Mac 컴퓨터를 Active Directory와 통합하기
Mac을 구성하여 Windows 2000 이상 서버의 Active Directory 도메인에 있는 기본 사용자 계정 정보에 접근할 수 있습니다. Active Directory 커넥터는 디렉토리 유틸리티의 서비스 패널에 있으며, Active Directory 사용자 계정의 표준 속성에서 macOS 인증에 필요한 모든 속성을 생성합니다. 또한 커넥터는 암호 변경, 만료, 강제 변경 및 보안 옵션을 포함한 Active Directory 인증 정책을 지원합니다. 커넥터가 이러한 기능을 지원하기 때문에 기본 사용자 계정 정보를 얻기 위해 Active Directory 도메인 스키마를 변경할 필요가 없습니다.
참고: macOS는 ‘weak crypto’를 완전히 활성화하지 않는 한, 최소 Windows Server 2008의 도메인 기능 레벨 없이 Active Directory 도메인에 연결할 수 없습니다. 모든 도메인의 도메인 기능 레벨이 2008 이상인 경우에도 관리자가 Kerberos AES 암호화를 사용하려면 각 도메인의 신뢰도를 완전히 지정해야 할 수 있습니다.
Mac이 DNS를 사용하여 Active Directory 도메인에 쿼리하는 방법
macOS는 도메인 네임 시스템(DNS)를 사용하여 온프레미스 Active Directory 도메인의 토폴로지에 쿼리 요청을 할 수 있습니다. DNS는 인증에 Kerberos를 사용하고 사용자 및 그룹 확인에 LDAPv3(Lightweight Directory Access Protocol)를 사용합니다.
macOS가 Active Directory와 완전히 통합된 경우:
해당 조직의 도메인 암호 정책을 따름
동일한 자격 증명을 사용하여 인증하고 안전한 리소스에 대한 인증을 얻음
Active Directory 인증 서비스 서버로부터 사용자 및 기기 인증 ID가 발행될 수 있음
DFS(Distributed File System) 네임스페이스를 자동으로 트래버스하고 적절한 기본 SMB(Server Message Block) 서버를 마운트할 수 있음.
바인드하지 않고 DFS에 연결하는 방법에 관한 자세한 정보는 아래에서 분산 파일 시스템 이름 영역을 참조하십시오.
MDM(모바일 기기 관리) 솔루션의 디렉토리 페이로드를 사용하여 이러한 설정을 구성한 다음, 조직의 모든 Mac 컴퓨터에 해당 페이로드를 푸시할 수도 있습니다. 자세한 정보는 디렉토리 MDM 페이로드 설정을 참조하십시오.
Mac 클라이언트는 디렉토리에 추가된 속성에 대해 모든 읽기 접근 권한을 가집니다. 따라서 이 속성의 ACL(접근 제어 목록)을 변경하여 컴퓨터 그룹이 이러한 추가된 속성을 읽을 수 있도록 해야합니다.
도메인 암호 정책
바인딩할 때(및 그 후 주기적 간격으로) macOS는 Active Directory 도메인을 암호 정책에 대해 쿼리합니다. 이러한 정책은 Mac에 있는 모든 네트워크 및 모바일 계정에 대해 강제로 시행됩니다.
로그인 시도 중 네트워크 계정이 사용 가능할 때 macOS는 암호 변경이 필요한 시간 간격을 결정하기 위해 Active Directory에 쿼리합니다. 기본적으로 14일 이내로 암호 변경이 필요한 경우, 로그인 윈도우에 암호 변경을 요청하는 메시지가 나타납니다. 사용자가 암호를 변경하면 Active Directory뿐만 아니라 모바일 계정(구성된 경우)에서도 암호가 변경되고 로그인 키체인 암호가 업데이트됩니다. 사용자가 암호 변경 요청을 무시하면 만료 전날까지 로그인 윈도우에 암호 변경을 요청하는 메시지가 나타납니다. 계속 로그인하려면 사용자는 24시간 이내에 암호를 변경해야 합니다. macOS 관리자는 명령어 라인에 defaults write /라이브러리/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>를 입력하여 로그인 윈도우의 기본 만료일 알림을 변경할 수 있습니다.
참고: macOS는 Active Directory의 PSO(Password Settings Object)를 사용하는 세분화된 암호 정책을 지원하지 않습니다. 암호 만료일을 계산할 때에는 기본 도메인 정책만 사용됩니다.
DFS(Distributed File System) 네임스페이스 지원
Mac이 Active Directory에 바인드된 경우 macOS는 DFS(distributed file system) 네임스페이스 트래버스를 지원합니다. Active Directory에 바인딩된 Mac은 Active Directory 도메인에서 DNS 및 도메인 컨트롤러에 쿼리를 요청하여 특정 네임스페이스에 적합한 SMB(Server Message Block) 서버를 자동으로 확인합니다.
Finder에서 ‘서버에 연결’ 기능을 사용하여 네트워크 파일 시스템을 마운트할 DFS 루트를 포함하는 DFS 네임스페이스의 전체 주소 도메인 이름(FQDN)을 지정할 수 있습니다. Mac에서 데스크탑을 클릭하여 Finder를 열고 이동 메뉴에서 ‘서버에 연결’ 명령을 선택한 다음, smb://resources.betterbag.com/DFSroot를 입력하십시오.
macOS는 사용 가능한 Kerberos 티켓을 사용하며 기본 SMB(Server Message Block) 서버 및 경로를 마운트합니다. 일부 Active Directory 구성에서는 네트워크 인터페이스의 DNS 구성에 있는 검색 도메인 필드를 정규화된 Active Directory 도메인 이름으로 채워야 할 수 있습니다.
팁: DFS 환경이 리퍼럴에서 전체 주소 도메인 네임을 사용하도록 구성된 경우 Active Directory에 바인드하지 않고 DFS 공유에 접근하여 트래버스할 수 있습니다. Mac이 적합한 서버에서 호스트 이름을 해결할 수 있다면 Mac을 디렉토리에 바인드할 필요 없이 성공적으로 연결됩니다.