Doménelérés konfigurálása

1. Kattintson a Szolgáltatások elemre.

2. Kattintson a lakat ikonra.

3. Írja be egy adminisztrátor felhasználónevét és jelszavát, majd kattintson a Konfiguráció módosítása gombra (vagy használja a Touch ID-t).

4. Jelölje ki az Active Directory lehetőséget, majd kattintson a Szerkesztés (ceruza) elemre.

5. Adja meg a konfigurálás alatt álló számítógéphez kötni kívánt Active Directory-domén DNS-állomásnevét.

   Az Active Directory-domén adminisztrátorától megtudhatja, hogy milyen DNS-állomásnevet kell beírnia.

6. Szükség esetén szerkessze a számítógép azonosítóját.

   A számítógép azonosítója a számítógép Active Directory-domén által ismert neve, amely előre társítva van a számítógépnévhez. Ezt megváltoztathatja úgy, hogy illeszkedjen illeszkedjen a szervezete elnevezési sémájához. Ha nem biztos a kérdésben, érdeklődjön az Active Directory-domén adminisztrátoránál.

   Fontos: Ha a számítógép neve kötőjelet tartalmaz, előfordulhat, hogy nem tud kötést létrehozni LDAP-, Active Directory- vagy egyéb címtárdoménekhez. Kötés létrehozásához használjon olyan számítógépnevet, amely nem tartalmaz kötőjelet.

7. (Opcionális) Válasszon beállításokat a Felhasználói élmény panelen.

   További információk: Mobil felhasználói fiókok beállítása és Saját mappák beállítása felhasználói fiókokhozUNIX rendszerhéj beállítása Active Directory felhasználói fiókokhoz.

8. (Opcionális) Válasszon beállításokat a Társítások panelen.

   További információ: A csoportazonosító, az elsődleges GID-azonosító és a UID-azonosító társítása Active Directory-attribútumhoz.

9. (Opcionális) Állítsa be a speciális beállításokat. A speciális beállításokat a későbbiekben is módosíthatja.

   Ha a speciális beállítások rejtve vannak, kattintson az ablakban található tartalomháromszögre.

   • A következő doménkiszolgáló előnyben részesítése: Alapértelmezés szerint a macOS a webhelyekre vonatkozó információk és a doménvezérlők válaszkészsége alapján határozza meg, hogy melyik doménvezérlőt használja. Ha egy ugyanazon a helyen található doménvezérlő van itt megadva, a rendszer először azt ellenőrzi. Ha a doménvezérlő nem érhető el, a macOS alapértelmezett viselkedése érvényesül.

   • Felügyelet engedélyezése a következőnek: Ha ez a beállítás engedélyezve van, a felsorolt Active Directory-csoportok (alapértelmezés szerint a domén- és vállalati adminisztrátorok) kapnak adminisztrátori jogosultságokat a helyi Mac gépen. Itt további használni kívánt biztonsági csoportokat is meghatározhat.

   • Hitelesítés engedélyezése a teljes struktúra bármely doménjából: Alapértelmezés szerint a macOS automatikusan rákeres az összes doménre a hitelesítéshez. Ha a hitelesítést arra a doménre szeretné korlátozni, amelyhez a Mac társítva van, törölje a jelölőnégyzet kijelölését.

   A Címtársegédprogram haladó beállításaira vonatkozó további tudnivalókért lásd:

   • Mobil felhasználói fiókok beállítása

   • Saját mappák beállítása felhasználói fiókokhoz

   • UNIX rendszerhéj beállítása Active Directory felhasználói fiókokhoz

   • A csoportazonosító, az elsődleges GID-azonosító és a UID-azonosító társítása Active Directory-attribútumhoz

   • Hitelesítés szabályozása az Active Directory teljes struktúrán belüli összes doménben

10. Kattintson a Kötés gombra, majd adja meg az alábbi adatokat:

    Megjegyzés: A felhasználónak jogosultságokkal kell rendelkeznie az Active Directoryban, hogy a számítógépeket a doménhez társíthassa.

    • Felhasználónév és jelszó: Lehetséges, hogy hitelesíteni tudja magát az Active Directory felhasználói fiókja neve és jelszava megadásával, és az is lehetséges, hogy az Active Directory-domén adminisztrátorának kell megadnia egy nevet és jelszót.

    • Számítógép szervezeti egysége: Adja meg a konfigurálás alatt álló számítógép szervezeti egységét (OU).

    • Használat hitelesítésre: Akkor válassza ki ezt a beállítást, ha hozzá szeretné adni az Active Directoryt a számítógép hitelesítési keresési házirendhez.

    • Használat kontaktok számára: Akkor válassza ki ezt a beállítást, ha hozzá szeretné adni az Active Directoryt a számítógép kontaktok keresésére vonatkozó házirendjéhez.

11. Kattintson az OK gombra.

    Ha az OK gombra kattint, a Címtársegédprogram megbízható kötést létesít a konfigurálás alatt álló számítógép és az Active Directory-szerver között. A számítógép keresési házirendjei a hitelesítés során megadott lehetőségek és az alapján vannak beállítva, hogy az Active Directory engedélyezve van-e a Címtársegédprogram Szolgáltatások paneljén.

    Az Active Directory speciális beállításainak alapértelmezett értékeivel az Active Directory teljes struktúrája hozzáadódik a számítógép hitelesítési keresési házirendjéhez és a kontaktok keresési házirendjéhez, ha kijelölte a „Használat hitelesítésre” vagy a „Használat kontaktok számára” lehetőséget.

    Ha azonban törli a „Hitelesítés engedélyezése a teljes struktúra bármely doménből” négyzet jelölését a Haladó felügyeleti beállítások panelen, mielőtt a Kötés gombra kattint, a teljes struktúra helyett a legközelebbi Active Directory-domén kerül hozzáadásra.

    A keresési házirendeket a későbbiekben is módosíthatja az Active Directory teljes struktúrájának vagy egyes domének hozzáadásával vagy eltávolításával. További információkért lásd: Keresési házirendek megadása.

Ha Mac gépek Active Directory-kötését szeretné beállítani, akkor a konfigurációs profilokban található címtáradatcsomaggal egyetlen Mac gépet is konfigurálhat, vagy több száz Mac gép automatikus konfigurálását is elvégezheti. A többi konfigurációs profil adatcsomagjaihoz hasonlóan manuálisan is telepítheti a címtáradatcsomagot egy parancsfájllal, MDM-felíratás részeként vagy egy ügyfélkezelési megoldással.

Az adatcsomagok a konfigurációs profilok részeit képezik, és lehetővé teszik, hogy az adminisztrátorok a macOS adott részeit kezeljék. Ugyanazokat a funkciókat kell kiválasztani a Profilkezelőben, amelyeket a Címtársegédprogramban is kiválasztana. Ezután azt kell kiválasztania, hogyan kapják meg a Mac gépek a konfigurációs profilt.

1. Töltse le a macOS Servert a Mac App Store áruházból.

2. Ugorjon a Profilkezelő súgójára, majd konfigurálja a Profilkezelőt.

3. Nyissa meg a Profilkezelő súgójában található Directory-beállítások részt Active Directory-adatcsomag létrehozásához.

A Terminal alkalmazás dsconfigad parancsával kötheti a Mac gépeket az Active Directoryhoz.

A következő paranccsal köthető például Mac gép az Active Directoryhoz:

Miután a Mac gépet a doménhez kötötte, a dsconfigad paranccsal állíthatja be a felügyeleti beállításokat a Címtársegédprogramban:

Speciális parancssori beállítások

Az Active Directory natív támogatása olyan beállításokra is kiterjed, amelyek nem jelennek meg a Címtársegédprogramban. A speciális beállítások megtekintéséhez használja a konfigurációs profilban található Címtáradatcsomagot vagy a dsconfigad parancssori eszközt.

• A dsconfigad főoldalának megnyitásával tekintheti át a parancssori beállításokat.

Számítógép-objektum jelszavának időtartama

Amikor egy Mac rendszer az Active Directoryhoz van kötve, beállít egy jelszót a számítógépes fiókhoz, amelyet a rendszer kulcskarikáján tárol, és amelyet a Mac automatikusan módosít. A jelszó alapértelmezett intervalluma 14 nap, de a címtáradatcsomaggal vagy a dsconfigad parancssori eszközzel az irányelv előírásaihoz igazodó bármilyen intervallumot beállíthat.

Ha 0-ra állítja az értéket, letiltja a fiókjelszó automatikus módosítását: dsconfigad -passinterval 0

A névtér támogatása

A macOS támogatja több, ugyanazon rövid nevekkel (bejelentkezési nevekkel) rendelkező felhasználó hitelesítését is, akik az Active Directory teljes struktúrájának különböző doménjeiben találhatók. Ha engedélyezi a névterek támogatását a Címtáradatcsomaggal vagy a dsconfigad parancssori eszközzel, egy domén felhasználójának lehet ugyanaz a rövid neve, mint amellyel egy másodlagos domén másik felhasználója is rendelkezik. Mindkét felhasználónak a domén nevével és az azt követő rövid névvel (DOMÉN\rövid név) kell bejelentkeznie, hasonlóan a Windows számítógépre végzett bejelentkezéshez. A támogatás engedélyezéséhez használja a következő parancsot:

dsconfigad -namespace <forest>

Csomag aláírása és titkosítása

Az Open Directory kliens aláírhatja és titkosíthatja az Active Directoryval végzett kommunikációhoz használt LDAP-kapcsolatokat. A macOS aláírt SMB-támogatásának köszönhetően nem kell leminősítenie a hely biztonsági irányelveit, hogy a Mac gépekre is alkalmazhatók legyenek. Az aláírt és titkosított LDAP-kapcsolatok az LDAP SSL-en keresztüli használatának szükségességét is kiküszöbölik. Ha SSL-kapcsolatokra van szükség, a következő paranccsal konfigurálja az Open Directoryt az SSL használatához:

dsconfigad -packetencrypt ssl

Vegye figyelembe, hogy a doménvezérlőkön használt tanúsítványoknak megbízhatóknak kell lenniük az SSL-titkosítás sikeréhez. Ha a doménvezérlő tanúsítványait nem a macOS natív megbízható rendszergyökereiből bocsátották ki, telepítse és állítsa megbízhatóra a tanúsítványláncot a rendszer kulcskarikáján. A macOS rendszer által alapértelmezés szerint megbízhatónak minősített tanúsítványkiadó központok a Rendszergyökér kulcskarikán találhatók. A tanúsítványok telepítéséhez és a megbízhatóság beállításához végezze el az alábbi műveletek egyikét:

• A gyökér és az összes szükséges köztes tanúsítvány importálása a konfigurációs profilban található tanúsítvány-adatcsomaggal

• Az /Alkalmazások/Segédprogramok/ helyen található Kulcskarika-elérés használata

• A következő formátumú biztonsági parancsot használja:

  /usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <tanúsítványfájl/útvonala>

Dinamikus DNS korlátozása

A macOS alapértelmezés szerint megkísérli frissíteni a címrekordot (A) a DNS-ben az összes csatolóhoz. Ha több csatoló van konfigurálva, ez a DNS-ben több rekordot eredményezhet. A viselkedés kezeléséhez adja meg, hogy melyik csatoló használatával szeretné frissíteni a dinamikus DNS-rendszert (DDNS-t) a Címtáradatcsomaggal vagy a dsconfigad parancssori eszközzel. Adja meg azon csatoló BSD-nevét, amelyen a DDNS-frissítések társítását elvégzi. A BSD-név ugyanaz, mint az Eszköz mező, amely a következő paranccsal kérhető le:

networksetup -listallhardwareports

Amikor a dsconfigad parancsot használja egy parancsfájlban, meg kell adnia a domén kötéséhez használt nyílt szöveges jelszót. Általában a más adminisztrátori jogosultságokkal nem rendelkező Active Directory-felhasználók válnak felelőssé a Mac számítógépek doménhez kötéséért. Ezt a felhasználónév–jelszó párt a parancsfájl tárolja. A parancsfájlok esetében megszokott, hogy biztonságosan törlik magukat a kötés elvégzése után, így ezek az adatok már nem találhatók meg a tárolóeszközön.