為搭配使用 macOS Sierra 10.12 與 Active Directory 做好準備
本文說明使用 macOS Sierra 搭配 Active Directory 時的相關需求。
請務必要求你的 Active Directory 管理者檢視下列建議,以決定這些建議是否適用於貴機構。
如果你認為自己會受到此變更的影響,請聯絡貴機構的系統管理者。
當 macOS Sierra 上的 Active Directory 使用者試著在「終端機」中使用 kinit 指令取得 Kerberos 票劵授予票(TGT)時,可能會看到類似這樣的訊息:
Encryption type arcfour-hmac-md5(23) used for authentication is weak and will be deprecated.
如果看到這類訊息,表示你的 Active Directory 網域僅支援在 Kerberos 中使用 RC4 加密。由於此加密類型的安全性低,macOS 的日後版本將不再支援在 Kerberos 中使用 RC4 加密。
雖然 macOS Sierra Active Directory 用戶端仍會繼續使用 RC4,還是建議你設定 Active Directory 網域和樹系在 Kerberos 中使用 AES-128 或 AES-256 加密,以確保日後能相容。
檢查你是否使用了 AES Kerberos 加密
若要確認你是否使用了 AES Kerberos 加密,你可以在 kinit 指令中加入 -e 旗標,在取得 TGT 時明確要求使用 AES 加密。例如:
kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM
如果這個指令可用,表示你的 Active Directory 環境支援 AES-128 Kerberos 加密。如果指令失敗,你會看到錯誤訊息:
kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC
若看到這個錯誤,表示你的 Active Directory 網域不支援 AES 加密,且日後將無法與 macOS 用戶端相容。
了解在更新至 iOS 10 或 macOS Sierra 之前,需要為其他哪些變更做好準備。