Mac용 디렉토리 유틸리티를 사용하여 Active Directory 통합하기
Active Directory 커넥터(디렉토리 유틸리티의 서비스 옵션에 있음)를 사용하여 Mac이 Windows 2000 이상 서버의 Active Directory 도메인에 있는 기본 사용자 계정 정보에 접근하도록 구성할 수 있습니다.
Active Directory 커넥터는 Active Directory 사용자 계정에서 macOS 인증에 필요한 모든 속성을 생성합니다. 또한 커넥터는 암호 변경, 만료, 강제 변경 및 보안 옵션을 포함한 Active Directory 인증 방법을 지원합니다. 커넥터가 이러한 기능을 지원하기 때문에 기본 사용자 계정 정보를 얻기 위해 Active Directory 도메인 스키마를 변경할 필요가 없습니다.
참고: macOS 10.12 이상이 설치된 컴퓨터에서는 ‘weak crypto’를 완전히 활성화하지 않는 한 최소 Windows Server 2008의 도메인 기능 레벨 없이 Active Directory 도메인에 연결할 수 없습니다. 모든 도메인의 도메인 기능 레벨이 2008 이상인 경우에도 관리자가 Kerberos AES 암호화를 사용하려면 각 도메인의 신뢰도를 완전히 지정해야 할 수 있습니다.
macOS가 Active Directory와 완전히 통합된 경우:
해당 조직의 도메인 암호 정책을 따름
동일한 자격 증명을 사용하여 인증하고 안전한 리소스에 대한 인증을 얻음
Active Directory 인증 서비스 서버로부터 사용자 및 기기 인증 ID가 발행됨
DFS(Distributed File System) 네임스페이스를 자동으로 트래버스하고 적절한 기본 SMB(Server Message Block) 서버를 마운트할 수 있음
팁: Mac 클라이언트는 디렉토리에 추가된 속성에 대해 모든 읽기 접근 권한을 가집니다. 따라서 이 속성의 ACL을 변경하여 컴퓨터 그룹이 추가된 이 속성을 읽을 수 있도록 해야합니다.
Active Directory 커넥터는 인증 정책 지원뿐 아니라 다음 사항도 지원합니다.
모든 Windows Active Directory 도메인에 대한 패킷 암호화와 패킷 서명 옵션: 이 기능은 기본적으로 ‘허용’으로 켜져 있습니다.
dsconfigad명령어를 사용하여 기본 설정을 비활성화됨 또는 요구됨으로 변경할 수 있습니다. 패킷 암호화 및 패킷 서명 옵션을 통해 레코드 검색을 위한 Active Directory 도메인 내외의 모든 데이터를 보호하도록 할 수 있습니다.동적으로 고유 ID 생성: 컨트롤러는 Active Directory 도메인에서 사용자 계정의 GUID(Globally Unique ID)를 기반으로 한 특정 사용자 ID와 주 그룹 ID를 생성합니다. 생성된 사용자 ID와 주 그룹 ID는 다른 Mac 컴퓨터로 로그인하는데 사용한 계정이더라도 각 사용자 계정에 대해서 항상 동일합니다. 그룹 ID, 주 GID 및 UID를 Active Directory 속성으로 매핑하기를 참조하십시오.
Active Directory 복제 및 장애 조치: Active Directory 커넥터는 다중 도메인 컨트롤러를 찾아서 가장 가까운 것을 결정합니다. 도메인 컨트롤러를 사용할 수 없으면 커넥터는 다른 가까운 도메인 컨트롤러를 사용합니다.
Active Directory 포리스트에서 모든 도메인 발견: 포리스트에 있는 모든 사용자가 Mac 컴퓨터에서 인증할 수 있도록 커넥터를 구성할 수 있습니다. 또는 특정 도메인만 클라이언트에서 인증되도록 할 수 있습니다. Active Directory 포리스트의 모든 도메인에서 인증 제어하기를 참조하십시오.
Windows 홈 폴더 마운트: 어떤 사용자가 Active Directory 사용자 계정을 통해 Mac에 로그인하면 Active Directory 커넥터는 Active Directory 사용자 계정에 해당 사용자의 홈 폴더로 지정된 Windows 네트워크 홈 폴더를 마운트할 수 있습니다. Active Directory의 표준 홈 디렉토리 속성을 사용할지 또는 macOS의 홈 디렉토리 속성에서 지정한 네트워크 홈을 사용할지 여부를 지정할 수 있습니다(Active Directory 스키마가 확장되어 포함하는 경우).
Mac에서 로컬 홈 폴더 사용: Mac의 시동 볼륨에 로컬 홈 폴더를 생성하도록 커넥터를 구성할 수 있습니다. 이 경우에는 커넥터도 사용자의 Windows 네트워크 홈 폴더(Active Directory 사용자 계정에 지정된)를 공유 지점과 같은 네트워크 볼륨으로 마운트합니다. 이제 사용자는 Finder를 사용하여 Windows 홈 폴더 네트워크 볼륨과 로컬 Mac 홈 폴더 사이에서 파일을 복사할 수 있습니다.
사용자의 모바일 계정 생성: 모바일 계정은 Mac의 시동 볼륨에 로컬 홈 폴더가 있습니다. (사용자 또한 사용자의 Active Directory 계정에서 지정한 위치에 네트워크 홈 폴더를 가지고 있음) 모바일 사용자 계정 설정하기를 참조하십시오.
접근에 LDAP 사용 및 인증에 Kerboros 사용: Active Directory 커넥터는 디렉토리 또는 인증 서비스를 얻기 위해 Microsoft의 독자적인 ADSI(Active Directory Services Interface)를 사용하지 않습니다.
확장된 스키마에 대한 접근 탐지: Active Directory 스키마가 macOS 레코드 유형(대상체 클래스) 및 속성을 포함하도록 확장되어 있는 경우 Active Directory 커넥터는 이를 탐지하고 접근합니다. 예를 들어, Windows 관리 도구를 사용하여 macOS 관리 클라이언트 속성을 포함하도록 Active Directory 스키마를 변경할 수 있습니다. 이 스키마를 변경하면 Active Directory 커넥터는 지원되는 모바일 기기 관리(MDM) 솔루션을 활성화합니다.