Mac os служба каталогов

Управления записями и атрибутами в Службе каталогов на Mac

С помощью Службы каталогов можно просматривать и менять записи и атрибуты каталога LDAP.

ПРЕДУПРЕЖДЕНИЕ. Удаление некоторых атрибутов или записей может привести к ошибкам в работе сервера и даже к прекращению его работы. Изменение данных каталога может привести к непредсказуемым и нежелательным последствиям. Вы можете непреднамеренно отключить пользователей и компьютеры или предоставить пользователям доступ к большему количеств ресурсов, чем предполагалось.

Удалив записи пользователей или компьютеров в Редакторе каталогов, не забудьте удалить соответствующие идентификаторы Kerberos и привязки к серверу паролей, используя соответствующие средства командной строки. Если Вы не удалите неиспользуемые идентификацию Kerberos или слот сервера паролей, может возникнуть конфликт с созданной позднее записью пользователя или компьютера.

Просмотр и редактирование данных в каталогах

В приложении «Служба каталогов» на Mac нажмите «Редактор каталогов».

Нажмите раскрывающееся меню «Просмотр», затем выберите один из типов записей для изменения.

Во всплывающем меню узла выберите домен каталога или локальный каталог, который требуется изменить, и введите имя и пароль администратора домена или локального каталога.

Для этого нажмите значок с изображением замка возле выбранного каталога.

Выберите запись, которую нужно изменить, в списке записей.

Можно также провести поиск в поле поиска над списком записей.

В списке атрибутов выберите атрибут, который нужно просмотреть или отредактировать.

Значение выбранного атрибута появится на панели «Значение» (под списком атрибутов). Вы можете изменить значение атрибута на панели «Значение».

Для некоторых атрибутов можно изменить способ отображения значений: изображение, текст или данные.

Значения некоторых атрибутов затенены и не могут быть изменены.

Добавление или удаление атрибутов и записей

В приложении «Служба каталогов» на Mac нажмите «Редактор каталогов».

Нажмите раскрывающееся меню «Просмотр», затем выберите один из типов записей для изменения.

Во всплывающем меню узла выберите домен каталога или локальный каталог, который требуется изменить, и введите имя и пароль администратора домена или локального каталога.

Для этого нажмите значок с изображением замка возле выбранного каталога.

Выполните следующие операции:

Добавление записи: Нажмите кнопку добавления (под списком записей) и введите имя записи в панели «Значение».

Удаление записи: Выберите запись, которую хотите удалить, и нажмите кнопку «Удалить» под списком записей.

Важно! Отменить удаление записи невозможно.

Добавление атрибутов записей: Выберите запись, которую нужно удалить, в списке записей. Нажмите кнопку добавления (под списком атрибутов), выберите атрибут во всплывающем меню типов атрибутов и нажмите «OK». Введите значение нового атрибута.

Если в списке типов Вы выбрали значение «Собственный», введите имя соответствующей записи в поле под всплывающим меню. Нажмите «ОК».

Удаление атрибутов записи: Выберите атрибут записи, который требуется удалить, нажмите кнопку удаления (под списком записей), затем нажмите кнопку «Сохранить».

Источник

Настройка доступа к Open Directory в Службе каталогов на Mac

При связывании с сервером Open Directory с помощью Службы каталогов необходимо знать имя или IP‑адрес сервера DNS, а также знать, использует ли этот сервер протокол защищенных сокетов (SSL).

Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.

В приложении «Служба каталогов» на Mac нажмите «Службы».

Нажмите значок замка.

Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).

Выберите LDAPv3, затем нажмите кнопку «Изменить настройки выбранной службы» .

Введите имя или IP-адрес сервера Open Directory в соответствующее поле.

Выберите «Шифровать с использованием SSL», если хотите, чтобы Open Directory использовал протокол защищенных сокетов (SSL) для подключений.

Прежде чем использовать эту функцию, обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.

Если «Служба каталогов» не может связаться с сервером Open Directory, попробуйте изменить настройки доступа. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.

Выберите новый сервер Open Directorу из списка, затем нажмите «Правка».

Нажмите «Поиск и соответствия».

Нажмите всплывающее меню «Получить доступ к этому серверу LDAPv3, используя», выберите значение «Open Directory» и введите начальные данные поиска.

Необходимо ввести начальные данные поиска. В противном случае компьютер Mac не сможет найти информацию на сервере Open Directory. Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем server.example.com начальные данные поиска могут быть следующими: «dc=server,dc=example,dc=com».

Если сервер каталога поддерживает надежное связывание, нажмите «Связать» и введите имя и пароль администратора каталога.

Связывание может быть необязательным.

Надежное связывание является обоюдным. При каждом подключении компьютера Mac к каталогу LDAP выполняется взаимная идентификация. Если надежное связывание уже настроено или каталог LDAP не поддерживает надежное связывание, кнопка «Связать» отсутствует. Убедитесь, что Вы правильно ввели имя компьютера Mac.

Если Вы видите предупреждение о том, что в каталоге имеется запись компьютера, попробуйте ввести другое имя компьютера Mac или нажмите «Перезаписать», чтобы заменить имеющуюся запись компьютера.

Возможно, имеющаяся запись компьютера не используется или принадлежит другому компьютеру с тем же именем.

Перед заменой имеющейся записи о компьютере уведомите об этом администратора данного каталога LDAP, чтобы такая замена не привела к отключению другого компьютера. В этом случае администратор каталога LDAP должен присвоить отключенному компьютеру другое имя и добавить его снова к той группе компьютеров, к которой он принадлежал.

Если Open Directory требует аутентификации, выберите «Использовать аутентификацию при подключении», затем введите отличительное имя и пароль учетной записи пользователя в каталоге.

Идентификация подключения не является обоюдной: LDAP-сервер идентифицирует компьютер Mac, а компьютер Mac не идентифицирует сервер.

Отличительное имя может задавать любую пользовательскую учетную запись, которая обладает разрешением на просмотр данных в этом каталоге. Например, пользовательская учетная запись с коротким именем dirauth на LDAP-сервере с адресом server.example.com будет иметь отличительное имя uid=dirauth,cn=users,dc=server,dc=example,dc=com.

Важно! Если отличительное имя или пароль неверны, пользователь не сможет войти в компьютер Mac, используя пользовательские учетные записи из этого каталога LDAP.

Нажмите OK, чтобы завершить создание соединения Open Directory.

Нажмите OK, чтобы завершить конфигурацию параметров LDAPv3.

Если Вы хотите, чтобы Mac имел доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в пользовательскую политику поиска в панелях «Аутентификация» и «Контакты» в разделе «Политика поиска» в Службе каталогов. См. раздел Определение политик поиска.

Важно! Если Вы меняете IP‑адрес и имя компьютера Mac с приложением macOS Server при активном подключении к серверу каталогов, необходимо отключить и снова подключить сервер каталогов, чтобы записать каталог новое имя и новый IP‑адрес компьютера. Если этого не сделать, каталог не будет обновлен и будет продолжать использовать старое имя компьютера и IP-адрес.

Источник

Настройка доступа к доменам в Службе каталогов на Mac

Важно! Расширенные параметры плагина Active Directory позволяют сопоставить атрибут уникального идентификатора пользователя macOS (UID), атрибут первичного идентификатора группы (GID) и атрибут группового GID соответствующим атрибутам в схеме Active Directory. Если позже Вы измените эти настройки, то пользователи могут потерять доступ к ранее созданным файлам.

Установление связи с помощью Службы каталогов

В приложении «Служба каталогов» на Mac нажмите «Службы».

Нажмите значок замка.

Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).

Выберите Active Directory, затем нажмите кнопку «Изменить настройки выбранной службы» .

Введите DNS-имя домена Active Directory, с которым Вы хотите связать конфигурируемый компьютер.

Нужное DNS-имя может подсказать администратор домена Active Directory.

В случае необходимости, отредактируйте ID компьютера.

ID компьютера — это имя, под которым данный компьютер известен в домене Active Directory. По умолчанию оно соответствует имени компьютера. ID компьютера можно изменить, чтобы он соответствовал установленной в Вашей организации схеме назначения имен. Если Вы не уверены, спросите администратора домена Active Directory.

Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.

Если расширенные параметры скрыты, нажмите треугольник раскрытия рядом с пунктом «Показать параметры». Можно также изменить настройки дополнительных параметров позже.

(Необязательно) Выберите параметры на панели «Параметры».

(Необязательно) Выберите параметры на панели «Соответствия».

(Необязательно) Выберите параметры в панели «Администратор».

Предпочесть этот сервер. По умолчанию macOS выбирает используемый контролер домена на основе информации о сайте и ответной реакции контроллера домена. Если здесь указан контроллер домена на том же сайте, он проверяется первым. Если контроллер домена недоступен, macOS возвращается к режиму по умолчанию.

Разрешить администрирование. Если этот параметр включен, члены указанных групп Active Directory (по умолчанию это администраторы домена и администраторы предприятия) получают права администратора на локальном компьютере Mac. Вы можете указать здесь требуемые группы безопасности.

Разрешить аутентификацию с любого домена из совокупности деревьев. По умолчанию macOS автоматически просматривает все домены для аутентификации. Снимите этот флажок, чтобы разрешить аутентификацию только из домена, с которым связан компьютер Mac.

Нажмите «Связать», затем введите следующую информацию.

Примечание. Пользователь должен иметь права в Active Directory на связывание компьютера с доменом.

Имя пользователя и пароль: Можно выполнить аутентификацию, введя имя и пароль учетной записи пользователя Active Directory. Либо имя и пароль должны предоставляться администратором домена Active Directory.

OU компьютера: Введите организационную единицу (OU), для компьютера, который Вы настраиваете.

Использовать для аутентификации: Выберите, если хотите добавить Active Directory к алгоритму поиска аутентификации компьютера.

Использовать для контактов: Выберите, если хотите добавить Active Directory к алгоритму поиска контактов компьютера.

Служба каталогов устанавливает надежное связывание между настраиваемым компьютером и сервером Active Directory. Политики поиска компьютера настраиваются в соответствии с параметрами, которые Вы выбрали при аутентификации, и Active Directory включается в панели «Службы» приложения «Служба каталогов».

Если Вы выбрали параметр «Использовать для аутентификации» или параметр «Использовать для контактов», то вместе с настройками по умолчанию дополнительных параметров Active Directory к алгоритму поиска идентификации компьютера и/или алгоритму поиска контактов добавляется лес Active Directory.

Но если Вы сняли флажок для параметра «Разрешить идентификацию с любого домена из совокупности деревьев» в панели расширенных параметров администратора до нажатия кнопки «Связать», то вместо леса добавляется ближайший домен Active Directory.

Позже Вы можете изменить алгоритм поиска, добавив или удалив лес Active Directory или отдельные домены. См. раздел Определение политик поиска.

Установка связи с помощью профиля конфигурации

Компонент каталога в профиле конфигурации может настроить один Mac или автоматизировать сотни компьютеров Mac на связывание с Active Directory. Как и другие компоненты профиля конфигурации, компонент каталога можно развернуть вручную, с помощью скрипта, в процессе регистрации MDM или с помощью решения для управления клиентами.

Компоненты полезной нагрузки, входящие в состав профилей конфигурации, позволяют администраторам управлять конкретными частями macOS. Вы выбираете в Менеджере профилей те же функции, которые выбрали бы в Службе каталогов. Затем Вы выбираете способ передачи профиля конфигурации на компьютеры Mac.

В приложении Server на компьютере Mac выполните следующие действия.

О том, как настроить Менеджер профилей, см. в разделе Start Profile Manager в Руководстве пользователя macOS Server.

О создании полезной нагрузки Active Directory см. в разделе Directory MDM payload settings for Apple devices (Настройки полезной нагрузки каталогов MDM для устройств Apple) в руководстве Mobile Device Management Settings for IT Administrators (Настройки системы управления мобильными устройствами для ИТ‑администраторов).

Если на Вашем компьютере нет приложения Server, его можно загрузить из Mac App Store.

Установление связи с помощью командной строки

Для связывания Mac с Active Directory можно использовать команду dsconfigad в Терминале.

Например, можно использовать следующую команду, чтобы установить связь Mac с Active Directory:

После связывания Mac с доменом можно настроить параметры администрирования в Службе каталогов, используя команду dsconfigad :

Расширенные параметры командной строки

Встроенная поддержка Active Directory включает параметры, не отображаемые в Службе каталогов. Для просмотра этих расширенных параметров используйте компонент каталога в профиле конфигурации или инструмент командной строки dsconfigad .

Изучите параметры командной строки, открыв man-страницу для команды dsconfigad.

Интервал смены пароля компьютера

Если система Mac связана с Active Directory, пароль учетной записи компьютера хранится в системной связке ключей и автоматически изменяется компьютером Mac. По умолчанию пароль изменяется каждые 14 дней, однако Вы можете изменить этот интервал в соответствии с требованиями политики при помощи инструмента командной строки dsconfigad .

Если установить значение 0, автоматическое изменение пароля учетной записи будет отключено: dsconfigad -passinterval 0

Примечание. Пароль компьютера хранится как значение пароля в системной связке ключей. Чтобы извлечь пароль, откройте Связку ключей, выберите системную связку ключей, а затем выберите категорию «Пароли». Найдите запись вида /Active Directory/ДОМЕН, где ДОМЕН — это имя NetBIOS домена Active Directory. Дважды нажмите эту запись, затем установите флажок «Показать пароль». При необходимости пройдите аутентификацию как локальный администратор.

Поддержка пространства имен

macOS поддерживает аутентификацию нескольких пользователей, имеющих одинаковые короткие имена (имена для входа), но в разных доменах леса Active Directory. Если включить поддержку пространства имен с помощью компонента каталога или инструмента командной строки dsconfigad , два пользователя в разных доменах могут иметь одинаковое короткое имя. Для входа в систему оба пользователя должны указать свой домен, а затем свое короткое имя (ДОМЕН\короткое имя), аналогично тому, как выполняется вход в систему на ПК с Windows. Для включения этой поддержки используйте следующую команду:

Подписание и шифрование пакетов

Клиент Open Directory способен подписывать и шифровать подключения LDAP, используемые для связи с Active Directory. В macOS встроена поддержка механизма подписания SMB, поэтому для подключения компьютеров Mac не требуется снижать уровень безопасности, заданный в политике сайта. Подписанные и зашифрованные подключения LDAP также устраняют потребность в использовании LDAP через SSL. Если требуется устанавливать соединения SSL, настройте Open Directory на использование SSL с помощью следующей команды:

dsconfigad -packetencrypt ssl

Учтите, что для успешного шифрования SSL необходимо, чтобы контроллеры доменов использовали надежные сертификаты. Если сертификаты контроллеров доменов получены не из встроенных надежных системных корней macOS, установите цепь сертификатов в системной связке ключей и пометьте ее как надежную. Бюро сертификации, которые по умолчанию считаются надежными в macOS, находятся в связке ключей «Системные корни». Чтобы установить сертификаты и пометить их как надежные, выполните одно из следующих действий:

Импортируйте корневой сертификат и любые необходимые промежуточные сертификаты, используя компонент сертификатов в профиле конфигурации

Используйте Связку ключей, расположенную в папке /Программы/Утилиты/

Используйте команду security:

/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain

Ограничение динамической DNS

По умолчанию macOS пытается обновить свою запись с адресом (A) в DNS для всех интерфейсов. Если настроено несколько интерфейсов, это может привести к тому, что в DNS окажется несколько записей. В этом случае укажите, какой интерфейс нужно использовать при обновлении динамической DNS (DDNS), с помощью компонента каталога или инструмента командной строки dsconfigad . Укажите имя BSD интерфейса, с которым нужно связать обновления DDNS. Имя BSD совпадает с именем устройства, возвращаемым следующей командой:

Если команда dsconfigad используется в скрипте, необходимо открытым текстом указать пароль, используемый для связывания с доменом. Обычно ответственность за связывание компьютеров Mac с доменом возлагается на пользователя Active Directory, не имеющего других прав администратора. Имя и пароль этого пользователя хранятся в скрипте. Обычно после установления связи скрипт сам себя надежно удаляет, чтобы эта информация не оставалась на устройстве хранения.

Источник