Integrar ordenadores Mac con Active Directory
Puedes configurar un Mac para acceder a información básica de cuentas de usuario en un dominio de Active Directory de un servidor Windows 2000 (o posterior). El conector de Active Directory aparece en el panel Servicios de Utilidad de Directorios y genera todos los atributos necesarios para la autenticación de macOS a partir de los atributos estándar de las cuentas de usuario de Active Directory. Este conector también controla las políticas de autenticación de Active Directory, entre las que se incluyen cambios, caducidades, cambios forzados y opciones de seguridad de las contraseñas. Como el conector admite estas características, no es necesario que hagas cambios de esquema en el dominio de Active Directory para obtener información básica de las cuentas de usuario.
Nota: macOS no podrá unirse a un dominio Active Directory sin un nivel funcional de dominio mínimo de Windows Server 2008, a menos que active de forma explícita “weak crypto”. Aunque los niveles funcionales de dominio de todos los idiomas sean 2008 o posterior, es posible que el administrador tenga que confiar en el uso de la encriptación AES de Kerberos dominio por dominio.
Cómo el Mac utiliza DNS para consultar el dominio de Active Directory
macOS utiliza DNS (sistema de nombres de dominio) para consultar la topología del dominio de Active Directory local. Utiliza Kerberos para la autenticación y el protocolo Lightweight Directory Access Protocol (LDAPv3) para la resolución de usuarios y grupos.
Cuando macOS está completamente integrado con Active Directory, los usuarios:
Están sujetos a las políticas de contraseña del dominio de la organización.
Usan las mismas credenciales para autenticarse y obtener una autorización para los recursos protegidos.
Pueden ser identidades certificadas de máquina y usuario emitidas desde un servidor de servicios de certificados de Active Directory.
Pueden atravesar automáticamente un espacio de nombres del sistema de archivos distribuidos (DFS) y montar el servidor subyacente del bloque de mensajes del servidor (SMB) apropiado.
Para obtener más información sobre la conexión a un DFS sin enlaces, consulta más abajo el soporte para el espacio de nombres del sistema de archivos distribuidos.
También puedes utilizar la carga útil Directorio en la solución de gestión de dispositivos móviles (MDM) para configurar estos ajustes y, a continuación, enviar dicha carga útil a todos los ordenadores Mac de tu empresa. Para obtener más información, consulta los Ajustes de carga de MDM Directorio.
Los clientes Mac adoptan acceso de lectura total de los atributos que se añadan al directorio. Por consiguiente, es posible que sea necesario cambiar la lista de control de acceso (ACL) de esos atributos para permitir que los grupos de ordenadores lean los atributos añadidos.
Políticas de contraseña del dominio
En el momento del enlace (y posteriormente en intervalos periódicos), macOS requiere el dominio de Active Directory para las políticas de contraseñas. Estas políticas son obligatorias para todas las cuentas móviles y de red de un Mac.
Durante un inicio de sesión prolongado con las cuentas de red disponibles, macOS requiere que Active Directory determine el lapso de tiempo que debe pasar hasta que se solicite un cambio de contraseña. Por omisión, si se requiere un cambio de contraseña en un plazo de 14 días, la ventana de inicio de sesión le solicitará al usuario que lo realice. Si el usuario cambia la contraseña, el cambio se produce en Active Directory y en la cuenta móvil (si está configurada), y se actualiza la contraseña del llavero de inicio de sesión. Si el usuario rechaza la solicitud de contraseña, la ventana de inicio de sesión se lo seguirá solicitando hasta el último día del plazo. El usuario debe cambiar la contraseña en el plazo de 24 horas para que continúe el inicio de sesión. Un administrador de macOS puede cambiar la notificación de caducidad por omisión para la ventana de inicio de sesión desde la línea de comandos escribiendo defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <número de días>
.
Nota: macOS no permite aplicar políticas de contraseña específica mediante un objeto de configuración de contraseña (PSO) de Active Directory. Al calcular la caducidad de las contraseñas, solo se utiliza la política de dominio por omisión.
Compatibilidad con el espacio de nombres del sistema de archivos distribuidos
macOS es compatible con el atravesado de los espacios de nombres del sistema de archivos distribuidos (DFS) si el Mac está enlazado a Active Directory. Un Mac enlazado con Active Directory consulta los servidores DNS y los controladores de dominio del dominio Active Directory para resolver automáticamente el servidor Server Message Block (SMB) adecuado para un espacio de nombres determinado.
Puedes usar la característica “Conectarse al servidor” del Finder para especificar el nombre completo del dominio cualificado (FQDN) del espacio de nombres DFS, que incluye la raíz DFS en la que montar el sistema de archivos de red. En un Mac, haz clic en el escritorio para abrir el Finder, selecciona el comando “Conectarse al servidor” en el menú Ir y, a continuación, escribe smb://resources.betterbag.com/DFSroot.
macOS utiliza cualquier ticket Kerberos disponible y monta el servidor Server Message Block (SMB) subyacente y la ruta. Es posible que en algunas configuraciones de Active Directory necesites rellenar el campo “Dominios de búsqueda” de la configuración DNS de la interfaz de red con el nombre de dominio de Active Directory completo cualificado.
Consejo: Puedes acceder a carpetas compartidas en el sistema de archivos distribuidos y cruzarlas sin enlazarlas con Active Directory si el entorno del sistema de archivos distribuidos está configurado para utilizar nombres de dominio completos en las referencias. Siempre que el Mac pueda resolver los nombres de host de los servidores adecuados, existe conectividad sin necesidad de que el Mac establezca enlaces al directorio.