Mac bilgisayarları ile Active Directory entegrasyonu
Bir Mac’i Windows 2000 sunucusunun (veya daha yenisinin) bir Active Directory alanındaki temel kullanıcı hesabı bilgilerine erişimi olacak şekilde ayarlayabilirsiniz. Active Directory bağlayıcısı, Dizin İzlencesi’nin Servisler bölümünde listelenmiştir ve macOS doğrulaması için gerekli tüm özellikleri Active Directory kullanıcı hesaplarındaki standart özelliklerden oluşturur. Bağlayıcı; parola değişiklikleri, kullanım süresinin sona ermesi, zorunlu değişiklikler ve güvenlik seçenekleri de dahil olmak üzere Active Directory kimlik doğrulama politikalarını da destekler. Bağlayıcı bu özellikleri desteklediği için, temel kullanıcı hesabı bilgilerini almak için plan değişiklikleri yapmanız gerekmez.
Not: Açıkça “zayıf şifrelemeyi” etkinleştirmemişseniz macOS, alan işlev düzeyi en az Windows Server 2008 olmadan Active Directory alanına bağlanamaz. Tüm alanların alan işlev seviyesi 2008 veya daha üstü olsa bile, Kerberos AES şifrelemesini kullanmak için yöneticinin, her alanın güvenliğini özellikle belirlemesi gerekebilir.
Mac, Active Directory alanını sorgulamak için DNS’i nasıl kullanır?
macOS, şirket içi Active Directory alanının topolojisini sorgulamak için Alan Adı Sistemi’ni (DNS) kullanır. Kimlik doğrulama için Kerberos’u ve kullanıcı ve grup çözümlemesi için Basit Dizin Erişimi Protokolü’nü (LDAPv3) kullanır.
macOS Active Directory ile tamamen entegre edildiğinde, kullanıcılar:
Kuruluşun kuruluşa özgü parola politikalarına tabidir
Kimlik doğrulaması ve güvenilir kaynaklara erişimi yetkisi kazanmak için aynı kimlik bilgilerini kullanır
Bir Active Directory Certificate Services sunucusundaki kullanıcı ve makine sertifikası sertifika kimliklerine sahip olabilir
Dağıtılmış Dosya Sistemi (DFS) ad alanını otomatik olarak geçebilir ve uygun temel Sunucu İleti Bloğu (SMB) sunucusunu bağlayabilir.
Bağlama olmadan DFS’ye bağlanma hakkında daha fazla bilgi için aşağıdaki Dağıtılmış Dosya Sistemi ad alanı desteğine bakın.
Bu ayarları yapılandırmak için ayrıca mobil aygıt yönetimi (MDM) çözümünüzde Directory verisini kullanabilir, ardından bu veriyi kurumunuzdaki tüm Mac bilgisayarlara gönderebilirsiniz. Daha fazla bilgi için Dizin MDM verisi ayarları konusuna bakın.
Mac istemcileri, dizine eklenen özellikler için tam okuma erişimi olduğunu varsayar. Dolayısıyla, bilgisayar gruplarının eklenen bu özellikleri okuması için bu özelliklerin erişim denetimi listesinin (ACL) değiştirilmesi gerekebilir.
Alan parola politikaları
macOS, bağ süresince (ve sonrasında düzenli aralıklarla) parola politikaları için Active Directory alanını sorgular. Bu politikalar, bir Mac’teki tüm ağlar ve taşınabilir hesaplar için zorunludur.
macOS, parola değişikliği için geçmesi gereken süreyi belirlemek üzere ağ hesaplarının mevcut olduğu bir oturum açma girişimi sırasında Active Directory’yi sorgular. Saptanmış olarak, bir parola değişikliği için geçmesi gereken süre 14 gündür ve oturum açma penceresinde kullanıcıdan değişikliği yapması istenir. Kullanıcı parolayı değiştirirse, değişiklik Active Directory’nin yanı sıra taşınabilir hesapta da (bir hesap ayarlanmışsa) gerçekleşir ve oturum açma anahtar zinciri parolası güncellenir. Kullanıcı parola değişiklik isteğini yok sayarsa, oturum açma penceresi parolanın süresi sona ermeden gün sonuna kadar kullanıcıdan değişikliği yapmasını ister. Oturum açma işleminin devam edebilmesi için kullanıcı 24 saat içinde parola değişikliği yapmalıdır. macOS yöneticisi, komut satırında defaults write /Library/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days> komutunu girerek oturum açma penceresinin saptanmış son kullanma bildirimini değiştirebilir.
Not: macOS, Active Directory’nin Parola Ayarları Nesnesi’ni (PSO) kullanan ayrıntılı parola politikalarını desteklemez. Parola son kullanma tarihi hesaplanırken yalnızca saptanmış alan politikası kullanılır.
Dağıtılmış Dosya Sistemi ad alanı desteği
Mac, Active Directory’ye bağlıysa macOS, çapraz geçişli dağıtılmış dosya sistemi (DFS) alan adlarını destekler. Active Directory’ye bağlı bir Mac, belirli bir ad alanı için uygun Sunucu İleti Bloğu (SMB) sunucusunu otomatik olarak çözümlemek amacıyla Active Directory alanındaki DNS ve alan denetimlerini sorgular.
Ağ dosya sistemini bağlamak için DFS kökünü içeren DFS alanının tam alan adını (FQDN) belirtirken Finder’daki Sunucuya Bağlan özelliğini kullanabilirsiniz. Mac’te Finder’ı açmak için masaüstünü tıklayın, Git menüsündeki Sunucuya Bağlan komutunu seçin, sonra smb://resources.betterbag.com/DFSroot girin.
macOS, mevcut tüm Kerberos biletlerini kullanır ve temel Sunucu İleti Bloğu (SMB) sunucusunu ve yolunu masaüstüne bağlar. Bazı Active Directory ayarlamalarında, ağ arayüzünün DNS ayarlamalarındaki Alanlar Ara alanını tam Active Directory alan adıyla doldurmanız gerekebilir.
İpucu: DFS ortamı, göndermelerde tam alan adlarını kullanacak şekilde ayarlanmışsa Active Directory’ye bağlanmadan DFS paylaşımlarına erişebilir ve geçebilirsiniz. Mac uygun sunucuların sunucu adlarını çözümleyebildiği sürece, bağlantı Mac’in dizine bağlı olmasını gerektirmeden başarılı olur.