Macs integreren met Active Directory
Je kunt op een Mac de toegang configureren tot basisgegevens van gebruikersaccounts in een Active Directory-domein op een server met Windows 2000 (of nieuwer). De Active Directory-connector wordt vermeld in het paneel 'Voorzieningen' van Adreslijsthulpprogramma. Op basis van standaardkenmerken in Active Directory-gebruikersaccounts genereert de connector alle kenmerken die nodig zijn voor authenticatie met macOS. De connector biedt ook ondersteuning voor Active Directory-authenticatieregels, waaronder wachtwoordwijzigingen, vervaldatums voor wachtwoorden, geforceerde aanpassingen en beveiligingsopties. Aangezien deze voorzieningen worden ondersteund door de connector, hoef je geen schemawijzigingen aan te brengen in het Active Directory-domein om standaardgegevens van een gebruikersaccount op te vragen.
Opmerking: macOS kan geen verbinding maken met een Active Directory-domein dat werkt met een Windows Server-versie ouder dan Windows Server 2008, tenzij je specifiek voor een zwakke encryptie kiest. Zelfs als alle domeinen het functionele niveau van 2008 of nieuwer hebben, moet de beheerder mogelijk voor elk domein een vertrouwensketen tot stand brengen om Kerberos AES-encryptie te kunnen gebruiken.
Hoe een Mac DNS gebruikt om informatie over het Active Directory-domein op te vragen
In macOS wordt DNS (Domain Name System) gebruikt om de topologie van het lokale Active Directory-domein op te vragen. Kerberos wordt gebruikt voor authenticatie, terwijl het LDAPv3-protocol (Lightweight Directory Access Protocol) wordt gebruikt voor het omzetten van gebruikers en groepen.
Wanneer macOS volledig met Active Directory is geïntegreerd, geldt dat gebruikers:
Zich moeten houden aan de beleidsregels die binnen de organisatie voor domeinwachtwoorden gelden
Dezelfde gebruikersgegevens gebruiken voor zowel de authenticatie als het verkrijgen van toegang tot beveiligde bronnen
Certificaten met identiteitsgegevens voor gebruikers en computers kunnen ontvangen van een server met Active Directory Certificate Services
Automatisch de naamruimte van een DFS (Distributed File System) kunnen doorlopen en de juiste onderliggende SMB-server (Server Message Block) kunnen koppelen.
Zie "Ondersteuning voor DFS-naamruimten" hieronder voor meer informatie over verbinding met een DFS (Distributed File System) zonder koppelingen.
Je kunt deze instellingen ook met de payload 'Adreslijst' in je MDM-oplossing configureren en de payload vervolgens naar alle Mac-computers in je organisatie pushen. Zie Instellingen voor de MDM-payload 'Adreslijst' voor meer informatie.
Mac-clients hebben volledige leestoegang tot kenmerken die aan de adreslijst worden toegevoegd. Het kan daarom nodig zijn om de toegangscontrolelijst van die kenmerken aan te passen, zodat computergroepen de toegevoegde kenmerken kunnen lezen.
Beleidsregels voor domeinwachtwoorden
Op het moment van binding (en op gezette tijden daarna) wordt door macOS bij het Active Directory-domein opgevraagd welke beleidsregels er voor wachtwoorden gelden. Deze beleidsregels worden afgedwongen voor alle netwerk- en mobiele accounts op een Mac.
Bij een inlogpoging waarbij de netwerkaccounts beschikbaar zijn, vraagt macOS bij Active Directory op hoelang het duurt voordat het wachtwoord moet worden gewijzigd. Standaard geldt dat als het wachtwoord binnen veertien dagen moet worden gewijzigd, de gebruiker in het inlogvenster wordt gevraagd om het wachtwoord te wijzigen. Als de gebruiker het wachtwoord wijzigt, wordt de wijziging doorgevoerd in Active Directory en in de mobiele account (als die is geconfigureerd). Bovendien wordt het wachtwoord aangepast in de inlogsleutelhanger. Als de gebruiker het wachtwoordverzoek negeert, wordt het verzoek tot de dag voordat het wachtwoord verloopt weergegeven in het inlogvenster. De gebruiker moet het wachtwoord binnen 24 uur wijzigen om te kunnen inloggen. Een macOS-beheerder kan de standaardmelding over het verlopen van het wachtwoord in het inlogvenster aanpassen door de volgende opdracht op de commandoregel in te voeren: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <aantal dagen>.
Opmerking: macOS biedt geen ondersteuning voor een gedetailleerd wachtwoordbeleid via PSO (Password Settings Object) van Active Directory. Alleen het standaarddomeinbeleid wordt gebruikt bij het berekenen van de vervaldatum van wachtwoorden.
Ondersteuning voor DFS-naamruimten
macOS ondersteunt het doorlopen van DFS-naamruimten (Distributed File System) als de Mac aan Active Directory is gekoppeld. Een Mac die aan Active Directory is gekoppeld, kan query's versturen naar DNS en domeincontrollers in het Active Directory-domein om automatisch de juiste SMB-server (Server Message Block) voor een bepaalde naamruimte om te zetten.
Via de functie 'Verbind met server' in de Finder kun je de volledig gekwalificeerde domeinnaam (FQDN) van de DFS-naamruimte opgeven, inclusief de DFS-root waarin het netwerkbestandssysteem moet worden geactiveerd. Klik op een Mac op het bureaublad om de Finder te openen, kies het commando 'Verbind met server' uit het Ga-menu en typ vervolgens smb://resources.betterbag.com/DFSroot.
macOS maakt gebruik van beschikbare Kerberos-tickets om de onderliggende SMB-server (Server Message Block) en het bijbehorende pad te koppelen. Bij sommige Active Directory-configuraties kan het nodig zijn om de volledig gekwalificeerde domeinnaam van Active Directory in te vullen in het veld 'Zoekdomeinen' in de DNS-configuratie voor de netwerkinterface.
Tip: Je kunt DFS-shares openen en doorlopen zonder Active Directory-koppeling als de DFS-omgeving geconfigureerd is voor gebruik van volledig gekwalificeerde domeinnamen in doorverwijzingen. Zolang de Mac de hostnamen van de desbetreffende servers kan omzetten, kunnen verbindingen tot stand worden gebracht zonder dat de Mac aan de adreslijst hoeft te zijn gekoppeld.