Configure o acesso ao domínio no Utilitário de Diretório do Mac
Importante: com as opções avançadas do conector do Active Directory, você pode mapear os atributos de ID exclusivo do usuário (UID), ID do grupo principal (GID) e GID do grupo do macOS para os atributos corretos do esquema do Active Directory. No entanto, se você alterar esses ajustes mais tarde, os usuários podem perder o acesso a arquivos criados anteriormente.
Abrir o Utilitário de Diretório para mim
Vincule usando o Utilitário de Diretório
No app Utilitário de Diretório do Mac, clique em Serviços.
Clique no ícone de cadeado.
Digite o nome e a senha de um administrador e clique em Modificar Configuração (ou use o Touch ID).
Selecione Active Directory e clique no botão “Edite os ajustes do dispositivo selecionado” .
Digite o nome DNS do domínio do Active Directory ao qual deseja vincular o computador que você está configurando.
O administrador do domínio do Active Directory pode dizer o nome do DNS.
Se for necessário, edite o ID do Computador.
O ID do Computador, nome pelo qual o computador é conhecido no domínio do Active Directory, está predefinido com o nome do computador. Você pode alterá-lo para adequá-lo ao esquema de nomes da empresa. Se não tiver certeza, pergunte ao administrador de domínio do Active Directory.
Importante: se o nome do computador contiver um hífen, talvez não seja possível vincular-se a um domínio de diretório, como LDAP ou Active Directory. Para estabelecer o vínculo, altere o nome do computador para um que não contenha hífen.
Se as opções avançadas estiverem ocultas, clique no triângulo de abertura ao lado de Mostrar Opções. Você também pode alterar os ajustes das opções avançadas posteriormente.
(Opcional) Selecione as opções de “Experiência do Usuário”.
Consulte Configure contas de usuários móveis, Configure pastas pessoais para contas de usuário e Defina um shell UNIX para as contas de usuário do Active Directory.
(Opcional) Selecione as opções de Mapeamentos.
Consulte Mapeie o ID do grupo, o GID Principal e o UID para um atributo do Active Directory.
(Opcional) Selecione as opções de Administrativo.
Servidor de domínios preferencial: por padrão, o macOS usa as informações do local e a reatividade do controlador de domínio para determinar qual controlador de domínio usar. Se um controlador de domínio no mesmo local estiver especificado aqui, ele será consultado primeiro. Se o controlador de domínio estiver indisponível, o macOS reverterá ao comportamento padrão.
Permitir administração por: com esta opção ativada, os membros dos grupos relacionados do Active Directory (administradores de domínio e de empresa, por padrão) recebem privilégios administrativos no Mac local. Você também pode especificar aqui os grupos de segurança desejados;
Permitir autenticação de qualquer domínio da floresta: por padrão, o macOS busca autenticação em todos os domínios automaticamente. Para restringir a autenticação somente ao domínio ao qual o Mac está vinculado, desmarque esta opção.
Consulte Controle a autenticação de todos os domínios na floresta do Active Directory.
Clique em Vincular e digite as seguintes informações:
Nota: o usuário deve ter privilégios no Active Directory para vincular o computador ao domínio.
Nome de usuário e Senha: talvez você possa autenticar inserindo o nome e a senha da sua conta de usuário do Active Directory ou talvez o administrador de domínio do Active Directory tenha de fornecer um nome e uma senha.
OU do Computador: insira a unidade organizacional (OU) do computador que está configurando.
Usar para autenticação: selecione caso deseje adicionar o Active Directory à política de busca de autenticação do computador.
Usar para contatos: selecione caso deseje adicionar o Active Directory à política de busca de contatos do computador.
Clique em OK.
O Utilitário de Diretório define o vínculo de confiança entre o computador sendo configurado e o servidor do Active Directory. As políticas de busca do computador estão configuradas de acordo com as opções selecionadas ao autenticar, e o Active Directory está ativado no painel Serviços do Utilitário de Diretório.
Com os ajustes padrão para as opções avançadas do Active Directory, a floresta do Active Directory é adicionada à política de busca de autenticação do computador e à política de busca de contatos se você selecionou “Usar para autenticação” ou “Usar para contatos”.
Entretanto, antes de clicar em Vincular, se você desmarcar a opção “Permitir autenticação de qualquer domínio da floresta” nas opções avançadas de Administrativo, o domínio de Active Directory mais próximo será adicionado no lugar da floresta.
Você pode alterar políticas de busca posteriormente adicionando ou removendo a floresta ou domínios individuais do Active Directory. Consulte Defina as políticas de busca.
Vincule usando um perfil de configuração
O payload do diretório em um perfil de configuração pode configurar um único Mac ou automatizar centenas de computadores Mac para vínculo ao Active Directory. Assim como outros payloads de perfil de configuração, você pode implementar o payload do diretório manualmente: usando um script, como parte de um registro MDM ou usando uma solução de gerenciamento de clientes.
Payloads são partes de perfis de configuração e permitem que administradores gerenciem áreas específicas do macOS. Entre em contato com o vendedor do MDM para obter instruções sobre como criar um perfil de configuração.
Vincule usando a linha de comando
Você pode usar o comando dsconfigad
no app Terminal para vincular um Mac ao Active Directory.
Por exemplo, o comando a seguir pode ser usado para vincular o Mac ao Active Directory:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Após vincular o Mac ao domínio, você pode usar dsconfigad
para definir as opções administrativas no Utilitário de Diretório:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
Opções avançadas de linha de comando
O suporte nativo ao Active Directory inclui opções não exibidas no Utilitário de Diretório. Para ver essas opções avançadas use o payload do diretório em um perfil de configuração ou a ferramenta de linha de comando dsconfigad
.
Abra a página man do dsconfigad para analisar as opções da linha de comando.
Intervalo da senha de objeto do computador
Quando um sistema Mac está vinculado ao Active Directory, ele define uma senha de conta do computador que é armazenada nas chaves do sistema e alterada automaticamente pelo Mac. O intervalo padrão da senha é de 14 dias, mas você pode usar o payload do diretório ou a ferramenta de linha de comando dsconfigad
para definir qualquer intervalo exigido por uma política.
A definição do valor em 0 desativa a alteração automática da senha da conta: dsconfigad -passinterval 0
Nota: a senha de objeto do computador é armazenada como um valor de senha nas chaves do sistema. Para recuperar a senha, abra o “Acesso às Chaves”, selecione as chaves do sistema e selecione a categoria Senhas. Encontre a entrada que contenha /Active Directory/DOMAIN, onde DOMAIN é o nome NetBIOS do domínio do Active Directory. Clique duas vezes nessa entrada e selecione a opção “Mostrar senha”. Autentique como administrador local, conforme necessário.
Suporte a nome de espaço
O macOS oferece suporte à autenticação de vários usuários com o mesmo nome abreviado (ou nome de início de sessão) existentes em domínios diferentes dentro da floresta do Active Directory. A ativação do suporte ao nome de espaço com o payload do diretório ou com a ferramenta de linha de comando dsconfigad
permite que um usuário de um domínio tenha o mesmo nome abreviado que um usuário em um domínio secundário. Ambos os usuários devem iniciar a sessão usando o nome de seus domínios seguido dos nomes abreviados (DOMÍNIO/nome abreviado), de maneira similar ao início de sessão em um PC Windows. Para ativar esse suporte, use o seguinte comando:
dsconfigad -namespace <forest>
Assinatura e criptografia de pacotes
O cliente Open Directory pode assinar e criptografar as conexões LDAP usadas para a comunicação com o Active Directory. Como o macOS possui suporte assinado a SMB, não deve ser necessário rebaixar a política de segurança do local para acomodar computadores Mac. As conexões LDAP assinadas e criptografadas também eliminam qualquer necessidade de usar LDAP através de SSL. Caso as conexões SSL sejam exigidas, use o comando a seguir para configurar o uso de SSL no Open Directory:
dsconfigad -packetencrypt ssl
Note que os certificados usados nos controladores de domínio devem ser confiáveis para que a criptografia SSL funcione corretamente. Se os certificados do controlador de domínio não forem emitidos pelas raízes confiáveis do sistema nativo macOS, instale e confie na cadeia de certificado nas chaves do Sistema. No macOS, as autoridades de certificação confiáveis por padrão estão nas chaves “Raízes do Sistema”. Para instalar certificados e estabelecer confiança, faça o seguinte:
Importe o certificado raiz e qualquer outro certificado intermediário necessário usando o payload de certificados em um perfil de configuração;
Use o “Acesso às Chaves”, localizado em /Aplicativos/Utilitários/
Use o comando de segurança a seguir:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
Restrinja o DNS Dinâmico
Por padrão, o macOS tenta atualizar seu registro de Endereço (A) no DNS em todas as interfaces. Se várias interfaces estiverem configuradas, isso poderá resultar em entradas múltiplas no DNS. Para gerenciar esse comportamento, especifique qual interface usar ao atualizar o DDNS (Dynamic Domain Name System) usando o payload do diretório ou a ferramenta de linha de comando dsconfigad
. Especifique o nome BSD da interface à qual associar as atualizações de DDNS. O nome BSD é o mesmo do campo Dispositivo, obtido ao executar este comando:
networksetup -listallhardwareports
Ao usar dsconfigad
em um script, deve-se incluir a senha não criptografada usada para criar o vínculo ao domínio. Normalmente, um usuário do Active Directory sem nenhum outro privilégio de administrador recebe a responsabilidade de vincular os computadores Mac ao domínio. O nome e a senha desse usuário são armazenados no script. É prática corrente que o script se apague com segurança após o vínculo para que essas informações não residam mais no dispositivo de armazenamento.