Mac os домен active directory

Integrating macOS with Microsoft Active Directory

Overview

You can configure a Mac to access basic user account information in a Microsoft Active Directory domain of a Windows 2000 (or later) server. The Active Directory connector is listed in the Services pane of Directory Utility, and it generates all attributes required for macOS authentication from standard attributes in Active Directory user accounts. The connector also supports Active Directory authentication policies, including password changes, expirations, forced changes, and security options. Because the connector supports these features, you don’t need to make schema changes to the Active Directory domain to get basic user account information.

Note: macOS won’t be able to join an Active Directory domain without a domain functional level of at least Windows Server 2008, unless you explicitly enable “weak crypto.” Even if the domain functional levels of all domains are 2008 or later, the administrator may need to explicitly specify each domain trust to use Kerberos AES encryption.

macOS uses the Domain Name System (DNS) to query the topology of the Active Directory domain. It uses Kerberos for authentication and the Lightweight Directory Access Protocol (LDAPv3) for user and group resolution.

When macOS is fully integrated with Active Directory, users:

Are subject to the organization’s domain password policies

Use the same credentials to authenticate and gain authorization to secured resources

Can be issued user and machine certificate identities from an Active Directory Certificate Services server

Can automatically traverse a Distributed File System (DFS) namespace and mount the appropriate underlying Server Message Block (SMB) server

macOS and Active Directory integration.

You can also use the Directory payload in your mobile device management (MDM) solution to configure these settings, then push that payload to all of the Mac computers in your organization. For more information, see Directory payload settings in MDM Settings for IT Administrators.

Mac clients assume full read access to attributes that are added to the directory. Therefore, it might be necessary to change the access control list (ACL) of those attributes to permit computer groups to read these added attributes.

Domain password policies

At bind time (and at periodic intervals thereafter), macOS queries the Active Directory domain for the password policies. These policies are enforced for all network and mobile accounts on a Mac.

During a login attempt while the network accounts are available, macOS queries Active Directory to determine the length of time before a password change is required. By default, if a password change is required within 14 days, the login window asks the user to change it. If the user changes the password, the change occurs in Active Directory as well as in the mobile account (if one is configured), and the login keychain password is updated. If the user dismisses the password request, the login window asks the user until the day before expiration. The user must change the password within 24 hours for login to proceed. A macOS administrator can change the default expiration notification for the login window from the command line by typing defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int .

Note: macOS doesn’t support fine-grained password policies using Active Directory’s Password Settings Object (PSO). Only the default domain policy is used when calculating password expiration.

Distributed File System namespace support

macOS supports traversing Distributed File System (DFS) namespaces. A Mac bound to Active Directory queries DNS and domain controllers in the Active Directory domain to automatically resolve the appropriate Server Message Block (SMB) server for a particular namespace.

The Connect to Server feature in the Finder is used to specify the fully qualified domain name of the DFS namespace and it includes the DFS root to mount the network file system. On a Mac, click the desktop to open the Finder, choose the Connect to Server command in the Go menu, then enter smb://resources.example.com/DFSroot .

macOS uses any available Kerberos tickets and mounts the underlying Server Message Block (SMB) server and path. In some Active Directory configurations, it may be necessary to populate the Search Domains field in the DNS configuration for the network interface with the fully qualified Active Directory domain name.

Источник

Интеграция Active Directory с помощью Службы каталогов на Mac

С помощью плагина Active Directory (в панели «Службы» приложения «Служба каталогов») можно настроить Mac для доступа к основной информации учетной записи пользователя в домене Active Directory на сервере Windows 2000 или новее.

Плагин Active Directory генерирует все атрибуты, необходимые для аутентификации macOS, из учетных записей пользователей Active Directory. Этот плагин также поддерживает методы идентификации Active Directory, включая изменения паролей, прекращения срока действия, принудительные изменения и параметры безопасности. Поскольку эти функции поддерживаются плагином, для получения основных сведений об учетных записях пользователей не требуется вносить изменения в схему домена Active Directory.

Примечание. Компьютеры с macOS 10.12 и более новой версией не смогут подключиться к домену Active Directory с функциональным уровнем ниже Windows Server 2008, кроме случая, когда Вы явно включили слабое шифрование. Даже если все домены имеют функциональный уровень 2008 или выше, возможно, администратору придется для каждого домена явно указать возможность использования алгоритма шифрования Kerberos AES.

Если macOS полностью интегрирована с Active Directory, пользователи:

Подчиняются политикам паролей домена организации.

Используют одни и те же учетные данные для аутентификации и получения доступа к защищенным ресурсам.

Получают сертификаты пользователей и машин от сервера служб сертификации Active Directory.

Могут автоматически перемещаться по пространству имен DFS (Distributed File System) и подключать соответствующий основной сервер SMB (Server Message Block).

Совет. Клиенты Mac получают полный доступ к чтению атрибутов, которые добавляются к этому каталогу. Следовательно, может понадобиться изменить список контроля доступа ACL этих атрибутов, чтобы группы компьютеров смогли читать эти добавленные атрибуты.

Помимо поддержки политик аутентификации, плагин Active Directory также поддерживает следующие функции:

Пакетное шифрование и функции подписывания пакетов для всех доменов Active Directory в Windows. Эта функция включена по умолчанию. Настройку по умолчанию можно сменить на отключение или требование, используя команду dsconfigad . Пакетное шифрование и функции подписывания пакетов гарантируют защиту всех данных, необходимых для просмотра записей, при отправке в домене и из домена Active Directory.

Динамическое создание уникальных идентификаторов. Контроллер динамически создает уникальный идентификатор пользователя и идентификатор первичной группы на основе глобального уникального идентификатора (GUID) учетной записи пользователя в домене Active Directory. Этот идентификатор пользователя и первичный идентификатор группы одинаковы для каждой учетной записи пользователя, даже если эта учетная запись используется для регистрации на других компьютерах Mac. См. раздел Сопоставление ID группы, первичного GID и UID с атрибутом Active Directory.

Отказоустойчивость и репликация Active Directory. Коннектор Active Directory обнаруживает многочисленные контроллеры доменов и определяет ближайший из них. Если контроллер домена становится недоступным, этот плагин использует другой ближайший контроллер домена.

Обнаружение всех доменов леса Active Directory. Можно настроить плагин таким образом, чтобы позволить пользователям из любого домена совокупности деревьев проходить аутентификацию на компьютере Mac. В качестве альтернативы можно разрешить аутентификацию в клиенте только определенным доменам. См. раздел Управление аутентификацией из всех доменов леса Active Directory.

Подключение папок пользователя Windows. Когда пользователь входит в систему Mac с помощью учетной записи пользователя Active Directory, плагин Active Directory может подключить сетевой домашний каталог Windows, который определяется в учетной записи пользователя Active Directory как папка пользователя. Можно выбрать использование сетевой папки, указанной в стандартном атрибуте папки пользователя Active Directory или атрибуте папки пользователя macOS (если схема Active Directory была соответственно расширена).

Использование локальной папки пользователя на компьютере Mac. Можно настроить плагин таким образом, чтобы он создавал локальную папку пользователя на загрузочном томе клиентского компьютера Mac. В этом случае плагин также подключает сетевую папку пользователя Windows (заданную в учетной записи пользователя Active Directory) как сетевой том, подобно сетевой папке. После этого с помощью Finder пользователь может копировать файлы между томом сетевой папки пользователя Windows и локальной папкой пользователя Mac.

Создание для пользователей мобильных учетных записей. Мобильная учетная запись имеет локальную папку пользователя на загрузочном томе компьютера Mac. (У пользователя также есть сетевая папка пользователя, которая определяется в учетной записи Active Directory пользователя.) См. раздел Настройка мобильных учетных записей пользователей.

Использование LDAP для доступа и Kerberos для аутентификации. Плагин Active Directory не использует запатентованный компанией Microsoft интерфейс служб Active Directory (ADSI) для получения служб каталога или идентификации.

Обнаружение расширенной схемы и доступ к ней. Если в схему Active Directory были добавлены типы записей (классы объектов) и атрибуты macOS, плагин Active Directory автоматически обнаруживает их и получает к ним доступ. Например, можно изменить схему Active Directory с помощью инструментов администратора Windows и включить в нее атрибуты управляемых клиентов macOS. Такое изменение схемы позволяет плагину Active Directory поддерживать настройки управляемых клиентов, полученные с помощью macOS Server.

Источник

Active Directory и мобильность на Mac

Службы каталогов могут хранить огромное количество конфиденциальных данных и должны быть надежно защищены. Обычно запросы к службе могут отправлять только надежные устройства в надежных сетях. Это означает, что для доступа к службе каталогов удаленным компьютерам, например ноутбукам, требуется активное подключение VPN.

Локальное кэширование учетных данных

Мобильные учетные записи пользователей кэшируют информацию о пользователе, включая пароль, так что пользователь может войти в систему на Mac после отключения от сети организации. Изменения, внесенные в службу каталогов, переносятся на Mac только после повторного подключения к сети организации.

Изменение пароля мобильной учетной записи

Чтобы изменить пароль мобильной учетной записи пользователя на компьютере Mac, который связан со службой каталогов, откройте «Системные настройки», а затем нажмите «Пользователи и группы», пока компьютер подключен к службе каталогов.

Чтобы проверить возможность подключения к службе каталогов, нажмите «Параметры входа» в боковом меню панели настроек «Пользователи и группы», затем посмотрите на поле «Сервер сетевых учетных записей». Зеленый индикатор означает, что служба каталогов доступна. Выберите мобильную учетную запись пользователя, затем нажмите кнопку «Сменить пароль».

Эта процедура гарантирует изменение пароля учетной записи пользователя в следующих трех местах:

Удаленная служба каталогов.

Локальный кэш учетных данных (/private/var/db/dslocal/).

Связка ключей входа пользователя.

Связка ключей входа — это зашифрованное хранилище данных в папке пользователя, которое содержит конфиденциальную информацию, например пароли приложений и интернета, а также учетные данные сертификатов пользователей. По умолчанию пароль этого хранилища данных совпадает с паролем учетной записи пользователя, и хранилище автоматически разблокируется при входе пользователя в систему.

Если изменить пароль сетевой учетной записи, когда Mac не подключен к службе каталогов, пароль изменяется только в локальном кэше учетных данных. Когда пользователь снова подключается к службе каталогов и входит в систему, удаленная служба каталогов получает обновленные данные, и Mac снова может разблокировать связку ключей входа. Для обновления хранилища связки ключей входа пользователю необходимо ввести предыдущий пароль и новый пароль. Если пользователь не может ввести предыдущий пароль, он может создать новую связку ключей входа.

К полностью локальным учетным записям можно применить политику паролей с помощью профиля конфигурации. Это обеспечивает соблюдение политики организации и упрощает синхронизацию пароля связки ключей входа с паролем учетной записи пользователя.

Источник

Настройка доступа к доменам в Службе каталогов на Mac

Важно! Расширенные параметры плагина Active Directory позволяют сопоставить атрибут уникального идентификатора пользователя macOS (UID), атрибут первичного идентификатора группы (GID) и атрибут группового GID соответствующим атрибутам в схеме Active Directory. Если позже Вы измените эти настройки, то пользователи могут потерять доступ к ранее созданным файлам.

Установление связи с помощью Службы каталогов

В приложении «Служба каталогов» на Mac нажмите «Службы».

Нажмите значок замка.

Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).

Выберите Active Directory, затем нажмите кнопку «Изменить настройки выбранной службы» .

Введите DNS-имя домена Active Directory, с которым Вы хотите связать конфигурируемый компьютер.

Нужное DNS-имя может подсказать администратор домена Active Directory.

В случае необходимости, отредактируйте ID компьютера.

ID компьютера — это имя, под которым данный компьютер известен в домене Active Directory. По умолчанию оно соответствует имени компьютера. ID компьютера можно изменить, чтобы он соответствовал установленной в Вашей организации схеме назначения имен. Если Вы не уверены, спросите администратора домена Active Directory.

Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.

Если расширенные параметры скрыты, нажмите треугольник раскрытия рядом с пунктом «Показать параметры». Можно также изменить настройки дополнительных параметров позже.

(Необязательно) Выберите параметры на панели «Параметры».

(Необязательно) Выберите параметры на панели «Соответствия».

(Необязательно) Выберите параметры в панели «Администратор».

Предпочесть этот сервер. По умолчанию macOS выбирает используемый контролер домена на основе информации о сайте и ответной реакции контроллера домена. Если здесь указан контроллер домена на том же сайте, он проверяется первым. Если контроллер домена недоступен, macOS возвращается к режиму по умолчанию.

Разрешить администрирование. Если этот параметр включен, члены указанных групп Active Directory (по умолчанию это администраторы домена и администраторы предприятия) получают права администратора на локальном компьютере Mac. Вы можете указать здесь требуемые группы безопасности.

Разрешить аутентификацию с любого домена из совокупности деревьев. По умолчанию macOS автоматически просматривает все домены для аутентификации. Снимите этот флажок, чтобы разрешить аутентификацию только из домена, с которым связан компьютер Mac.

Нажмите «Связать», затем введите следующую информацию.

Примечание. Пользователь должен иметь права в Active Directory на связывание компьютера с доменом.

Имя пользователя и пароль: Можно выполнить аутентификацию, введя имя и пароль учетной записи пользователя Active Directory. Либо имя и пароль должны предоставляться администратором домена Active Directory.

OU компьютера: Введите организационную единицу (OU), для компьютера, который Вы настраиваете.

Использовать для аутентификации: Выберите, если хотите добавить Active Directory к алгоритму поиска аутентификации компьютера.

Использовать для контактов: Выберите, если хотите добавить Active Directory к алгоритму поиска контактов компьютера.

Служба каталогов устанавливает надежное связывание между настраиваемым компьютером и сервером Active Directory. Политики поиска компьютера настраиваются в соответствии с параметрами, которые Вы выбрали при аутентификации, и Active Directory включается в панели «Службы» приложения «Служба каталогов».

Если Вы выбрали параметр «Использовать для аутентификации» или параметр «Использовать для контактов», то вместе с настройками по умолчанию дополнительных параметров Active Directory к алгоритму поиска идентификации компьютера и/или алгоритму поиска контактов добавляется лес Active Directory.

Но если Вы сняли флажок для параметра «Разрешить идентификацию с любого домена из совокупности деревьев» в панели расширенных параметров администратора до нажатия кнопки «Связать», то вместо леса добавляется ближайший домен Active Directory.

Позже Вы можете изменить алгоритм поиска, добавив или удалив лес Active Directory или отдельные домены. См. раздел Определение политик поиска.

Установка связи с помощью профиля конфигурации

Компонент каталога в профиле конфигурации может настроить один Mac или автоматизировать сотни компьютеров Mac на связывание с Active Directory. Как и другие компоненты профиля конфигурации, компонент каталога можно развернуть вручную, с помощью скрипта, в процессе регистрации MDM или с помощью решения для управления клиентами.

Компоненты полезной нагрузки, входящие в состав профилей конфигурации, позволяют администраторам управлять конкретными частями macOS. Вы выбираете в Менеджере профилей те же функции, которые выбрали бы в Службе каталогов. Затем Вы выбираете способ передачи профиля конфигурации на компьютеры Mac.

В приложении Server на компьютере Mac выполните следующие действия.

О том, как настроить Менеджер профилей, см. в разделе Start Profile Manager в Руководстве пользователя macOS Server.

О создании полезной нагрузки Active Directory см. в разделе Directory MDM payload settings for Apple devices (Настройки полезной нагрузки каталогов MDM для устройств Apple) в руководстве Mobile Device Management Settings for IT Administrators (Настройки системы управления мобильными устройствами для ИТ‑администраторов).

Если на Вашем компьютере нет приложения Server, его можно загрузить из Mac App Store.

Установление связи с помощью командной строки

Для связывания Mac с Active Directory можно использовать команду dsconfigad в Терминале.

Например, можно использовать следующую команду, чтобы установить связь Mac с Active Directory:

После связывания Mac с доменом можно настроить параметры администрирования в Службе каталогов, используя команду dsconfigad :

Расширенные параметры командной строки

Встроенная поддержка Active Directory включает параметры, не отображаемые в Службе каталогов. Для просмотра этих расширенных параметров используйте компонент каталога в профиле конфигурации или инструмент командной строки dsconfigad .

Изучите параметры командной строки, открыв man-страницу для команды dsconfigad.

Интервал смены пароля компьютера

Если система Mac связана с Active Directory, пароль учетной записи компьютера хранится в системной связке ключей и автоматически изменяется компьютером Mac. По умолчанию пароль изменяется каждые 14 дней, однако Вы можете изменить этот интервал в соответствии с требованиями политики при помощи инструмента командной строки dsconfigad .

Если установить значение 0, автоматическое изменение пароля учетной записи будет отключено: dsconfigad -passinterval 0

Примечание. Пароль компьютера хранится как значение пароля в системной связке ключей. Чтобы извлечь пароль, откройте Связку ключей, выберите системную связку ключей, а затем выберите категорию «Пароли». Найдите запись вида /Active Directory/ДОМЕН, где ДОМЕН — это имя NetBIOS домена Active Directory. Дважды нажмите эту запись, затем установите флажок «Показать пароль». При необходимости пройдите аутентификацию как локальный администратор.

Поддержка пространства имен

macOS поддерживает аутентификацию нескольких пользователей, имеющих одинаковые короткие имена (имена для входа), но в разных доменах леса Active Directory. Если включить поддержку пространства имен с помощью компонента каталога или инструмента командной строки dsconfigad , два пользователя в разных доменах могут иметь одинаковое короткое имя. Для входа в систему оба пользователя должны указать свой домен, а затем свое короткое имя (ДОМЕН\короткое имя), аналогично тому, как выполняется вход в систему на ПК с Windows. Для включения этой поддержки используйте следующую команду:

Подписание и шифрование пакетов

Клиент Open Directory способен подписывать и шифровать подключения LDAP, используемые для связи с Active Directory. В macOS встроена поддержка механизма подписания SMB, поэтому для подключения компьютеров Mac не требуется снижать уровень безопасности, заданный в политике сайта. Подписанные и зашифрованные подключения LDAP также устраняют потребность в использовании LDAP через SSL. Если требуется устанавливать соединения SSL, настройте Open Directory на использование SSL с помощью следующей команды:

dsconfigad -packetencrypt ssl

Учтите, что для успешного шифрования SSL необходимо, чтобы контроллеры доменов использовали надежные сертификаты. Если сертификаты контроллеров доменов получены не из встроенных надежных системных корней macOS, установите цепь сертификатов в системной связке ключей и пометьте ее как надежную. Бюро сертификации, которые по умолчанию считаются надежными в macOS, находятся в связке ключей «Системные корни». Чтобы установить сертификаты и пометить их как надежные, выполните одно из следующих действий:

Импортируйте корневой сертификат и любые необходимые промежуточные сертификаты, используя компонент сертификатов в профиле конфигурации

Используйте Связку ключей, расположенную в папке /Программы/Утилиты/

Используйте команду security:

/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain

Ограничение динамической DNS

По умолчанию macOS пытается обновить свою запись с адресом (A) в DNS для всех интерфейсов. Если настроено несколько интерфейсов, это может привести к тому, что в DNS окажется несколько записей. В этом случае укажите, какой интерфейс нужно использовать при обновлении динамической DNS (DDNS), с помощью компонента каталога или инструмента командной строки dsconfigad . Укажите имя BSD интерфейса, с которым нужно связать обновления DDNS. Имя BSD совпадает с именем устройства, возвращаемым следующей командой:

Если команда dsconfigad используется в скрипте, необходимо открытым текстом указать пароль, используемый для связывания с доменом. Обычно ответственность за связывание компьютеров Mac с доменом возлагается на пользователя Active Directory, не имеющего других прав администратора. Имя и пароль этого пользователя хранятся в скрипте. Обычно после установления связи скрипт сам себя надежно удаляет, чтобы эта информация не оставалась на устройстве хранения.

Источник