Integrar computadoras Mac con Active Directory
Puedes configurar una Mac para acceder a información básica de cuentas de usuario en un dominio de Active Directory de un servidor Windows 2000 o posterior. El conector de Active Directory aparece en el panel Servicios de Utilidad de Directorios y genera todos los atributos necesarios para la autenticación de macOS a partir de los atributos estándar de las cuentas de usuario de Active Directory. El conector también es compatible con las políticas de autenticación de Active Directory, entre las que se incluyen cambios, caducidades, cambios forzados y opciones de seguridad de las contraseñas. Debido a que el conector es compatible con estas características, no necesitas realizar cambios de esquema al dominio de Active Directory para obtener información básica de la cuenta del usuario.
Nota: el sistema operativo macOS no puede conectarse a un dominio de Active Directory con un nivel funcional de dominio previo a Windows Server 2008, a menos que actives explícitamente el nivel de encriptación bajo. Incluso si los niveles funcionales de dominio de todos los dominios son del 2008 o posterior, es posible que el administrador necesite especificar explícitamente la confianza de cada dominio para usar la encriptación Kerberos AES.
Cómo las computadoras Mac usan DNS para solicitar el dominio de Active Directory.
macOS utiliza el sistema de nombres de dominio (DNS) para consultar la topología del dominio local de Active Directory. Utiliza Kerberos para la autenticación y el protocolo Lightweight Directory Access Protocol (LDAPv3) para la resolución de usuarios y grupos.
Cuando macOS está totalmente integrado con Active Directory, los usuarios:
Están sujetos a las políticas de contraseñas de dominio de la organización;
Usa las mismas credenciales para autenticar y obtener autorización a recursos protegidos;
Puede usarse un servidor de Servicios de Certificados de Active Directory para emitir identidades de certificados de máquina y usuario;
Pueden entrar automáticamente a un espacio de nombres del Sistema de Archivos Distribuidos (DFS) y montar el servidor Bloque de Mensajes de Servidor (SMB) subyacente adecuado.
Para obtener más información sobre cómo conectar un DFS sin vincular, consulta Soporte del espacio de nombres del Sistema de Archivos Distribuidos a continuación.
También puedes utilizar la carga útil Directorio en la solución de administración de dispositivos móviles (MDM) para establecer la configuración y, a continuación, enviar dicha carga útil a todas las computadoras Mac de tu empresa. Para obtener más información, consulta Configuración de la carga útil de MDM para el directorio.
Los clientes Mac adoptan acceso de lectura total de los atributos que se agreguen al directorio. Por consiguiente, puede ser necesario cambiar la lista de control de acceso (ACL) de dichos atributos para que los grupos de computadoras puedan leer estos atributos adicionales.
Políticas de contraseñas de dominios
Durante el enlace (y durante intervalos periódicos posteriores), macOS solicita al dominio de Active Directory las políticas de contraseñas. Estas políticas se aplican a todas las cuentas de red y móviles en una Mac.
Durante un intento de inicio de sesión mientras las cuentas en red están disponibles, macOS pide a Active Directory que determine la duración de tiempo antes de que se requiera un cambio de contraseña. De forma predeterminada, si se requiere un cambio de contraseña en un plazo de 14 días, la ventana de inicio de sesión solicitará al usuario que lo realice. Si el usuario cambia la contraseña, el cambio ocurre en Active Directory así como en la cuenta móvil (si hay una configurada), y se actualiza la contraseña del llavero de inicio de sesión. Si el usuario rechaza la solicitud de contraseña, la ventana de inicio de sesión se lo solicitará hasta el último día del plazo. El usuario debe cambiar la contraseña en el plazo de 24 horas para que continúe el inicio de sesión. Un administrador de macOS puede cambiar la notificación de caducidad predeterminada para la ventana de inicio de sesión desde la línea de comandos si ingresas lo siguiente: defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>.
Nota: macOS no es compatible con las políticas de contraseñas específicas mediante un objeto de configuración de contraseña (PSO) de Active Directory. Al calcular la caducidad de las contraseñas, sólo se utiliza la política del dominio predeterminado.
Compatibilidad con los espacios de nombres del Sistema de Archivos Distribuidos
macOS es compatible con los espacios de nombres del Sistema de Archivos Distribuidos (DFS) si la Mac está vinculada a Active Directory. Una Mac enlazada con Active Directory consulta los servidores DNS y los controladores de dominio del dominio Active Directory para resolver automáticamente el servidor Server Message Block (SMB) adecuado para un espacio de nombres determinado.
Puedes usar la función Conectarse al servidor en el Finder para especificar el nombre de dominio completo adecuado (FQDN) para el espacio de nombres del DFS, el cual incluye la raíz del DFS en el cual se monta el sistema de archivos de red. En una Mac, haz clic en el escritorio para abrir el Finder, selecciona el comando Conectarse al servidor en el menú Ir, y escribe: smb://resources.betterbag.com/DFSroot.
macOS utiliza cualquier ticket Kerberos disponible y monta el servidor Server Message Block (SMB) subyacente y la ruta. En algunas configuraciones de Active Directory, puede que necesites completar el campo Buscar dominios en la configuración de DNS para la interfaz de red con un nombre de dominio Active Directory totalmente compatible.
Consejo: puedes acceder y explorar los recursos compartidos de DFS sin vincular con Active Directory si el entorno de DFS está configurado para usar nombres de dominio completamente calificados en las referencias. Siempre y cuando la Mac pueda resolver los nombres de host de los servidores adecuados, la conectividad se establece correctamente sin necesidad de vincular a la Mac al directorio.