Nastavenie doménového prístupu v Adresárovej utilite na Macu
Dôležité: Pomocou rozšírených možností konektora Active Directory môžete mapovať atribúty jedinečného ID užívateľa macOS (UID), ID primárnej skupiny (GID) a skupinového GID do správnych atribútov v schéme Active Directory. Ak však neskôr tieto nastavenia zmeníte, užívatelia môžu stratiť prístup k predtým vytvoreným súborom.
Otvoriť Adresárovú utilitu za mňa
Naviazanie pomocou Adresárovej utility
V apke Adresárová utilita
na Macu kliknite na Služby.Kliknite na ikonu zámku.
Zadajte užívateľské meno a heslo správcu a kliknite na Upraviť nastavenia (alebo použite Touch ID).
Vyberte Active Directory a potom kliknite na tlačidlo Upraviť nastavenia pre vybranú službu
.Zadajte názov hostiteľa DNS domény Active Directory, ktorú chcete viazať k počítaču, ktorý konfiguruje.
Správca domény Active Directory vám môže povedať názov hostiteľa DNS.
Podľa potreby upravte ID počítača.
ID počítača je názov, podľa ktorého doména Active Directory rozpoznáva počítač a je predvolene nastavené ako názov počítača. Môžete ho zmeniť tak, aby zodpovedalo schéme názvov vašej organizácie. Ak nemáte istotu, spýtajte sa správcu domény Active Directory.
Dôležité: Ak názov vášho počítača obsahuje pomlčku, je možné, že sa nebudete môcť naviazať k adresárovej doméne, ako napríklad LDAP alebo Active Directory. Ak chcete vytvoriť viazanie, zmeňte názov počítača tak, aby neobsahoval pomlčku.
Ak sú rozšírené možnosti skryté, kliknite na trojuholník odkrytia pri položke Zobraziť možnosti. Rozšírené možnosti môžete upraviť aj neskôr.
(Voliteľné) Vyberte možnosti v časti Užívateľské nastavenia.
Prečítajte si články Nastavenie mobilných užívateľských účtov, Nastavenie domovských priečinkov pre užívateľské účty a Nastavenie UNIX-ového shellu pre užívateľské účty Active Directory.
(Voliteľné) Vyberte možnosti v časti Priradenia.
Prečítajte si tému Mapovanie skupinového ID, primárneho GID a UID na atribút Active Directory servera.
(Voliteľné) Vyberte možnosti v časti Správa.
Preferovať tento doménový server: macOS predvolene na základe údajov lokality a odozvy doménového radiča určuje, ktorý doménový radič má použiť. Ak je tu zadaný doménový radič na rovnakej lokalite, najprv sa skontroluje. Ak daný doménový radič nie je k dispozícii, macOS sa vráti k predvolenému správaniu.
Povoliť správu užívateľom: Keď je zapnutá táto možnosť, členovia uvedených skupín Active Directory (predvolene správcovia domén a podnikoví správcovia) majú správcovské práva pre daný lokálny Mac. Môžete tu taktiež zadať požadované bezpečnostné skupiny.
Povoliť autentifikáciu z každej domény v doménovej štruktúre: macOS podľa predvolených nastavení automaticky vyhľadáva autentifikáciu na všetkých doménach. Ak chcete obmedziť autentifikáciu iba na doménu, na ktorú je daný Mac naviazaný, zrušte označenie tohto políčka.
Prečítajte si tému Kontrola autentifikácie zo všetkých domén v Active Directory foreste.
Kliknite na Viazať a zadajte nasledujúce údaje:
Poznámka: Na naviazanie počítaču k doméne musí mať užívateľ oprávnenia v Active Directory.
Meno užívateľa a heslo: Autentifikovať môžete zadaním mena a hesla užívateľského účtu Active Directory, alebo môže správca domény Active Directory poskytnúť meno a heslo.
OU počítača: Zadajte organizačnú jednotku počítača (OU) pre počítač, ktorý konfigurujete.
Použiť pre autentifikáciu: Nastavte, či sa Active Directory má pridať do pravidiel vyhľadávania autentifikácie počítača.
Použiť pre kontakty: Nastavte, či sa Active Directory má pridať do pravidiel vyhľadávania kontaktov počítača.
Kliknite na Potvrdiť.
Adresárová utilita nastaví dôveryhodné viazanie medzi počítačom, ktorý konfigurujete a serverom Active Directory. Pravidlá vyhľadávania počítača sa nastavia podľa možností, ktoré vyberiete počas autentifikácie a Active Directory sa povolí v paneli Služby v Adresárovej utilite.
Pomocou predvolených nastavení rozšírených možností Active Directory sa pridá forest Active Directory do pravidla vyhľadávania autentifikácie počítača a pravidla vyhľadávania kontaktov, ak ste vybrali „Použiť pre autentifikáciu“ alebo „Použiť pre kontakty“.
Ak však pred kliknutím na Zviazať zrušíte možnosť „Povoliť autentifikáciu z každej domény v doménovej štruktúre“ v rozšírených možnostiach nastavení Správa, namiesto doménovej štruktúry sa pridá najbližšia doména Active Directory.
Pravidlá vyhľadávania môžete upraviť neskôr pridaním alebo odstránením forestu Active Directory alebo jednotlivých domén. Pozrite si článok Definovanie pravidiel vyhľadávania.
Naviazanie pomocou konfiguračného profilu
Objemom dát adresára v profile konfigurácie je možné nakonfigurovať jeden Mac alebo automatizovať stovky počítačov Mac na naviazanie k Active Directory. Rovnako ako pri iných objemoch dát konfiguračných profilov, objem dát adresára je možné aplikovať manuálne, pomocou skriptu, v rámci registrácie MDM alebo pomocou riešenia na správu klientov.
Objemy dát sú súčasťou konfiguračných profilov a umožňujú správcom spravovať konkrétne časti systému macOS. Kontaktujte svojho predajcu MDM, ktorý vám poskytne inštrukcie o tom, ako vytvoriť konfiguračný profil.
Naviazanie pomocou príkazového riadku
Mac môžete k Active Directory naviazať pomocou príkazu dsconfigad v aplikácii Terminál.
Na naviazanie Macu k Active Directory je možné použiť napríklad nasledujúci príkaz:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Po naviazaní Macu k doméne môžete pomocou príkazu dsconfigad nastaviť možnosti správy v Adresárovej utilite:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Rozšírené možnosti príkazového riadka
Súčasťou natívnej podpory pre Active Directory sú aj možnosti, ktoré sa v Adresárovej utilite nezobrazujú. Tieto rozšírené možnosti zobrazíte buď pomocou objemu dát adresára v konfiguračnom profile alebo pomocou nástroja dsconfigad príkazového riadku.
Otvorte stránku nápovedy dsconfigad a začnite prehliadať možnosti príkazového riadku.
Interval hesla objektu počítača
Keď je systém Mac viazaný s Active Directory, nastaví heslo počítačového účtu, ktoré sa uloží v systémovej kľúčenke a Mac ho automaticky mení. Predvolený interval hesla je každých 14 dní, no pomocou objemu dát adresára alebo nástroja príkazového riadku dsconfigad môžete nastaviť ľubovoľný interval podľa požiadaviek uplatňovaných pravidiel.
Nastavením hodnoty 0 zakážete automatické zmeny hesla účtu: dsconfigad -passinterval 0
Poznámka: Heslo objektu počítača je uložené ako hodnota hesla v systémovej kľúčenke. Heslo získate tak, že otvoríte Kľúčenku, vyberiete systémovú kľúčenku a vyberiete kategóriu Heslá. Vyhľadajte záznam, ktorý tvorí /Active Directory/DOMÉNA, kde DOMÉNA predstavuje NetBIOS názov domény Active Directory. Dvakrát kliknite na tento záznam a označte políčko Zobraziť heslo. Podľa potreby sa autentifikujte ako miestny správca.
Podpora pre priestor názvov
macOS podporuje autentifikáciu viacerých užívateľov s rovnakými krátkymi menami (alebo prihlasovacími menami), ktorí existujú na rôznych doménach v rámci Active Directory forestu. Po zapnutí podpory pre priestor názvov pomocou objemu dát adresára alebo nástroja dsconfigad príkazového riadka môže mať užívateľ v jednej doméne rovnaké krátke meno ako užívateľ v druhej doméne. Obaja užívatelia sa musia prihlásiť pomocou názvu svojej domény a následne svojím krátkym menom (DOMÉNA\krátke meno) podobne, ako pri prihlasovaní do Windows PC. Túto podporu zapnete pomocou nasledujúceho príkazu:
dsconfigad -namespace <forest>
Podpisovanie a šifrovanie paketov
Klient Open Directory môže podpisovať a šifrovať LDAP pripojenia slúžiace na komunikáciu s Active Directory. Pri podpísaní SMB podpory v macOS by nemalo byť v záujme podpory počítačov Mac nutné zmierňovať pravidlá zabezpečenia lokality. Pri podpísaní a šifrovaní LDAP pripojení zároveň nie je potrebné používať LDAP prostredníctvom SSL. Ak sa vyžadujú SSL pripojenia, pomocou nasledujúceho príkazu nastavte Open Directory na používanie SSL:
dsconfigad -packetencrypt ssl
Upozorňujeme, že na to, aby bolo SSL šifrovanie úspešné, musia byť certifikáty používané pre doménové radiče dôveryhodné. Ak certifikáty doménových radičov neboli vydané prostredníctvom natívnych dôveryhodných koreňov systému macOS, nainštalujte reťaz certifikátov a nastavte ich dôveryhodnosť v systémovej kľúčenke. V kľúčenke koreňov systému sa nachádzajú certifikačné autority, ktoré sú pre systém macOS predvolene dôveryhodné. Ak chcete nainštalovať certifikáty a nastaviť ich dôveryhodnosť, vykonajte niektorý z týchto krokov:
Importujte koreňový a všetky potrebné sprostredkovacie certifikáty pomocou objemu dát certifikátov v konfiguračnom profile
Použite utilitu Kľúčenka v priečinku /Applications/Utilities/
Použite nasledujúci príkaz zabezpečenia:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <cesta/k/súboru/certifikátu>
Obmedzenie dynamickej DNS
macOS sa predvolene pokúša aktualizovať svoj záznam Adresa (A) v DNS pre všetky rozhrania. Ak je nastavených viacero rozhraní, môže prísť k vzniku viacerých záznamov v DNS. V záujme regulácie tohto správania zadajte, ktoré rozhranie sa má používať pri aktualizovaní systému DDNS (Dynamic Domain Name System), pomocou objemu dát adresára alebo nástroja dsconfigad príkazového riadku. Zadajte názov BSD rozhrania, v ktorom chcete priradzovať aktualizácie DDNS. Názov BSD sa zhoduje s poľom Zariadenie pri spustení tohto príkazu:
networksetup -listallhardwareports
Pri použití príkazu dsconfigad v skripte musíte uviesť nešifrované textové heslo slúžiace na naviazanie k doméne. Zodpovednosťou naviazať počítače MAC k doméne býva štandardne poverený užívateľ Active Directory bez ďalších správcovských práv. Táto kombinácia užívateľského mena a hesla sa ukladá v skripte. Tento skript sa po naviazaní podľa osvedčeného postupu bezpečne odstraňuje, aby sa táto informácia naďalej neuchovávala na úložnom zariadení.