在 OS X Lion 和以上版本中,您可以透過 com.apple.adcertificate.managed 描述檔定效負載向 Microsoft 憑證授權要求憑證。Mountain Lion 改為使用 DCE/RPC 通訊協定。透過 DCE/RPC,就不需要以 Web 為基礎的憑證授權(CA)。此外也提供了更多的彈性,可選擇要用於發行的憑證範本。Mountain Lion 在描述檔管理程式的 Web UI 中提供了 Active Directory 憑證的完整支援。電腦或使用者的 Active Directory 憑證描述檔可透過自動推播或手動下載的方式部署到 Mountain Lion 用戶端裝置。
這篇文章適用於:
- OS X Mountain Lion 用戶端和 OS X Server(Mountain Lion)
- OS X Mavericks 用戶端和 OS X Server(Mavericks)
如需 OS X Lion 用戶端的相關資訊,請參閱這篇文章。
如需 OS X Mavericks 用戶端的憑證更新資訊,請按這裡。
網路與系統需求
- 有效的 Active Directory(AD)網域
- 作用中的 Microsoft Active Directory 憑證服務 CA
- 繫結至 Active Directory 的 OS X Mountain Lion 用戶端系統
描述檔部署
OS X Lion 和 OS X Mountain Lion 支援設定描述檔。許多系統和帳號設定都可以使用描述檔定義。將描述檔遞送到 OS X 用戶端的方式有很多種。本文主要以 Mountain Lion Server 的描述檔管理程式為例說明描述檔遞送。其他方法還包括按兩下 Finder 中的 .mobileconfig 檔案的簡單方法,或是利用第三方 MDM 伺服器在 Mountain Lion 用戶端上安裝描述檔的複雜方法。
定效負載詳細資料
定義 Active Directory 憑證定效負載的描述檔管理程式介面包含下列欄位。
- 說明:提供描述檔定效負載的簡短說明。
- 憑證伺服器:提供 CA 的完整主機名稱。請勿在主機名稱前面加上 http://。
- 憑證授權:提供 CA 的「短名」。此值可從 Active Directory 項目的 CN 判斷 - CN=<您的 CA 名稱>、CN=憑證授權、CN=公開金鑰服務、CN=服務、CN=設定、<您的基準 DN>
- 憑證範本:提供您環境所需的憑證範本。預設使用者憑證值為 User。預設電腦憑證值為 Machine。
- 認證提示:電腦憑證可忽略此選項。針對使用者憑證,此設定只有在選擇「手動下載」作為描述檔遞送方法時才適用。當安裝描述檔時,系統就會提示使用者輸入認證
- 使用者名稱:電腦憑證可忽略此選項。針對使用者憑證,可以視需要提供 Active Directory 使用者名稱作為所要求憑證的基礎。
- 密碼:電腦憑證可忽略此選項。針對使用者憑證,可以視需要提供與所指定之 Active Directory 使用者名稱相關聯的密碼。
電腦憑證
其他需求
- OS X Server 已針對裝置管理啟用描述檔管理程式服務並繫結至 Active Directory
支援的 Active Directory 憑證描述檔組合
- 僅限電腦/機器憑證,自動遞送到 Mountain Lion 用戶端
- 憑證整合到網路描述檔中以供 EAP-TLS 802.1x 驗證
- 憑證整合到 VPN 描述檔中以供以機器為基礎的憑證驗證
- 憑證同時整合到網路/EAP-TLS 和 VPN 描述檔中
描述檔管理程式定效負載部署
- 將 Mountain Lion 用戶端繫結至 Active Directory。此繫結動作可以透過描述檔、用戶端上的 GUI 或用戶端上的 CLI 執行。
- 將發行 CA 或其他 CA 憑證安裝在 Mountain Lion 用戶端上,以確保用戶端具有完整的信任鏈。此安裝也可透過描述檔進行。
- 針對裝置或裝置群組描述檔決定要透過自動推播或手動下載的方式遞送 Active Directory 憑證描述檔。
- (選擇性)如果選擇自動推播作為描述檔遞送方法,請將 Mountain Lion 用戶端註冊至 Mountain Lion Server 的描述檔管理程式裝置管理。
- 定義註冊裝置或裝置群組的 Active Directory 憑證定效負載。請參閱前文的定效負載欄位說明。
- (選擇性)針對同一個裝置或裝置群組描述檔定義有線或無線 TLS 的網路定效負載 — 選取已設定的 Active Directory 憑證定效負載作為認證。
- 定效負載可針對 Wi-Fi 或乙太網路定義
- 定效負載可針對 Wi-Fi 或乙太網路定義
- (選擇性)透過裝置或裝置群組定義 IPSec(Cisco)VPN 描述檔 — 選取已設定的 Active Directory 憑證定效負載作為認證。
- 以憑證為基礎的機器驗證僅支援 IPSec(Cisco)VPN 通道,其他 VPN 類型需要不同的驗證方法。
- 帳號名稱欄位可填入暫存區字串。
- 儲存描述檔。自動推播:描述檔將部署到網路上的註冊電腦。Active Directory 憑證將使用電腦的 Active Directory 認證填入憑證簽署要求(CSR)。
- (若為手動下載)從 Mountain Lion 用戶端連線至描述檔管理程式的使用者入口網站。
- (若為手動下載)安裝可用的裝置或裝置群組描述檔。
- 確認新的私密金鑰和憑證現在是否位於 Mountain Lion 用戶端上的系統鑰匙圈中。
您可以部署結合憑證、目錄、Active Directory 憑證、網路(TLS)和 VPN 定效負載的裝置描述檔。Mountain Lion 用戶端將以適當順序處理定效負載,以確保每個定效負載動作均能順利執行。
使用者憑證
其他需求
- OS X Server 已針對裝置管理啟用描述檔管理程式服務並繫結至 Active Directory
- 具有描述檔管理服務存取權的 Active Directory 帳號
支援的 Active Directory 憑證描述檔組合
- 僅限使用者憑證,自動遞送到 Mountain Lion 用戶端
- 憑證整合到網路描述檔中以供 EAP-TLS 802.1x 驗證
描述檔管理程式定效負載部署
- 將 Mountain Lion 用戶端繫結至 Active Directory。此繫結動作可以透過描述檔、用戶端上的 GUI 或用戶端上的 CLI 執行。
- 根據環境的政策,在 Mountain Lion 用戶端上啟用 Active Directory 行動帳號建立功能。這項功能可透過描述檔(行動性)、用戶端上的 GUI 或用戶端上的指令行啟用,例如:
sudo dsconfigad -mobile enable - 將發行 CA 或其他 CA 憑證安裝在 Mountain Lion 用戶端上,以確保用戶端具有完整的信任鏈。此安裝可透過描述檔進行。
- 針對 Active Directory 使用者或使用者群組描述檔決定要透過自動推播或手動下載的方式遞送 Active Directory 憑證描述檔。使用者或群組必須獲得描述檔管理程式服務的存取權。
- (選擇性)如果選擇自動推播作為描述檔遞送方法,請將 Mountain Lion 用戶端註冊至 Mountain Lion Server 的描述檔管理程式裝置管理。註冊時,請確定將用戶端電腦與上述的 Active Directory 使用者建立關聯。
- 針對同一個 Active Directory 使用者或群組描述檔定義 Active Directory 憑證定效負載。請參閱前文的定效負載欄位說明。
- (選擇性)針對同一個 Active Directory 使用者或群組描述檔定義有線或無線 TLS 的網路定效負載 - 選取已設定的 Active Directory 憑證定效負載作為認證。
- 定效負載可針對 Wi-Fi 或乙太網路定義。
- 定效負載可針對 Wi-Fi 或乙太網路定義。
- 使用具有描述檔管理程式服務存取權的 Active Directory 使用者帳號登入 Mountain Lion 用戶端。自動推播:Active Directory 用戶端帳號在用戶端電腦上登入後,將取得必要的 Kerberos 票證授與票證(TGT)。這個 TGT 將作為所要求使用者憑證的身分識別範本。
- (若為手動下載)連線到描述檔管理程式的使用者入口網站。
- (若為手動下載)安裝可用的使用者或群組描述檔。
- (若為手動下載)按照提示提供使用者名稱或密碼。
- 啟動「鑰匙圈存取」,確認登入鑰匙圈現在是否包含由您環境中的 Microsoft CA 發行的私密金鑰和使用者憑證。
您可以部署結合憑證、Active Directory 憑證和網路(TLS)的使用者描述檔。Mountain Lion 用戶端將以適當順序處理定效負載,以確保每個定效負載動作均能順利執行。