wordt de standaardprocedure van macOS gevolgd.
Sta beheer toe door: Als je deze optie inschakelt, krijgen de leden van de Active Directory-groepen in de lijst (standaard de domein- en bedrijfsbeheerders) beheerdersbevoegdheden op de lokale Mac. Je kunt hier ook specifieke beveiligingsgroepen instellen.
Sta authenticatie toe vanuit willekeurig domein in forest: macOS doorzoekt standaard automatisch alle domeinen voor authenticatie. Om de authenticatie te beperken tot het domein waaraan de Mac is gekoppeld, schakel je dit aankruisvak uit.
Zie Authenticatie beheren vanuit alle domeinen in de Active Directory-forest.
Klik op 'Koppel' en voer de volgende gegevens in:
Opmerking: De gebruiker moet in Active Directory de vereiste bevoegdheden hebben om een computer aan het domein te koppelen.
Gebruikersnaam en Wachtwoord: Mogelijk kun je de authenticatie uitvoeren door de naam en het wachtwoord op te geven van je Active Directory-gebruikersaccount. Als dit niet werkt, moet je de beheerder van het Active Directory-domein vragen om een naam en een wachtwoord.
Organisatie-eenheid: Geef hier de organisatie-eenheid (OU) op voor de computer die je configureert.
Gebruik voor authenticatie: Geef aan of je Active Directory wilt toevoegen aan de zoekconfiguratie voor authenticatie van de computer.
Gebruik voor contactgegevens: Geef aan of je Active Directory wilt toevoegen aan de zoekconfiguratie voor contactgegevens van de computer.
Klik op 'OK'.
Via Adreslijsthulpprogramma wordt een vertrouwde koppeling ingesteld tussen de computer die je configureert en de Active Directory-server. De zoekconfiguraties van de computer worden ingesteld op basis van de opties die je hebt geselecteerd tijdens de authenticatie en Active Directory wordt ingeschakeld in het paneel 'Voorzieningen' van Adreslijsthulpprogramma.
Met de standaardinstellingen voor de geavanceerde opties van Active Directory wordt de Active Directory-forest toegevoegd aan de zoekconfiguratie voor authenticatie en de zoekconfiguratie voor contactgegevens van de computer als je de optie 'Gebruik voor authenticatie' of de optie 'Gebruik voor contactgegevens' hebt geselecteerd.
Als je echter, voordat je op 'Koppel' klikt, de optie 'Sta authenticatie toe vanuit willekeurig domein in forest' in de geavanceerde opties voor 'Beheer' uitschakelt, wordt niet de forest maar het dichtstbijzijnde Active Directory-domein toegevoegd.
Je kunt de zoekconfiguraties op een later tijdstip wijzigen door de Active Directory-forest of afzonderlijke domeinen toe te voegen of te verwijderen. Zie Zoekconfiguraties definiëren.
Een koppeling maken via een configuratieprofiel
Met de directorypayload in een configuratieprofiel kan een Mac zodanig worden geconfigureerd dat deze aan Active Directory wordt gekoppeld. Op deze manier kun je zelfs honderden Macs aan Active Directory koppelen. Net als bij andere payloads in configuratieprofielen kun je de directorypayload handmatig, met behulp van een script, als onderdeel van een MDM-inschrijving of met behulp van een oplossing voor clientbeheer installeren.
Payloads zijn onderdelen van configuratieprofielen waarmee beheerders specifieke onderdelen van macOS kunnen beheren. Voor instructies voor het aanmaken van een configuratieprofiel neem je contact op met je MDM-leverancier.
Een koppeling maken via de commandoregel
Je kunt het commando dsconfigad
in de app Terminal gebruiken om een Mac aan Active Directory te koppelen.
Je kunt bijvoorbeeld het volgende commando gebruiken om een Mac aan Active Directory te koppelen:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Nadat je een Mac aan het domein hebt gekoppeld, kun je met dsconfigad
de beheeropties in Adreslijsthulpprogramma instellen:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Geavanceerde commandoregelopties
Active Directory ondersteunt ook opties die niet in Adreslijsthulpprogramma worden weergegeven. Om deze geavanceerde opties te bekijken, moet je de directorypayload in een configuratieprofiel of de commandoregeltool dsconfigad
gebruiken.
Open de informatiepagina voor dsconfigad om de commandoregelopties weer te geven.
Wachtwoordinterval voor computerobject
Wanneer een Mac aan Active Directory wordt gekoppeld, wordt een wachtwoord voor de computeraccount ingesteld die in de systeemsleutelhanger wordt bewaard en automatisch door de Mac wordt gewijzigd. Het standaardinterval voor het wijzigen van het wachtwoord is 14 dagen, maar met de directorypayload of de commandoregeltool dsconfigad
kun je het interval aanpassen aan je beleid.
Als je de waarde '0' instelt, wordt het accountwachtwoord niet meer automatisch gewijzigd: dsconfigad -passinterval 0
Opmerking: Het wachtwoord van het computerobject wordt als wachtwoordwaarde in de systeemsleutelhanger bewaard. Om het wachtwoord op te vragen, open je Sleutelhangertoegang en selecteer je achtereenvolgens de systeemsleutelhanger en de categorie 'Wachtwoorden'. Zoek de vermelding die lijkt op /Active Directory/DOMEIN, waarbij DOMEIN de NetBIOS-naam van het Active Directory-domein is. Klik dubbel op deze vermelding en schakel het aankruisvak 'Toon wachtwoord' in. Voer zo nodig de authenticatiegegevens van een lokale beheerder in.
Ondersteuning voor naamruimten
macOS ondersteunt de authenticatie van meerdere gebruikers met dezelfde korte naam (of inlognaam) die lid zijn van verschillende domeinen binnen het Active Directory-forest. Wanneer je de ondersteuning voor naamruimten inschakelt via de directorypayload of de commandoregeltool dsconfigad
, kan een gebruiker in een domein dezelfde korte naam gebruiken als een gebruiker in een ander domein. Beide gebruikers moeten inloggen met de naam van hun domein gevolgd door hun korte naam (DOMEIN\korte naam), net als bij het inloggen op een Windows-pc. Om deze ondersteuning in te schakelen, gebruik je het volgende commando:
dsconfigad -namespace <forest>
Ondertekening en encryptie van pakketten
De Open Directory-client kan de LDAP-verbindingen ondertekenen en versleutelen waarmee met Active Directory wordt gecommuniceerd. Dankzij de ondersteuning voor ondertekende SMB's in macOS is het niet nodig om het beveiligingsbeleid van de site te downgraden om Macs te kunnen gebruiken. De ondertekende en versleutelde LDAP-verbindingen maken ook het gebruik van LDAP via SSL overbodig. Als het gebruik van SSL-verbindingen noodzakelijk is, gebruik je het volgende commando om Open Directory te configureren voor het gebruik van SSL:
dsconfigad -packetencrypt ssl
Houd er rekening mee dat SSL-encryptie alleen werkt als op de domeincontrollers vertrouwde certificaten worden gebruikt. Als de domeincontrollercertificaten niet worden uitgegeven door vertrouwde macOS-systeemroots, installeer je de certificaatketen in de systeemsleutelhanger en zorg je ervoor dat deze wordt vertrouwd. Certificaatautoriteiten die standaard worden vertrouwd in macOS worden bewaard in de sleutelhanger 'Systeemroots'. Om certificaten te installeren en te vertrouwen, voer je een van de volgende stappen uit:
Importeer de rootcertificaten en andere noodzakelijke certificaten via de certificatenpayload in een configuratieprofiel
Gebruik Sleutelhangertoegang in /Apps/Hulpprogramma's/
Gebruik het commando 'security' met de volgende parameters:
/usr/bin/security add-trusted-cert -d -p basic -k <pad/naar/certificaatbestand>
Dynamic DNS beperken
In macOS wordt standaard geprobeerd de A-record (Address) in DNS bij te werken voor alle interfaces. Als er meerdere interfaces zijn geconfigureerd, kan dit meerdere records in DNS opleveren. Om dit te voorkomen, kun je aangeven welke interface moet worden gebruikt bij het bijwerken van DDNS (Dynamic Domain Name System). Hiervoor gebruik je de directorypayload of de commandoregeltool dsconfigad
. Geef de BSD-naam op van de interface waaraan DDNS-updates moeten worden gekoppeld. De BSD-naam is de naam in het veld. Deze kun je opvragen met het volgende commando:
networksetup -listallhardwareports
Wanneer je dsconfigad
in een script gebruikt, moet je het wachtwoord in normale tekst opnemen waarmee de domeinkoppeling tot stand wordt gebracht. Meestal wordt een Active Directory-gebruiker zonder andere beheerdersbevoegdheden gebruikt om Macs aan het domein te koppelen. Deze combinatie van gebruikersnaam en wachtwoord wordt in het script bewaard. Het is gebruikelijk dat het script automatisch veilig wordt gewist nadat de koppeling tot stand is gebracht, zodat deze informatie niet meer op het opslagapparaat aanwezig is.