Інтегрування Active Directory за допомогою Утиліти каталогів на Mac
За допомогою з’єднувача Active Directory (в опціях «Сервіси» Утиліти каталогів) на Mac можна конфігурувати доступ до основної інформації про облікові записи користувачів у домені Active Directory на сервері Windows 2000 або пізнішої версії.
З’єднувач Active Directory створює всі атрибути, необхідні для автентифікації macOS, із облікових записів користувачів Active Directory. Він також підтримує політики автентифікації Active Directory, включно зі змінами паролю, термінами дії, примусовими змінами й параметрами безпеки. Оскільки з’єднувач підтримує ці функції, не потрібно вносити зміни у схему домена Active Directory, щоб отримати основну інформацію про облікові записи користувачів.
Примітка. Комп’ютери з системою macOS 10.12 та новішими версіями не можуть приєднуватися до домена Active Directory з функціональним рівнем нижчим, ніж Windows Server 2008, якщо окремо не увімкнути «слабке шифрування». Навіть якщо функціональні рівні всіх доменів є 2008 або пізніше, адміністраторові може знадобитися окремо вказати рівень довіри до кожного домена, щоб використовувати шифрування Kerberos AES.
Якщо macOS повністю інтегрована з Active Directory, користувачі:
є суб’єктами політики паролів домена організації;
використовують ті самі ідентифікаційні дані для автентифікації й отримання прав доступу до захищених ресурсів;
отримують сертифікат для ідентифікації користувача і комп’ютера від сервера служби сертифікатів Active Directory;
можуть автоматично переміщатися у просторі імен розподіленої файлової системи (DFS) і монтувати відповідний базовий сервер SMB.
Порада. Клієнти Mac отримують повний доступ до читання атрибутів, доданих до цього каталогу. Тому може виникнути необхідність змінити ACL цих атрибутів, щоб дозволити групам комп’ютерів читати ці додані атрибути.
Окрім політики автентифікації з’єднувач Active Directory також підтримує:
Параметри пакетного шифрування та пакетного підписування для всіх доменів Windows Active Directory. Зазвичай цю функцію ввімкнено, а відповідний параметр має значення «дозволити». Ці стандартні настройки можна змінити на «вимкнено» або «на вимогу» за допомогою команди
dsconfigad. Параметри пакетного шифрування й пакетного підписування забезпечують захист усіх даних, що передаються до й від домену Active Directory для пошуку записів.Динамічне створення унікальних ідентифікаторів. Контролер створює унікальний ідентифікатор користувача та ідентифікатор первинної групи на глобальному унікальному ідентифікаторі (GUID) користувача в домені Active Directory. Створений ідентифікатор користувача та ідентифікатор первинної групи однакові для кожного облікового запису, навіть якщо цей обліковий запис використовується для входу до різних комп’ютерів Mac. Див. Співвіднесення ідентифікатора групи, основного ідентифікатора групи та унікального ідентифікатора з атрибутом Active Directory.
Реплікація та обробка відмови Active Directory. З’єднувач Active Directory знаходить кілька контролерів доменів і визначає найближчий. Якщо контролер домену стає недоступним, з’єднувач використовує інший найближчий контролер домену.
Виявлення всіх доменів у лісі Active Directory. Можна конфігурувати з’єднувач так, щоб він дозволяв користувачам із будь-якого домену в лісі проходити автентифікацію на комп’ютері Mac. Також можна дозволити проходити автентифікацію на клієнті лише певним доменам. Див. Керування автентифікацією з усіх доменів у лісі Active Directory.
Монтування домівок Windows. Якщо хтось входить до системи комп’ютера Mac за допомогою облікового запису Active Directory, з’єднувач Active Directory може змонтувати мережеву домівку Windows, яку вказано в обліковому записі користувача Active Directory як домівку користувача. Можна вказати, чи потрібно використовувати мережеву домівку мережі, визначену стандартним атрибутом домашнього каталогу Active Directory, чи домівку, визначену атрибутом домашнього каталогу macOS (якщо схему Active Directory розширено й вона її включає).
Використання локальної домівки на комп’ютері Mac. Можна конфігурувати з’єднувач на створення локальної домівки на стартовому томі комп’ютера Mac. У такому разі з’єднувач також змонтує мережеву домівку Windows (указану в обліковому записі користувача Active Directory) як мережевий том області спільного доступу. Тоді за допомогою Finder користувач зможе копіювати файли з мережевого тому домівки Windows у локальну домівку Mac і навпаки.
Створення мобільних записів для користувачів. Мобільний обліковий запис має локальну домівку на стартовому томі комп’ютера Mac. (У користувача також є мережева домівка, яку вказано в обліковому записі Active Directory користувача.) Перегляньте розділ Налаштування мобільних облікових записів користувачів.
LDAP для доступу і Kerboros для автентифікації. Для отримання сервісів каталогів або сервісів автентифікації з’єднувач Active Directory не використовує пропрієтарний інтерфейс ADSI від Microsoft.
Виявлення і доступ до розширення схеми. Якщо схему Active Directory розширено й вона включає типи записів (класи об’єктів) і атрибути macOS, з’єднувач Active Directory виявляє їх і отримує до них доступ. Наприклад, схему Active Directory можна змінити за допомогою засобів адміністрування Windows, щоб вона включала атрибути керованого клієнта macOS. Таке змінення схеми дає змогу з’єднувачу Active Directory використовувати сумісні рішення для керування мобільними пристроями (MDM).