Định cấu hình truy cập miền trong Tiện ích thư mục trên máy Mac
Quan trọng: Với các tùy chọn nâng cao của trình kết nối Active Directory, bạn có thể ánh xạ thuộc tính ID người dùng duy nhất (UID), ID nhóm chính (GID) và GID nhóm của macOS đến đúng các thuộc tính trong hệ thống Active Directory. Tuy nhiên, nếu bạn thay đổi các cài đặt này sau đó, người dùng có thể mất quyền truy cập vào các tệp đã tạo trước đó.
Liên kết bằng Tiện ích Thư mục
Trong ứng dụng Tiện ích thư mục
trên máy Mac của bạn, hãy bấm vào Dịch vụ.Bấm vào biểu tượng khóa.
Nhập tên và mật khẩu của quản trị viên, sau đó bấm vào Sửa đổi cấu hình (hoặc sử dụng Touch ID).
Chọn Active Directory, sau đó bấm vào nút “Sửa cài đặt cho dịch vụ đã chọn”
.Nhập tên máy chủ DNS của miền Active Directory mà bạn muốn liên kết với máy tính đang định cấu hình.
Quản trị viên của miền Active Directory có thể cho bạn biết tên máy chủ DNS.
Nếu cần, hãy sửa ID Máy tính.
ID Máy tính, tên của máy tính mà miền Active Directory đã biết, được đặt sẵn thành tên của máy tính. Bạn có thể thay đổi tên này để phù hợp với cơ chế đặt tên của tổ chức của mình. Nếu bạn không chắc chắn, hãy hỏi quản trị viên miền Active Directory.
Quan trọng: Nếu tên máy tính của bạn chứa dấu gạch nối, bạn có thể không liên kết được vào miền thư mục như LDAP hoặc Active Directory. Để thiết lập liên kết, hãy sử dụng tên máy tính không có dấu gạch nối.
Nếu các tùy chọn nâng cao bị ẩn, bấm vào dấu tam giác hiển thị bên cạnh Hiển thị tùy chọn. Bạn cũng có thể thay đổi cài đặt tùy chọn nâng cao sau này.
(Tùy chọn) Chọn các tùy chọn trong khung Trải nghiệm Người dùng.
Xem Thiết lập tài khoản người dùng di động, Thiết lập thư mục chính cho tài khoản người dùng và Đặt shell UNIX cho tài khoản người dùng Active Directory.
(Tùy chọn) Chọn các tùy chọn trong khung Ánh xạ.
Hãy xem Ánh xạ ID nhóm, GID chính và UID vào thuộc tính Active Directory.
(Tùy chọn) Chọn các tùy chọn trong khung Quản trị.
Ưu tiên máy chủ miền này: Theo mặc định, macOS sử dụng thông tin trang web và sự phản hồi của trình điều khiển miền để xác định trình điều khiển miền nào sẽ sử dụng. Nếu một trình điều khiển miền trong cùng trang web được chỉ định tại đây thì trình điều khiển miền đó sẽ được tham khảo trước tiên. Nếu trình điều khiển miền không khả dụng, macOS sẽ hoàn nguyên về hoạt động mặc định.
Cho phép quản trị bởi: Khi tùy chọn này được bật, các thành viên của nhóm Active Directory được liệt kê (theo mặc định là quản trị viên miền và doanh nghiệp) sẽ được cấp đặc quyền quản trị trên máy Mac cục bộ. Bạn cũng có thể chỉ định các nhóm bảo mật mong muốn tại đây.
Cho phép xác thực từ bất kỳ miền nào trong cụm: Theo mặc định, macOS tự động tìm kiếm tất cả các miền để xác thực. Để hạn chế xác thực với chỉ miền mà máy Mac được liên kết, hãy bỏ chọn hộp kiểm này.
Hãy xem Kiểm soát xác thực từ tất cả các miền trong cụm Active Directory.
Bấm vào Liên kết, sau đó nhập thông tin sau:
Ghi chú: Người dùng phải có đặc quyền trong Active Directory để liên kết một máy tính với miền.
Tên người dùng và Mật khẩu: Bạn có thể xác thực bằng cách nhập tên và mật khẩu của tài khoản người dùng Active Directory hoặc quản trị viên miền Active Directory có thể cần cung cấp tên và mật khẩu.
OU Máy tính: Nhập đơn vị tổ chức (OU) cho máy tính mà bạn đang định cấu hình.
Sử dụng cho xác thực: Chọn xem bạn có muốn Active Directory được thêm vào chính sách tìm kiếm xác thực của máy tính không.
Sử dụng cho danh bạ: Chọn xem bạn có muốn Active Directory được thêm vào chính sách tìm kiếm danh bạ của máy tính không.
Bấm OK.
Tiện ích Thư mục thiết lập liên kết được tin cậy giữa máy tính bạn đang định cấu hình và máy chủ Active Directory. Các chính sách tìm kiếm của máy tính được đặt theo tùy chọn bạn đã chọn khi xác thực và Active Directory được bật trong ngăn Dịch vụ của Tiện ích Thư mục.
Với cài đặt mặc định cho tùy chọn nâng cao của Active Directory, cụm Active Directory được thêm vào chính sách tìm kiếm xác thực và chính sách tìm kiếm danh bạ của máy tính nếu bạn đã chọn “Sử dụng cho xác thực” hoặc “Sử dụng cho danh bạ”.
Tuy nhiên, nếu bạn bỏ chọn “Cho phép xác thực từ bất kỳ miền nào trong cụm” trong khung Tùy chọn Nâng cao Quản trị trước khi bấm vào Liên kết, thì miền Active Directory gần nhất sẽ được thêm thay cho cụm.
Bạn có thể thay đổi các chính sách tìm kiếm sau này bằng cách thêm hoặc xóa cụm Active Directory hoặc các miền riêng lẻ. Xem Xác định chính sách tìm kiếm.
Liên kết bằng hồ sơ cấu hình
Phần tải thư mục trong hồ sơ cấu hình có thể định cấu hình một máy Mac hoặc tự động hóa hàng trăm máy tính Mac để liên kết với Active Directory. Như với các phần tải hồ sơ cấu hình khác, bạn có thể triển khai phần tải thư mục theo cách thủ công bằng cách sử dụng một tập lệnh, như một phần của đăng ký MDM hoặc bằng một giải pháp quản lý máy khách.
Phần tải là thành phần của hồ sơ cấu hình và cho phép quản trị viên quản lý các phần cụ thể của macOS. Bạn chọn cùng các tính năng trong Trình quản lý Cấu hình sẽ có trong Tiện ích Thư mục. Sau đó, bạn chọn cách máy tính Mac lấy hồ sơ cấu hình.
Trong ứng dụng Server trên máy Mac của bạn, hãy thực hiện tác vụ sau:
Để định cấu hình Trình quản lý cấu hình, hãy xem Bắt đầu Trình quản lý cấu hình trong Hướng dẫn sử dụng macOS Server.
Để tạo phần tải Active Directory, hãy xem cài đặt phần tải MDM thư mục cho các thiết bị Apple trong Cài đặt Quản lý thiết bị di động cho quản trị viên CNTT.
Nếu bạn không có ứng dụng Server, bạn có thể tải về ứng dụng đó từ Mac App Store.
Liên kết bằng dòng lệnh
Bạn có thể sử dụng lệnh dsconfigad trong ứng dụng Terminal để liên kết máy Mac với Active Directory.
Ví dụ: bạn có thể sử dụng lệnh sau để liên kết máy Mac với Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>Sau khi liên kết máy Mac với miền, bạn có thể sử dụng dsconfigad để đặt các tùy chọn quản trị trong Tiện ích Thư mục:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>Tùy chọn dòng lệnh nâng cao
Hỗ trợ gốc cho Active Directory bao gồm các tùy chọn mà bạn không nhìn thấy trong Tiện ích Thư mục. Để xem các tùy chọn nâng cao này, hãy sử dụng phần tải Thư mục trong hồ sơ cấu hình hoặc công cụ dòng lệnh dsconfigad.
Bắt đầu xem lại các tùy chọn dòng lệnh bằng cách mở trang man dsconfigad.
Khoảng thời gian mật khẩu đối tượng của máy tính
Khi hệ thống Mac được liên kết với Active Directory, hệ thống sẽ thiết lập mật khẩu tài khoản máy tính được lưu trữ trong chuỗi khóa hệ thống và được máy Mac tự động thay đổi. Khoảng thời gian mật khẩu mặc định là 14 ngày, nhưng bạn có thể sử dụng phần tải thư mục hoặc công cụ dòng lệnh dsconfigad để đặt bất kỳ khoảng thời gian nào mà chính sách yêu cầu.
Đặt giá trị thành 0 sẽ tắt chức năng tự động đổi mật khẩu tài khoản: dsconfigad -passinterval 0
Ghi chú: Mật khẩu đối tượng máy tính được lưu trữ dưới dạng giá trị mật khẩu trong chuỗi khóa hệ thống. Để truy xuất mật khẩu, hãy mở Truy cập chuỗi khóa, chọn chuỗi khóa hệ thống, sau đó chọn danh mục Mật khẩu. Tìm mục nhập trông giống như /Active Directory/MIỀN trong đó MIỀN là tên NetBIOS của miền Active Directory. Bấm hai lần vào mục nhập này, sau đó chọn hộp kiểm “Hiển thị mật khẩu”. Xác thực với tư cách quản trị viên nội bộ khi cần.
Hỗ trợ không gian tên
macOS hỗ trợ xác thực nhiều người dùng bằng cùng tên viết tắt (hoặc tên đăng nhập) tồn tại trong các miền khác nhau trong cụm Active Directory. Bằng cách bật hỗ trợ không gian tên với phần tải Thư mục hoặc công cụ dòng lệnh dsconfigad, người dùng trong một miền có thể có cùng tên viết tắt như người dùng trong miền thứ cấp. Cả hai người dùng đều phải đăng nhập bằng tên của miền của họ, theo sau là tên viết tắt (DOMAIN\short name), tương tự như đăng nhập vào PC chạy Windows. Để bật tính năng hỗ trợ này, hãy sử dụng lệnh sau:
dsconfigad -namespace <forest>
Xác thực và mã hóa gói
Máy khách Open Directory có thể xác thực và mã hóa các kết nối LDAP được dùng để giao tiếp với Active Directory. Với tính năng hỗ trợ SMB trong macOS được xác thực, không cần phải hạ cấp chính sách bảo mật của trang web để phù hợp với máy tính Mac. Các kết nối LDAP đã xác thực và mã hóa cũng loại bỏ mọi nhu cầu sử dụng LDAP qua SSL. Nếu cần kết nối SSL, hãy sử dụng lệnh sau để định cấu hình Open Directory để sử dụng SSL:
dsconfigad -packetencrypt ssl
Lưu ý rằng các chứng nhận được sử dụng trên trình điều khiển miền phải được tin cậy để mã hóa SSL thành công. Nếu chứng nhận trình điều khiển miền không được cấp từ các gốc hệ thống tin cậy tự nhiên của macOS, hãy cài đặt và tin cậy chuỗi chứng nhận trong chuỗi khóa Hệ thống. Các tổ chức chứng nhận được tin cậy theo mặc định trong macOS có trong chuỗi khóa Gốc Hệ thống. Để cài đặt chứng nhận và thiết lập tin cậy, thực hiện một trong các tác vụ sau:
Nhập chứng nhận gốc và bất kỳ chứng nhận trung gian cần thiết nào bằng phần tải chứng nhận trong hồ sơ cấu hình
Sử dụng Truy cập chuỗi khóa nằm trong /Ứng dụng/Tiện ích/
Sử dụng lệnh bảo mật như sau:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Hạn chế DNS Động
macOS cố gắng cập nhật bản ghi Địa chỉ (A) trong DNS cho tất cả các giao diện theo mặc định. Nếu nhiều giao diện được định cấu hình, điều này có thể dẫn đến nhiều bản ghi trong DNS. Để quản lý hành vi này, hãy chỉ định giao diện nào sẽ sử dụng khi cập nhật Hệ thống Tên Miền Động (DDNS) bằng cách sử dụng phần tải Thư mục hoặc công cụ dòng lệnh dsconfigad. Chỉ định tên BSD của tương tác để liên kết các bản cập nhật DDNS trong đó. Tên BSD giống như trường Thiết bị, được trả lại bằng cách chạy lệnh này:
networksetup -listallhardwareports
Khi sử dụng dsconfigad trong một tập lệnh, bạn phải bao gồm mật khẩu văn bản rõ ràng được dùng để liên kết với miền. Thông thường, người dùng Active Directory không có đặc quyền quản trị viên nào khác được ủy quyền trách nhiệm liên kết máy tính Mac với miền. Cặp tên người dùng và mật khẩu này được lưu trữ trong tập lệnh. Thông thường tập lệnh tự xóa an toàn sau khi liên kết, do đó thông tin này không còn nằm trên thiết bị lưu trữ.