在 Mac 上的“目录实用工具”中配置域访问
【重要事项】使用 Active Directory 连接器的高级选项,可以将 macOS 的唯一用户 ID (UID)、首选群组 ID (GID) 和群组 GID 属性映射至 Active Directory 模式中的正确属性。但是,如果你稍后更改这些设置,用户可能会无法访问以前创建的文件。
使用“目录实用工具”绑定
在 Mac 上的“目录实用工具” App
中,点按“服务”。点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“Active Directory”,然后点按“编辑所选服务的设置”按钮
。输入你想要绑定到你正在配置的电脑的 Active Directory 域 DNS 主机名。
Active Directory 域管理员会告诉你 DNS 主机名。
如果需要,请编辑“电脑 ID”。
“电脑 ID”就是在 Active Directory 域中识别电脑的依据,它被预置为电脑的名称。你可以进行更改以符合组织的命名方案。如果你不确定,请询问 Active Directory 域管理员。
【重要事项】如果电脑名称包含连字符,你可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请将电脑名称更改为不包含连字符的名称。
如果未看到高级选项,请点按“显示选项”旁边的显示三角形。以后也可以更改这些高级选项设置。
(可选)选择“用户体验”选项。
请参阅设置移动用户账户、设置用户账户的个人文件夹和设定 Active Directory 用户账户的 UNIX shell。
(可选)选择“映射”选项。
(可选)选择“管理”选项。
优先使用此域服务器:默认情况下,macOS 使用站点信息和域控制器响应速度来确定所要使用的域控制器。如果在此处指定相同站点中的域控制器,则会首先使用此域控制器。如果域控制器不可用,则 macOS 会复原为默认行为。
将管理权限赋予:启用此选项后,所列 Active Directory 群组的成员(默认为域管理员和企业管理员)获得本地 Mac 的管理员权限。你可以在此处指定想要的安全性群组。
允许来自网域树系中任何域的认证:默认情况下,macOS 会自动搜索所有域进行认证。若要将认证限制为仅 Mac 所绑定到的域,请取消选择此复选框。
点按“绑定”,然后输入以下信息:
【注】用户必须在 Active Directory 中具有权限才能将电脑绑定到域。
用户名和密码:你也许能够通过输入你的 Active Directory 用户账户的名称和密码进行认证;如果不能,则需要由 Active Directory 域管理员提供名称和密码。
电脑 OU:为你正在配置的电脑输入组织单元 (OU)。
用于认证:如果想要将 Active Directory 添加到电脑的认证搜索策略,请选择此选项。
用于通讯录:如果想要将 Active Directory 添加到电脑的通讯录搜索策略,请选择此选项。
点按“好”。
“目录实用工具”会在正在配置的电脑与 Active Directory 服务器之间建立信任绑定。电脑的搜索策略根据认证时选定的选项进行设置,并且 Active Directory 在“目录实用工具”的“服务”面板中启用。
通过 Active Directory 高级选项的默认设置,在选择了“用于认证”或“用于通讯录”的情况下,Active Directory 网域树系将添加到电脑的认证搜索策略和通讯录搜索策略中。
但是,在点按“绑定”之前,如果在“管理”高级选项中取消选择“允许来自网域树系中任何域的认证”,系统将添加最近的 Active Directory 域,而不添加网域树系。
可以在以后通过添加或移除 Active Directory 网域树系或单个域来更改搜索策略。请参阅定义搜索策略。
使用配置描述文件绑定
配置描述文件中的目录有效负载可以配置单台 Mac,也可以自动化配置数百台 Mac 电脑,以绑定到 Active Directory。与其他配置描述文件有效负载类似,你可以在 MDM 注册过程中使用脚本,或者使用客户端管理解决方案来手动配置目录有效负载。
有效负载是配置描述文件的一部分,允许管理员管理 macOS 的特定部分。有关如何创建配置描述文件的说明,请联系你的 MDM 供应商。
使用命令行绑定
你可以在“终端” App 中使用 dsconfigad 命令将 Mac 绑定到 Active Directory。
例如,可以使用以下命令将 Mac 绑定到 Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>将 Mac 绑定到域后,你可以使用 dsconfigad 在“目录实用工具”中设定管理选项:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>高级命令行选项
对 Active Directory 的原生支持包括在“目录实用工具”中看不到的选项。若要查看这些高级选项,请在配置描述文件中使用“目录”有效负载;或者使用 dsconfigad 命令行工具。
打开 dsconfigad man 页面来查看这些命令行选项。
电脑对象密码时间间隔
Mac 系统绑定到 Active Directory 后,它会设定电脑账户密码并将其储存在系统钥匙串中,密码由 Mac 自动更改。默认密码时间间隔为每 14 天,但你可以使用目录有效负载或者 dsconfigad 命令行工具来设定策略所需的任何时间间隔。
将值设定为 0 将停用自动更改账户密码:dsconfigad -passinterval 0
【注】电脑对象密码以密码值的形式储存在系统钥匙串中。若要获取该密码,请打开“钥匙串访问”,选择系统钥匙串,然后选择“密码”类别。查找类似“/Active Directory/DOMAIN”的条目,其中 DOMAIN 是 Active Directory 域的 NetBIOS 名称。连按此条目,然后选择“显示密码”复选框。根据需要认证为本地管理员。
命名空间支持
macOS 支持认证具有相同短名称(或者登录名)的多个用户,这些名称存在于 Active Directory 网域树系的不同域中。通过“目录”有效负载或者 dsconfigad 命令行工具启用命名空间支持,一个域中的用户可以拥有与二级域中用户相同的短名称。这两种用户都必须使用域名加短名称(DOMAIN\短名称)的方式登录,与登录 Windows PC 类似。若要启用此支持,请使用以下命令:
dsconfigad -namespace <forest>
数据包签名和加密
Open Directory 客户端可以对用来与 Active Directory 通信的 LDAP 连接进行签名和加密。借助 macOS 中签名的 SMB 支持,没有必要降低站点的安全性策略密级来适应 Mac 电脑。签名且加密的 LDAP 连接也省去了使用 LDAP over SSL 的必要。如果要求使用 SSL 连接,请使用以下命令来配置 Open Directory 以使用 SSL:
dsconfigad -packetencrypt ssl
请注意,必须信任域控制器上使用的证书,这样 SSL 加密才能成功。如果域控制器的证书不是签发自 macOS 原生受信任的系统根证书,请在系统钥匙串中安装并信任证书链。macOS 默认信任的证书颁发机构位于“系统根证书”钥匙串中。若要安装证书并建立信任,执行以下一项操作:
使用配置描述文件中的证书有效负载来导入根证书和任何必需的中间证书
使用位于“/应用程序/实用工具/”目录下的“钥匙串访问”
使用如下安全性命令:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
限制动态 DNS
macOS 在默认情况下会尝试针对所有接口更新其在 DNS 中的地址 (A) 记录。如果配置了多个接口,这可能会在 DNS 中生成多个记录。若要管理此行为,请使用“目录”有效负载或者 dsconfigad 命令行工具来指定在更新“动态域名系统”(DDNS) 时要使用的接口。指定与 DDNS 更新相关联的接口 BSD 名称。BSD 名称与“设备”栏中的相同,通过运行此命令返回:
networksetup -listallhardwareports
在脚本中使用 dsconfigad 时,你必须包括用来绑定到域的明文密码。通常,没有其他管理员权限的 Active Directory 用户会负责把 Mac 电脑绑定到域。此用户名和密码对储存在脚本中。通常的做法是在绑定后,脚本会安全地自我删除,这样此信息便不再保留在储存设备上。