Konfiguriranje pristupa domeni
Važno: S naprednim opcijama Active Directory priključnice možete mapirati macOS jedinstveni ID korisnika (UID), primarni ID grupe (GID) i GID atribute grupe na ispravne atribute u Active Directory shemi. Ipak, ako kasnije promijenite ove postavke, korisnici bi mogli izgubiti pristup prethodno izrađenim datotekama.
Otvori Uslužni program direktorija
Poveži korištenjem Uslužnog programa direktorija
Kliknite Usluge.
Kliknite ikonu zaključavanja.
Unesite administratorovo ime i lozinku, zatim kliknite Izmijeni konfiguraciju (ili koristite Touch ID).
Odaberite Active Directory, zatim kliknite tipku Uredi (izgleda poput olovke).
Unesite naziv DNS hosta Active Directory domene koji želite vezati s računalom koje konfigurirate.
Administrator Active Directory domene može vam reći naziv DNS hosta.
Prema potrebi uredite ID računala.
ID računala, naziv računala po kojem ga prepoznajete u Active Directory domeni, unaprijed je podešen prema nazivu računala. To možete promijeniti da odgovara shemi imenovanja vaše organizacije. Ako niste sigurni, pitajte administratora Active Directory domene.
Važno: Ako naziv vašeg računala sadrži crticu, možda se nećete moći vezati s domenom direktorija kao što je LDAP ili Active Directory. Kako biste se vezali, koristite naziv računala koji ne sadrži crticu.
(Opcionalno) Odaberite opcije u prozoru Korisničko iskustvo.
Za više informacija, pogledajte Podešavanje mobilnih korisničkih računa, Podešavanje početnih mapa za korisničke račune, i Podešavanje UNIX ljuske za Active Directory korisničke račune.
(Opcionalno) Odaberite opcije u prozoru Mapiranja.
Za više informacija, pogledajte Mapiranje ID-a, primarnog GID-a i UID-a grupe na atribut za Active Directory.
(Opcionalno) Odaberite napredne opcije. Postavke naprednih opcija možete mijenjati i kasnije.
Ako su napredne opcije skrivene, kliknite na trokut za otkrivanje u prozoru.
Daj prednost ovom poslužitelju domene: macOS standardno koristi informacije o odzivu kontrolera domene kako bi se utvrdilo koji kontroler domene koristite. Ako je ovdje naveden kontroler domene na istoj stranici, on se prvi konzultira. Ako kontroler domene nije dostupan, macOS se vraća na standardno ponašanje.
Dopusti da administrator bude: Kada je ova opcija omogućena, članovi navedene grupe usluge Active Directory (standardno, administratori domene i poslovnog programera) dobiju administratorske ovlasti na lokalnom Macu. Možete odrediti i željene sigurnosne grupe.
Dopusti autorizaciju iz bilo koje domene u šumi: macOS standardno automatski pretražuje sve domene radi autorizacije. Da bi se automatizacija ograničila samo na domenu na koju je vezan Mac, odznačite ovu potvrdnu kućicu.
Za više informacija o naprednim opcijama u usluzi Directory Utility, pogledajte:
Kliknite Veži, pa unesite sljedeće informacije:
Napomena: Korisnik mora imati ovlasti u usluzi Active Directory za vezanje računala na domenu.
Korisničko ime i lozinka: Možda ćete moći autorizirati unosom imena i lozinke vašeg Active Directory računa korisnika ili će administrator Active Directory domene možda trebati unijeti ime i lozinku.
Organizacijska jedinica (OU) računala: Unesite organizacijsku jedinicu (OU) za računalo koje konfigurirate.
Upotrijebi za autorizaciju: Odaberite ako želite da Active Directory bude dodan u pravila pretraživanja prilikom autorizacije računala.
Upotrijebi za kontakte: Odaberite ako želite da Active Directory bude dodan u pravila pretraživanja kontakata računala.
Kliknite U redu.
Uslužni program za direktorije podešava pouzdano povezivanje između računala koje konfigurirate i Active Directory poslužitelja. Pravila pretraživanja računala podešavaju se sukladno opcijama koje ste odabrali kod autorizacije, a Active Directory se omogućuje u prozoru Usluge Uslužnog programa za direktorije.
Sa standardnim postavkama za Active Directory napredne opcije, Active Directory šuma dodaje se u pravila pretraživanja prilikom autorizacije računala i pravila pretraživanja za kontakte ako odaberete “Upotrijebi za autorizaciju” ili “Upotrijebi za kontakte.”
Ipak, ako poništite odabir opcije “Dopusti autorizaciju iz bilo koje domene u šumi” u prozoru naprednih opcija Administratorski prije klika na Veži, umjesto šume dodaje se najbliža Active Directory domena.
Pravila pretraživanja možete mijenjati kasnije dodavanjem ili uklanjanjem Active Directory šume ili pojedinačnim domena. Za dodatne informacije, pogledajte Određivanje pravila pretraživanja.
Poveži korištenjem konfiguracijskog profila
Paket informacija direktorija u konfiguracijskom profilu može konfigurirati jedan MAx, ili automatizirati stotinu Mac računala, za vezanje usluge Active Directory. Kao i s drugim paketima informacija konfiguracijskog profila, paket informacija direktorija možete pripremiti ručno, korištenjem skripte, kao dio MDM prijave, ili korištenjem rješenja upravljanja klijentom.
Paketi informacija dio su konfiguracijskih profila i omogućuju administratorima upravljanje određenim dijelovima sustava macOS. U opciji Upravitelj profila odabirete iste značajke kao što biste birali i u Uslužnom programu direktorija. Tada odabirete kako će Mac računala dobiti konfiguracijski profil.
Preuzmite macOS Server iz trgovine Mac App Store.
Idite na Pomoć za Upravitelj profila, pa konfigurirajte Upravitelj profila.
Otvorite postavke Direktorija u Pomoći za Upravitelj profila za izradu paketa informacija usluge Active Directory.
Poveži korištenjem komandnog retka
Možete koristiti naredbu dsconfigad
u aplikaciji Terminal za vezivanje Maca na uslugu Active Directory.
Primjerice, za vezivanje Maca s uslugom Active Directory možete koristiti sljedeću naredbu:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Nakon što povežete Mac sa svojom domenom, možete koristiti dsconfigad
za podešavanje administrativnih opcija u Uslužnom programu direktorija:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Napredne opcije komandnog retka
Ugrađena podrška za uslugu Active Directory uključuje opcije koje ne vidite u Uslužnom programu direktorija. Da biste vidjeli te napredne opcije, koristite ili paket informacija Direktorija u konfiguracijskom profilu; ili alat za komandni redak dsconfigad
.
Počnite pregledavati opcije komandnog retka otvaranje man stranice dsconfigad.
Interval lozinke objekta računala
Kada je Mac sustav vezan za uslugu Active Directory, on podešava lozinku računa računala koja je podešena u privjesku ključeva sustava te ga Mac automatski promijeni. Standardni interval lozinke je svakih 14 dana, ali možete koristiti paket informacija direktorija ili komandni redak dsconfigad
za podešavanje bilo kojeg intervala koji zahtijevaju vaša pravila.
Podešavanje vrijednosti na 0 onemogućuje promjenu lozinke računa: dsconfigad -passinterval 0
Napomena: Lozinka objekta računala pohranjuje se kao vrijednost lozinke u privjesku ključeva sustava. Da biste vratili lozinku, otvorite Pristup privjesku ključeva, odaberite privjesak ključeva sustava, pa odaberite kategoriju Lozinke. Nađite unos koji izgleda kao /Active Directory/DOMAIN gdje je DOMAIN NetBIOS naziv domene usluge Active Directory. Dvaput kliknite na ovaj unos, pa odaberite potvrdnu kućicu "Prikaži lozinku". Po potrebi potvrdite svoju autentičnost kao lokalni administrator.
Podrška za prostor imena
macOS podržava autorizaciju više korisnika s istim kratkim imenima (ili imenima za prijavu) koja postoje u različitim domenama u Active Directory šumi. Omogućavanjem podrške za prostor imena s paketom informacija Direktorija ili alatom komandnog retka dsconfigad
, korisnik u jednoj domeni može imati isti skraćeni naziv kao korisnik u sekundarnoj domeni. Oba se korisnika moraju prijaviti korištenjem naziva domene nakon čega slijedi njihov skraćeni naziv (DOMAIN\skraćeni naziv), slično prijavi u Windows PC računalo. Da biste omogućili ovu podršku, koristite sljedeću naredbu:
dsconfigad -namespace <forest>
Potpisivanje i kriptiranje paketa
Klijent Otvoreni poslužitelj može potpisati i kriptirati LDAP veze koje se koriste za komunikaciju s uslugom Active Directory. S potpisanom SMB potporom u sustavu macOS, ne bi trebalo biti potrebno smanjiti sigurnosna pravila stranice za prilagodbu Mac računalima. Potpisane i kriptirane LDAP veze također eliminiraju svaku potrebu za korištenje LDAP veze preko SSL-a. Ako su SSL veze potrebne, koristite sljedeću naredbu za konfiguraciju Otvorenog direktorija za korištenje SSL-a:
dsconfigad -packetencrypt ssl
Zapamtite da certifikati korišteni na kontrolerima domene moraju biti vjerodostojni za uspješnu SSL enkripciju. Ako certifikati kontrolera domene nisu izdani iz izvornih vjerodostojnih korijena sustava macOS, instalirajte i pouzdajte se u lanac certifikata u privjesku ključeva sustava. Autoriteti za certifikate koji su standardno pouzdani u sustavu macOS nalaze se u privjesku ključeva Korijena sustava. Za instalaciju certifikata i uspostavljanje povjerenja, učinite nešto od sljedećeg:
Importirajte korijen i sve potrebne prijelazne certifikate korištenjem paketa informacija u konfiguracijskom profilu
Koristite Pristup privjeska ključeva koji se nalazi u /Aplikacije/Uslužni programi/
Koristite sigurnosnu naredbu kako slijedi:
/usr/bin/sigurnost dodaj-pouzdani-cert -d -p osnovno -k /Medijateka/Privjesci ključeva/privjesak ključeva.sustava <putanja/do/certifikat/datoteka>
Ograniči dinamički DNS
macOS pokušava ažurirati zapis adrese (A) u DNS-u standardno za sva sučelja. Ako se konfigurira više sučelja, to može dovesti do više zapisa u DNS-u. Za upravljanje ovim ponašanjem navedite koje sučelje koristiti pri ažuriranju Dinamičkog domenskog sustava imena (DDNS) korištenjem paketa informacija Direktorija ili alatom komandnog retka dsconfigad
. Navedite BSD naziv sučelja u kojem se povezuju DDNS ažuriranja. BSD naziv je isti kao polje Uređaja, koji se vraća pokretanjem ove naredbe:
networksetup -listallhardwareports
Pri korištenju dsconfigad
u skripti, morate uključiti lozinku s otvorenim tekstom koja se koristi za povezivanje s domenom. Korisniku usluge Active Directory bez ikakvih drugih administratorskih ovlasti obično se delegira odgovornost povezivanja Mac računala s domenom. Par korisničkog imena i lozinke sprema se u skriptu. Uobičajena praksa za skriptu je da se sigurno obriše nakon povezivanja tako da se te informacije više ne nalaze na uređaju za pohranu.