Integrer Active Directory ved å bruke Katalogverktøy på Macen
Du kan bruke Active Directory-tilkoblingen (i Tjenester-alternativene i Katalogverktøy) til å konfigurere Macen for tilgang til grunnleggende brukerkontoinformasjon i et Active Directory-domene på en tjener som kjører Windows 2000 eller nyere.
Active Directory-tilkoblingen genererer alle attributter som er nødvendige for macOS-autentisering, fra Active Directory-brukerkontoer. Den støtter også Active Directory-autentiseringskriterier, inkludert passordendring, utløpte passord, tvungen passordendring og sikkerhetsalternativer. Ettersom tilkoblingen støtter disse funksjonene, trenger du ikke utføre oppsettendringer på Active Directory-domenet for å skaffe grunnleggende brukerinformasjon.
Merk: Datamaskiner med macOS 10.12 eller nyere kan ikke koble til Active Directory-domener som har et lavere domenefunksjonalitetsnivå enn Windows Server 2008, med mindre du eksplisitt har angitt «weak crypto». Selv om domenefunksjonalitetsnivået for alle domenene er på 2008-nivå eller nyere, er det mulig at administratoren må spesifisere bruk av Kerberos AES-kryptering for hvert enkelt domene.
Når macOS er helt integrert med Active Directory, skal brukerne:
følge organisasjonens domenepassordregler
bruke de samme opplysningene til å autentisere og få autorisasjon til sikrede ressurser
få utstedt bruker- og maskinsertifikatidentiteter fra en Active Directory Certificate Services-tjener
kunne automatisk krysse et DFS-navneområde (Distributed File System) og aktivere den riktige underliggende SMB-tjeneren (Server Message Block)
Tips: Mac-klienter får full lesetilgang til attributter som legges til katalogen. Det kan derfor være nødvendig å endre disse attributtenes tilgangskontrolliste (ACL) slik at maskingrupper kan lese attributtene som legges til.
I tillegg til støtte for autentiseringskriterier, støtter Active Directory-tilkoblingen også følgende:
Pakkekryptering og pakkesigneringsalternativer for alle Windows Active Directory-domener: Standardinnstillingen er at denne funksjonen er på med innstillingen «tillat» (allow). Du kan endre standardinnstillingen til deaktivert (disabled) eller påkrevd (required) ved hjelp av kommandoen
dsconfigad. Pakkekrypteringen og pakkesigneringen sikrer at alle data til og fra Active Directory-domenet for oppføringsoppslag er beskyttet.Dynamisk generering av unike ID-er: Kontrolleren genererer en unik bruker-ID og primærgruppe-ID dynamisk, basert på brukerkontoens «globally unique ID» (GUID) i Active Directory-domenet. Den genererte bruker-ID-en og primærgruppe-ID-en er de samme for hver brukerkonto, selv om kontoen brukes til å logge på forskjellige Mac-datamaskiner. Les Tilordne gruppe-ID-en, den primære GID-en og UID-en til et Active Directory-attributt.
Active Directory-replikering og -failover: Active Directory-tilkoblingen kan gjenkjenne flere domenekontrollere og finner fram til den nærmeste. Hvis en domenekontroller blir utilgjengelig, bruker tilkoblingen en annen domenekontroller i nærheten.
Gjenkjenning av alle domener i en Active Directory-skog: Du kan konfigurere tilkoblingen slik at brukere fra alle domener i en skog kan logge seg på ved hjelp av en Mac-datamaskin. Alternativt kan du tillate at kun bestemte domener autentiseres på klienten. Les Kontroller autentisering fra alle domener i Active Directory-skogen.
Aktivering av Hjem-mapper i Windows: Når en bruker logger på en Mac med en Active Directory-brukerkonto, kan Active Directory-tilkoblingen aktivere Windows-nettverkshjemmappen som er angitt i Active Directory-brukerkontoen, som brukerens Hjem-mappe. Du kan angi om du vil bruke nettverks-Hjem-mappen som er spesifisert av Active Directorys standard home directory-attributt eller av home directory-attributtet til macOS (hvis Active Directory-oppsettet er utvidet slik at det inkluderer det).
Bruke en lokal Hjem-mappe på Macen: Du kan også konfigurere tilkoblingen slik at en lokal Hjem-mappe opprettes på startvolumet på Macen. I dette tilfellet aktiverer også tilkoblingen brukerens Windows-nettverkshjemmappe (spesifisert i Active Directory-brukerkontoen) som et nettverksvolum, som et delingspunkt. Ved hjelp av Finder kan brukeren da kopiere filer mellom Windows-nettverkshjemmappen og den lokale Hjem-mappen på Macen.
Oppretting av mobile kontoer for brukere: En mobil konto har en lokal Hjem-mappe på startvolumet på Macen. (Brukeren har også en nettverkshjemmappe som er spesifisert i brukerens Active Directory-konto.) Les Konfigurer mobile brukerkontoer.
Bruk LDAP for tilgang og Kerberos for autentisering: Active Directory-tilkoblingen bruker ikke Microsofts proprietære Active Directory Services-grensesnitt (ADSI) for å få tak i katalog- eller autentiseringstjenester.
Gjenkjenning og tilgang til utvidede oppsett: Hvis Active Directory-oppsettet er utvidet slik at det inkluderer macOS-oppføringstyper (objektklasser) og -attributter, vil Active Directory-tilkoblingen gjenkjenne dem og opprette forbindelser til dem. Active Directory-oppsettet kan for eksempel endres ved hjelp av Windows-administrasjonsverktøy slik at det inkluderer attributter for macOS-administrerte klienter. Denne oppsettsendringen gjør det mulig for Active Directory-tilkoblingen å bruke de MDM-løsningene som støttes.