Mac’teki Dizin İzlencesi’nde alan erişimini ayarlama

1. Mac’inizdeki Dizin İzlencesi uygulamasında Servisler’i tıklayın.

2. Kilit simgesini tıklayın.

3. Yöneticinin kullanıcı adını ve parolasını girin, sonra Konfigürasyonu Değiştir’i tıklayın (ya da Touch ID’yi kullanın).

4. Active Directory’yi seçin, sonra “Seçili servis için ayarları düzenle” düğmesini tıklayın.

5. Ayarladığınız bilgisayara bağlamak istediğiniz Active Directory alanının DNS sunucu adını girin.

   Active Directory alanının yöneticisi DNS sunucu adını size söyleyebilir.

6. Gerekliyse Bilgisayar Kimliği’ni düzenleyin.

   Bilgisayar Kimliği, bilgisayarın Active Directory alanında tanınmasını sağlayan addır ve saptanmış değeri bilgisayar adıdır. Bunu kuruluşunuzun adlandırma planına uyacak şekilde değiştirebilirsiniz. Emin değilseniz Active Directory alan yöneticisine danışın.

   Önemli: Bilgisayar adınız kısa çizgi içeriyorsa, LDAP veya Active Directory gibi bir dizin alanına bağlayamayabilirsiniz. Bağlamayı gerçekleştirmek için kısa çizgi içermeyen bir bilgisayar adı kullanın.

7. İleri düzey seçenekler gizliyse Seçenekleri Göster’in yanındaki içeriği gösterme üçgenini tıklayın. İleri düzey seçenek ayarlarını daha sonra da değiştirebilirsiniz.

8. (İsteğe bağlı) Kullanıcı Deneyimi bölümünde seçenekleri belirleyin.

   Taşınabilir kullanıcı hesaplarını ayarlama, Kullanıcı hesaplarının ana klasörlerini ayarlama ve Active Directory kullanıcı hesapları için bir UNIX kabuğu ayarlama bölümlerine bakın.

9. (İsteğe bağlı) Eşleme bölümünde seçenekleri belirleyin.

   Grup kimliğini, birincil grup kimliğini ve kullanıcı kimliğini (UID) bir Active Directory özelliğine eşleme konusuna bakın.

10. (İsteğe bağlı) Yönetim bölümünde seçenekleri seçin.

    • Şu alan sunucusunu yeğle: Saptanmış olarak, macOS hangi alan denetleyicisinin kullanılacağını belirlemek üzere site bilgilerini ve alan denetleyici yanıt hızını kullanır. Alan denetleyicisi burada belirtilen ile aynı sitedeyse, ilk olarak ona başvurulur. Alan denetleyicisi kullanılamıyorsa, macOS saptanmış davranışına döndürülür.

    • Şunun yönetimine izin ver: Bu seçenek etkinleştirildiğinde, Active Directory gruplarında listelenen üyeler (saptanmış olarak, alan ve şirket yöneticileri) yerel Mac’te yönetici ayrıcalıklarıyla donatılır. Ayrıca, burada yeğlenen güvenlik gruplarını da belirtebilirsiniz.

    • Ormandaki herhangi bir alandan kimlik doğrulamaya izin ver: Saptanmış olarak, macOS kimlik doğrulama amacıyla tüm alanları otomatik olarak arar. Yalnızca Mac’in bağlı olduğu alana kimlik doğrulaması kısıtlaması getirmek için, bu onay kutusunun seçimini kaldırın.

    Active Directory ormanındaki tüm alanlardan gelen kimlik doğrulamayı denetleme konusuna bakın.

11. Bağla’yı tıklayın, sonra aşağıdaki bilgileri girin:

    Not: Kullanıcının bir bilgisayarı alana bağlamak için Active Directory’de ayrıcalıkları olmalıdır.

    • Kullanıcı adı ve Parola: Active Directory kullanıcı hesabınızın adını ve parolasını girerek kimliğinizi doğrulayabilirsiniz veya Active Directory alan yöneticisinin bir ad ve parola sağlaması gerekebilir.

    • Bilgisayar OU: Ayarladığınız bilgisayar için organizasyonel birimi (OU) girin.

    • Kimlik doğrulama için kullan: Active Directory’nin bilgisayarı kişi arama politikasına eklemesini isteyip istemediğinizi belirleyin.

    • Kişiler için kullan: Active Directory’nin bilgisayarı kimlik doğrulama politikasına eklemesini isteyip istemediğinizi belirleyin.

12. Tamam’ı tıklayın.

    Dizin İzlencesi, ayarladığınız bilgisayarla Active Directory sunucusu arasında güvenilir bağlamayı ayarlar. Bilgisayarın arama politikaları, kimliğinizi doğrularken seçtiğiniz seçeneklere göre ayarlanır ve Dizin İzlencesi’nin Servisler bölümünde Active Directory etkinleştirilir.

    “Kimlik doğrulama için kullan” veya “Kişiler için kullan” öğelerini seçtiyseniz, Active Directory ormanı Active Directory ileri düzey seçeneklerinin saptanmış ayarlarıyla bilgisayarın kimlik doğrulama arama politikasına ve kişi arama politikasına eklenir.

    Ancak Bağla’yı tıklamadan önce Yönetsel İleri Düzey Seçenekler bölümünde “Ormandaki herhangi bir alandan kimlik doğrulamaya izin ver” öğesinin seçimini kaldırırsanız, orman yerine en yakın Active Directory alanı eklenir.

    Daha sonra Active Directory ormanını veya tek tek alanları ekleyerek veya çıkararak arama politikalarını değiştirebilirsiniz. Arama politikalarını tanımlama bölümüne bakın.

Bir ayarlama profilindeki dizin verisi, Active Directory’e bağlanacak şekilde tek bir Mac’i ayarlayabilir veya yüzlerce Mac bilgisayarı otomatize edebilir. Diğer ayarlama profili verileriyle, bir MDM kaydının parçası olarak bir betik veya bir istemci yönetimi çözümü kullanarak dizin verisini elle dağıtabilirsiniz.

Veriler, ayarlama profillerinin parçasıdır ve macOS’un belirli parçalarını yönetmek için yöneticilere izin verir. Profil Yöneticisi’nde, Dizin İzlencesi’nde belirleyeceğiniz aynı özellikleri seçersiniz. Sonra, Mac bilgisayarların ayarlama profilini nasıl elde edeceğini belirlersiniz.

Mac’inizdeki Server uygulamasında aşağıdakini yapın:

• Profile Manager’ı ayarlamak için macOS Server Kullanma Kılavuzu’ndaki Profile Manager’ı başlatma konusuna bakın.

• Bir Active Directory verisi yaratmak istiyorsanız BT Yöneticileri için Mobil Aygıt Yönetimi Ayarları’ndaki Apple aygıtları için Dizin MDM verisi ayarları bölümüne bakın.

Server uygulamanız yoksa Mac App Store’dan indirebilirsiniz.

Bir Mac’i Active Directory’e bağlamak için Terminal uygulamasında dsconfigad komut satırını kullanabilirsiniz.

Örneğin, bir Mac’i Active Directory’e bağlamak için şu komut kullanılabilir:

Bir Mac’i alana bağladıktan sonra, Dizin İzlencesi’nde yönetici seçeneklerini ayarlamak üzere dsconfigad komut satırını kullanabilirsiniz:

İleri düzey komut satırı seçenekleri

Active Directory için yerel destekte Dizin İzlencesi’nde görmeyeceğiniz seçenekler bulunur. Bu ileri düzey seçenekleri görmek için, bir ayarlama profilinde Dizin verisini ya da dsconfigad komut satırı aracını kullanın.

• dsconfigad yönetim sayfasını açarak komut satırını incelemeye başlayın.

Bilgisayar nesnesi parola süresi aralığı

Bir Mac sistemi Active Directory’e bağlandığında, Mac tarafından sistem anahtar zincirinde depolanan bir bilgisayar hesabı parolası ayarlanır ve otomatik olarak değiştirilir. Saptanmış parola süresi aralığı 14 gündür ancak politikanızın gerektirdiği istediğiniz aralığı belirlemek için dizin verisini veya dsconfigad komut satırı aracını kullanabilirsiniz.

Değerin 0 olarak ayarlanması hesap parolasının otomatik olarak değiştirilmesini devre dışı bırakır: dsconfigad -passinterval 0

Ad alanı desteği

macOS, Active Directory ormanında farklı alanlarda mevcut aynı kısa adlara (veya oturum açma adlarına) sahip birden çok kullanıcı için kimlik doğrulamasını destekler. Dizin verisiyle veya dsconfigad komut satırı aracıyla ad alanı desteğinin etkinleştirilmesiyle, tek bir alandaki bir kullanıcı ikincil bir alanda aynı kısa ada sahip olabilir. Her iki kullanıcının da, bir Windows PC’de oturum açar gibi, kısa adlarının ardından alanlarının adını (ALAN\kısa ad) kullanarak oturum açması gerekir. Bu desteği etkin hale getirmek için, şu komutu kullanın:

dsconfigad -namespace <forest>

Paket imzalama ve şifreleme

Open Directory istemcisi, Active Directory ile iletişim kurmak için kullanılan LDAP bağlantılarını imzalayabilir ve şifreleyebilir. macOS’taki imzalı SMB desteğiyle, Mac bilgisayarları uygun duruma getirmek için sitenin güvenlik politikasından ödün verilmesi gerekmez. İmzalı ve şifreli LDAP bağlantıları, SSL üzerinden LDAP bağlantılarını da ortadan kaldırır. SSL bağlantıları gerekiyorsa, Open Directory’i SSL kullanacak şekilde ayarlamak için şu komutu kullanın:

dsconfigad -packetencrypt ssl

SSL şifrelemesinin başarılı olması için alan denetleyicilerinde kullanılan sertifikaların güvenilir olması gerektiğini unutmayın. Alan denetleyicileri sertifikaları macOS yerel güvenilir köklerinden verilmemişse, Sistem anahtar zincirinde sertifika zincirini indirip güven sağlayın. macOS’ta saptanmış olarak güvenilen sertifika yetkileri Sistem Kök anahtar zincirinde bulunur. Sertifikaları indirmek ve güven kurmak için, aşağıdakilerden birini yapın:

• Bir ayarlama profilinde sertifika verisini kullanarak kökü ve herhangi bir gerekli ara sertifikayı içe aktarın

• /Applications/Utilities/ dizininde bulunan Anahtar Zinciri Erişimi’ni kullanın

• Aşağıdaki güvenlik komutlarını kullanın

  /usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>

Dinamik DNS’i kısıtlama

macOS, saptanmış olarak tüm arayüzlerdeki DNS’te Adres (A) kaydını güncellemeyi dener. Birden çok arayüz ayarlanmışsa, bu DNS’te birden çok kayıt oluşmasına neden olabilir. Bu davranışı yönetmek için, Dizin verisini veya dsconfigad komut satırı aracını kullanarak Dinamik Alan Adı Sistemi’ni (DDNS) güncellerken kullanılacak arayüzü belirtin. Arayüzün DDNS güncellemelerinde ilişkilendirileceği BSD adını belirtin. BSD adı şu komutun girilmesiyle döndürülen Cihaz alanıyla aynıdır:

networksetup -listallhardwareports

Bir betikte dsconfigad komutu kullanılırken, alana bağlamak için kullanılan düz metin parolasını eklemelisiniz. Genel olarak, bir yönetici ayrıcalığı olmayan Active Directory kullanıcısı Mac bilgisayarları alana bağlama sorumluluğuyla görevlendirilebilir. Bu kullanıcı adı ve parola çifti betikte depolanır. Bağlama işlemi sonrası betiğin kendini güvenli şekilde silmesi genel bir uygulamadır. Böylece, bu bilgiler depolama cihazında daha uzun süre tutulmaz.