Configurar o acesso a um domínio no Utilitário de Diretório no Mac
Importante: com as opções avançadas do conector do Active Directory, é possível associar o ID de utilizador exclusivo (UID), o ID do grupo principal (GID) e o GID do grupo do macOS aos atributos corretos no esquema do Active Directory. No entanto, se alterar estas definições mais tarde, os utilizadores poderão perder o acesso a ficheiros anteriormente criados.
Abrir o Utilitário de Diretório
Efetuar ligação através do Utilitário de Diretório
Na aplicação Utilitário de Diretório no Mac, clique em Serviços.
Clique no ícone de cadeado.
Digite um nome e palavra‑passe de administrador e, em seguida, clique em “Modificar configuração” (ou use o Touch ID).
Selecione Active Directory e, depois, clique no botão “Editar as definições do serviço selecionado” .
Digite o nome de host DNS do domínio do Active Directory que pretende ligar ao computador que está a configurar.
O administrador do domínio do Active Directory pode dar informação quanto ao nome de host DNS.
Se necessário, edite o ID do computador.
O ID do computador é o nome pelo qual o computador é conhecido no domínio do Active Directory, sendo, por predefinição, o nome do computador. Pode alterá-lo de acordo com o esquema de atribuição de nomes da sua organização. Se não tiver a certeza, consulte o administrador do domínio do Active Directory.
Importante: se o nome do computador incluir um hífen, poderá não ser possível ligar-se a um domínio de diretório como LDAP ou Active Directory. Para estabelecer ligação, altere o nome do computador para um sem hífen.
Se as opções avançadas estiverem ocultas, clique no triângulo de abertura junto a “Mostrar opções”. Também pode alterar as opções avançadas mais tarde.
(Opcional) Selecione opções de “Experiência do utilizador”.
Consulte Configurar contas de utilizador móveis, Configurar pastas pessoais para contas de utilizador e Definir uma shell UNIX para contas de utilizador do Active Directory.
(Opcional) Selecione opções de “Mapeamentos”.
Consulte Associar o ID do grupo, o GID principal e o UID a um atributo do Active Directory.
(Opcional) Selecione opções de “Administração”.
Preferir este servidor: por predefinição, o macOS usa as informações do site e a capacidade de resposta do controlador de domínio para determinar o controlador de domínio a usar. Se um controlador de domínio no mesmo site estiver especificado aqui, este é consultado primeiro. Se o controlador de domínio estiver indisponível, o macOS restabelece o comportamento predefinido.
Permitir administração por: quando esta opção está ativada, os membros dos grupos do Active Directory listados (por predefinição, administradores de domínio e empresa) recebem privilégios administrativos no Mac local. Também pode especificar aqui os grupos de segurança desejados.
Permitir autenticação de cada domínio na floresta: por predefinição, o macOS pesquisa automaticamente todos os domínios para autenticação. Para restringir a autenticação apenas ao domínio a que o Mac está ligado, desassinale esta opção.
Consulte Controlar a autenticação a partir de todos os domínios na floresta do Active Directory.
Clique em Ligar e, em seguida, introduza a seguinte informação:
Nota: o utilizador tem de ter privilégios no Active Directory para ligar um computador ao domínio.
Nome de utilizador e palavra-passe: poderá autenticar-se introduzindo o nome e a palavra-passe da sua conta de utilizador do Active Directory, ou o administrador do domínio do Active Directory poderá ter de lhe fornecer um nome e palavra-passe.
OU do computador: introduza a unidade organizacional (OU) do computador que está a configurar.
Usar para autenticação: selecione se pretende que o Active Directory seja adicionado à política de pesquisa de autenticação do computador.
Usar para contactos: selecione se pretende que o Active Directory seja adicionado à política de pesquisa de contactos do computador.
Clique em OK.
O Utilitário de Diretório configura uma ligação fidedigna entre o computador que está a configurar e o servidor do Active Directory. As políticas de pesquisa do computador são especificadas de acordo com as opções que selecionou quando se autenticou, e o Active Directory é ativado no painel Serviços do Utilitário de Diretório.
Com as predefinições das opções avançadas do Active Directory, a floresta do Active Directory é adicionada à política de pesquisa de autenticação e à política de pesquisa de contactos do computador, se tiver selecionado “Usar para autenticação” ou “Usar para contactos”.
Contudo, antes de clicar em “Ligar”, se anular a seleção de “Permitir autenticação de cada domínio na raiz” nas opções avançadas de “Administração”, antes de clicar em Ligar, o domínio do Active Directory mais próximo é adicionado em vez da floresta.
Pode alterar as políticas de pesquisa mais tarde, adicionando ou removendo a floresta do Active Directory ou domínios individuais. Consulte Definir políticas de pesquisa.
Efetuar ligação através de um perfil de configuração
A carga útil de diretório num perfil de configuração pode configurar um único Mac, ou automatizar centenas de computadores Mac, para se ligarem ao Active Directory. Tal como noutras cargas de perfil de configuração, pode instalar a carga de diretório manualmente, através de um script, como parte de um registo MDM, ou através da utilização de uma solução de gestão de clientes.
As cargas úteis fazem parte de perfis de configuração e permitem que os administradores façam a gestão de partes específicas do macOS. Contacte o seu fornecedor de MDM para obter instruções sobre como criar um perfil de configuração.
Efetuar ligação através da linha de comandos
Pode usar o comando dsconfigad
na aplicação Terminal para ligar um Mac ao Active Directory.
Por exemplo, o seguinte comando pode ser usado para ligar um Mac ao Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Depois de ligar um Mac ao domínio, pode usar dsconfigad
para definir as opções administrativas no Utilitário de Diretório:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opções avançadas de linha de comandos
O suporte nativo para Active Directory inclui opções que não estão visíveis no Utilitário de Diretório. Para ver estas opções avançadas, use a carga útil de diretório num perfil de configuração; ou a ferramenta da linha de comandos dsconfigad
.
Comece a analisar as opções da linha de comandos abrindo a página man dsconfigad.
Intervalo de palavras-passe de objeto do computador
Quando um sistema Mac está ligado ao Active Directory, este define uma palavra-passe de conta do computador que é armazenada no porta-chaves do sistema e é carregada automaticamente pelo Mac. O intervalo de palavras-passe predefinido é a cada 14 dias, mas pode usar a carga útil de diretório ou a ferramenta da linha de comandos dsconfigad
para definir qualquer intervalo que seja exigido pela sua política.
Definir o valor para 0 desativa automaticamente a alteração da palavra-passe da conta: dsconfigad -passinterval 0
Nota: a palavra-passe de objeto do computador é armazenada como um valor de palavra-passe no porta-chaves do sistema. Para obter a palavra-passe, abra o Porta-chaves, selecione o porta-chaves do sistema e, em seguida, selecione a categoria Palavras-passe. Procure a entrada parecida com /Active Directory/DOMÍNIO onde DOMÍNIO é o nome NetBIOS do domínio do Active Directory. Faça duplo clique nesta entrada e, em seguida, selecione a opção “Mostrar palavra-passe”. Efetue a autenticação como administrador local, conforme necessário.
Suporte do espaço de nome
O macOS suporta a autenticação de vários utilizadores com os mesmos nomes abreviados (ou nomes de início de sessão) que existem em vários domínios dentro da floresta do Active Directory. Ao ativar o suporte do espaço de nome com a carga útil de diretório ou a ferramenta de linha de comandos dsconfigad
, um utilizador num domínio pode ter o mesmo nome abreviado que um utilizador num domínio secundário. Ambos os utilizadores têm de iniciar sessão com o nome do respetivo domínio seguido pelos seus nomes abreviados (DOMÍNIO\nome abreviado), à semelhança do início de sessão num computador com Windows. Para ativar este suporte, use o seguinte comando:
dsconfigad -namespace <forest>
Assinatura e cifragem de pacotes
O cliente Open Directory pode assinar e cifrar as ligações LDAP usadas para comunicar com o Active Directory. Com o suporte SMB assinado no macOS, não deverá ser necessário diminuir a política de segurança do site para se adaptar a computadores Mac. As ligações LDAP assinadas e cifradas também eliminam qualquer necessidade de usar LDAP em vez de SSL. Se forem necessárias ligações SSL, use o seguinte comando para configurar o Open Directory para usar SSL:
dsconfigad -packetencrypt ssl
Tenha em atenção que os certificados usados nos controladores de domínio têm de ser fidedignos para que a cifragem SSL seja bem sucedida. Se os certificados de controlador de domínio não forem emitidos a partir de raízes de sistema fidedignas e nativas para macOS, instale e confie na cadeia no porta-chaves do sistema. As autoridades de certificação fidedignas por predefinição no macOS estão no porta-chaves “Raízes do sistema”. Para instalar certificados e estabelecer a confiança, proceda de uma das seguintes formas:
importe a raiz e qualquer certificado intermédio necessário através da carga útil de certificados num perfil de configuração;
use o Acesso a Porta-chaves, em Aplicações/Utilitários/;
use o comando de segurança da seguinte forma:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Restringir DNS dinâmico
Por predefinição, o macOS tenta atualizar o respetivo registo de Endereço (A) no DNS para todas as instâncias. Se forem configuradas várias interfaces, tal pode resultar em vários registos no DNS. Para gerir este comportamento, especifique o comportamento a usar ao atualizar o DDNS (Dynamic Domain Name System) através da utilização da carga útil de diretório ou da ferramenta da linha de comandos dsconfigad
. Especifique o nome BSD da interface à qual serão associadas as atualizações de DDNS. O nome BSD é igual ao do campo Dispositivo, devolvido através da execução deste comando:
networksetup -listallhardwareports
Ao utilizar dsconfigad
num script, é necessário incluir a palavra-passe de texto legível usada para se ligar ao domínio. Normalmente, é delegada a um utilizador do Active Directory sem privilégios de administrador a responsabilidade de ligar os computadores Mac ao domínio. Este par de nome de utilizador e palavra-passe é armazenado no script. É prática comum o script apagar-se em segurança após a ligação, para que esta informação deixe de residir no dispositivo de armazenamento.