Az Active Directory integrálása a Mac Címtár segédprogramjával
Az Active Directory-összekötővel konfigurálhat (a Címtársegédprogram Szolgáltatások beállításaiban) egy Macet úgy, hogy elérje a felhasználói fiókok alapvető adatait egy Windows 2000-es vagy újabb szerver Active Directory-tartományából.
Az Active Directory-összekötő az összes olyan attribútumot létrehozza az Active Directory felhasználói fiókjainak attribútumaiból, amelyre a macOS-hitelesítéshez szükség van. A csatlakozó az Active Directory hitelesítési házirendjeit, köztük a jelszómódosítást, a lejárat időpontját, a kényszerített módosításokat és a biztonsági beállításokat is támogatja. Nem szükséges sémamódosításokat végeznie az Active Directory-doménen ahhoz, hogy a felhasználói fiókok alapvető adatait le tudja kérni, mivel az összekötő támogatja ezeket a funkciókat.
Megjegyzés: A macOS 10.12 vagy újabb operációs rendszereket futtató számítógépek nem tudnak olyan Active Directory tartományhoz csatlakozni, amelynek a tartományi funkcionális szintje nem éri el legalább a Windows Server 2008-at, kivéve, ha kifejezetten engedélyezi a „gyenge titkosítás” lehetőséget. Még abban az esetben is előfordulhat, hogy az adminisztrátornak kifejezetten meg kell adnia, hogy az egyes tartományok Kerberos AES titkosítást használjanak, ha az összes tartomány tartományi funkcionális szintje 2008-as vagy annál későbbi.
Ha a macOS teljesen integrálva van az Active Directoryval, a felhasználók:
A szervezet domén-jelszóházirendjei alá tartoznak
Ugyanazokat a hitelesítő adatokat használják a hitelesítéshez és a biztonságos erőforrások eléréséhez
Felhasználói és gépi szintű tanúsítványazonosítókat kapnak egy Active Directory-tanúsítványszolgáltatások kiszolgálóról
Automatikusan bejárhatják az elosztott fájlrendszerek (DFS) névterét és csatolhatják a megfelelő mögöttes SMB-kiszolgálót
Tipp: A Mac ügyfélgépek teljes olvasási jogosultságot feltételeznek a címtárhoz adott attribútumokhoz. Ezért szükség lehet az ACL módosítására az ilyen attribútumok esetében, hogy engedélyezzék a hozzáadott attribútumok olvasását a számítógépcsoportok számára.
A hitelesítési házirendeken felül az Active Directory csatlakozó a következő funkciókat is támogatja:
Csomagtitkosítás- és csomagaláírás-beállítások az összes Windows Active Directory-doménhez: Ez a funkció alapértelmezés szerint be van kapcsolva, „engedélyezés” értékkel. Az alapértelmezett beállítás „letiltva” vagy „szükséges” értékre módosítható a
dsconfigadparanccsal. A csomagtitkosítás és a csomagaláírás lehetőség biztosítja az Active Directory-doménből érkező és oda irányuló, rekordkereséshez használt összes adat védettségét.Egyedi azonosítók dinamikus generálása: A vezérlő egy egyedi felhasználói azonosítót és egy elsődleges csoportazonosítót generál a felhasználói fiók globálisan egyedi azonosítója (GUID) alapján az Active Directory-doménben. A generált felhasználói azonosító és az elsődleges csoportazonosító minden felhasználói fiók esetében azonos, akkor is, ha a fiókot különböző Macekre történő bejelentkezéshez használják. Lásd: A csoportazonosító, az elsődleges GID-azonosító és a UID-azonosító társítása Active Directory-attribútumhoz.
Active Directory-replikáció és -feladatátadás: Az Active Directory-csatlakozó több doménvezérlőt is felfedez, és meghatározza a legközelebbit. Ha egy doménvezérlő elérhetetlenné válik, a csatlakozó egy másik közeli doménvezérlőt használ.
Az Active Directory teljes struktúrán belüli összes domén észlelése: A csatlakozót úgy is konfigurálhatja, hogy lehetővé tegye a Macről történő hitelesítést a teljes struktúra bármely doménjéhez tartozó felhasználóknak. Azt is engedélyezheti, hogy csak bizonyos domének hitelesíthessék magukat az ügyfélgépen. Lásd: Hitelesítés szabályozása az Active Directory teljes struktúrán belüli összes doménben.
Windows saját mappa felcsatolása: Ha valaki egy Active Directory felhasználói fiók segítségével jelentkezik be egy Macre, az Active Directory-csatlakozó az Active Directory felhasználói fiók által megadott Windows hálózati kezdőmappát a felhasználó saját mappájaként is felcsatolhatja. Megadhatja, hogy az Active Directory szabványos saját címtárattribútuma vagy (ha az Active Directory-séma ki van vele bővítve) a macOS saját címtárattribútuma legyen-e felhasználva a hálózati saját könyvtár meghatározásához.
Helyi saját mappa használata Macen: A csatlakozót úgy konfigurálhatja, hogy a helyi saját mappát a Mac indítókötetén hozza létre. Ebben az esetben a csatlakozó a megosztási ponthoz hasonlóan a felhasználó (az Active Directory-felhasználói fiókjában megadott) Windows hálózati kezdőmappáját is felcsatolja hálózati kötetként. A Finder használatával a felhasználó fájlokat másolhat a Windows kezdőoldal hálózati kötet és a helyi Mac saját mappa között.
Felhasználói mobil fiókok létrehozása: Egy mobilfiók helyi saját mappája a Mac indítókötetén van elhelyezve. (A felhasználónak hálózati saját mappája is van a felhasználó Active Directory-fiókjában lévő beállítás szerint.) Lásd: Mobil felhasználói fiókok beállítása.
LDAP a hozzáféréshez és Kerberos a hitelesítéshez: Az Active Directory-csatlakozó nem használja a Microsoft által fejlesztett Active Directory Services Interface (ADSI) felületet címtár átvételére vagy hitelesítési szolgáltatásokhoz.
Kiterjesztett séma felismerése és elérése: Ha az Active Directory-séma a macOS rekordtípusokkal (objektumosztályokkal) és attribútumokkal is ki van bővítve, az Active Directory-csatlakozó észleli és eléri őket. Az Active Directory-séma például módosítható úgy a Windows felügyeleti eszközök segítségével, hogy tartalmazza a macOS felügyelt ügyfél attribútumait. Ez a sémamódosítás lehetővé teszi, hogy az Active Directory-csatlakozó használhatja a támogatott mobile device management (MDM) megoldásokat.