Dom-Prosjek-Mac-to-AD integracijska rješenja. Kako smo morali naučiti kako upravljati Mac računalima na korporativnoj mreži Kako je započeo projekt implementacije

Mac-to-AD integracijska rješenja. Kako smo morali naučiti kako upravljati Mac računalima na korporativnoj mreži Kako je započeo projekt implementacije

Za početak ću vam ispričati kratku priču i ako vam je poznata, onda je ovaj članak za vas. Jednog lijepog jutra došli ste na posao i nazvao vas je šef i rekao vam da je kupio novi laptop koji hitno treba spojiti na mrežu i sve mrežne resurse. Došao si kod njega i shvatio da će gazda kupiti Mac. Želi da unesete njegovo novo prijenosno računalo u domenu za pristup svim mrežnim resursima bez autorizacije. Ili je možda priča malo drugačija. Vaša se organizacija odlučila proširiti i ima novi odjel za grafički dizajn i marketing, a svi zaposlenici u ovom odjelu koristit će Macove.

Što učiniti u takvoj situaciji? Ne brinite, Mac možete pridružiti Windows domeni i danas ću vam pokazati kako to učiniti. U ovom članku ćemo povezati Snow Leopard s domenom Windows poslužitelj 2008.

Postavljanje mreže i računa na Macu

Windows domena u potpunosti ovisi o ispravnim DNS postavkama, tako da prvo što trebate učiniti je postaviti ispravnu adresu DNS poslužitelji, koji je u mom slučaju također kontroler domene. Da biste to učinili, trčite Postavke sustava i pritisnite Mreža za otvaranje mrežnih postavki.

Prema zadanim postavkama vaš mrežni adapter prima postavke putem DHCP-a. Ovisno o mrežnim postavkama, postavke možete postaviti ručno odabirom opcije Ručno.

Moj kontroler domene ima IP adresu 192.168.1.172, pa navodim u odjeljku DNS poslužitelj Ovo je smisao.

Vrati se na Postavke sustava i odaberite Računi

Kliknite na lokot ispod kako biste unijeli promjene. Zatim kliknite gumb Pridruži se pored Poslužitelj mrežnog računa

Sada kliknite gumb Otvorite Directory Utility

Dok je u Uslužni program imenika ponovno pritisnite bravu ispod, označite liniju s Aktivni imenik i kliknite ikonu olovke za početak uređivanja.

U ovom dijelu morate unijeti podatke o domeni i ID računala. U u ovom primjeru moja domena ima ime hq.test.us i ID računala Mac. ID računala naziv je računa Mac računala u Windows domeni.

Pritisnite strelicu za prikaz više opcija. To će vam dati 3 dodatne mogućnosti konfiguracije. Da pojednostavim stvari, ostavljam sve kao zadano osim odjeljka Upravni. Kliknite na gumb Upravni i unesite IP adresu ili punu naziv domene kontroler domene u odjeljku Preferiraj ovaj poslužitelj domene. Također ovdje možete odrediti koje će grupe domena imati administratorska prava na Macu.

Sada kliknite gumb Vezati i unesite podatke o korisniku domene koji ima pravo unosa računala u domenu, zatim kliknite U REDU.

Vidjet ćete napredak ulaska u domenu, koji se sastoji od 5 koraka.

Kao rezultat toga, računalo se upisuje u domenu i gumb Vezati bit će preimenovan u Odvezati.

Klik U REDU a zatim primijeniti u prozoru Directory Utility. Zatvorite Directory Utility. Trebali biste se vratiti u prozor Računi. Imajte na umu zelena točka i naziv domene u odjeljku Poslužitelj mrežnog računa.

Prijavite se s računom domene na vašem Macu

Trenutačno se već možete prijaviti na svoj Mac pomoću računa Windows domene. U prozoru za odabir računa odaberite ostalo.

Sada unesite podatke o računu svoje domene.

Pokušajmo spojiti mrežni dio. Iz Tražilica klik Ići a zatim Spojite se na poslužitelj. Za korištenje SMB-a koristite sljedeću sintaksu: smb://ime poslužitelja/dijeli a zatim kliknite Poveži se.

Imajte na umu da ne morate unositi podatke za prijavu na poslužitelj.

To je sve, nije bilo teško, zar ne?

Korisne informacije

Uoči vjenčanja mog bliskog rođaka i naša je obitelj počela s pripremama. Imali smo težak zadatak izabrati zdravičara. Vjenčanje smo proslavili u užem krugu rodbine izvan grada, tako da smo prošli bez toga. dobri prijatelji Preporučili su nam Svetlanu Svetlayu, koja je vrlo lijepo i veselo vodila njihovo vjenčanje. Za sve zainteresirane ostavljam link na njenu web stranicu -

da ste sistemski administrator i direktor tvrtke sanja o preseljenju poslova na Macove; ili je škola u kojoj pružate informatičke usluge pobijedila na natječaju i uskoro će isporučivati ​​potpuno nove Macbookove; ili je vaša redakcija izbacila stare G4 i nabavlja flotu novih iMaca.

A infrastruktura se temelji na Active Directoryju

A ako vas pitaju o upravljanju klijentskim stanicama u domeni pomoću Windows Servera, vjerojatno ćete čuti riječi "domena", "pravila", "GPO", "usluga imenika".

Zašto trebate imeničku uslugu?

Imenička usluga pojednostavljuje život korisnika i administratora. Omogućuje vam pohranjivanje potrebnih resursa - računa, grupa i još mnogo, mnogo više na jednom mjestu, praktično upravljanje njima i povezivanje širokog spektra usluga.
Integracija računala u imeničku uslugu omogućuje vam provođenje strogih pravila provjere autentičnosti i autorizacije te kontrolu pristupa resursima putem jedinstvene prijave (SSO). Jednostavno rečeno, ograničite pristup u dobre svrhe.

Je li Mac uključen u Active Directory?

Zapravo, macOS je odavno integriran u imeničke usluge, uključujući Active Directory (u daljnjem tekstu AD), a za to se koristi ugrađeni AD dodatak. Mac zaključan domenom podržava pravila zaporke, traženje korisnika i grupa, jedinstvenu točku prijave (SSO) korištenjem Kerberosa i 802.1X autentifikaciju za ograničavanje pristupa mreži putem Wi-Fi i Etherneta. Ovdje se možete upoznati s Appleovim najboljim primjerima iz prakse o vezi između Maca i Ada (Mac OS X 10.10 era).

Fino. Kako upravljati Mac postavkama?

Dugo vremena neizgovoreni standard bilo je rješenje Magic Triangle, koje je kombiniralo mogućnosti AD-a i Open Directory-a (u daljnjem tekstu OD), Appleove vlastite imeničke usluge. Funkcioniralo je ovako: korisnički računi bili su u Active Directoryju, ali kako Windows Server nema ugrađene alate za upravljanje Macovima, pravila su se distribuirala s Appleovog Open Directory poslužitelja.
Ova tehnologija je nazvana MCX - Managed Client for (OS) X i zapravo su to konfiguracijski dijelovi XML-a u LDAP zapisima koji se odnose na korisnike, grupe i računala (zanimljivi uslužni programi naredbeni redak– mcxquery i mcxrefresh). Administratori su upravljali postavkama pomoću upravitelja radne grupe.
Naravno, to je povećalo troškove održavanja, budući da su morali biti podržani i Appleovi poslužitelji. Na primjer, IKEA je koristila i AD i OD za podršku Mac računalima na 400 lokacija.
Ne može se reći da Apple intenzivno razvija Open Directory, i servere općenito. Umjesto toga, prešutno se pretpostavlja da će korporacija koristiti Active Directory. Osim toga, Apple promovira nova tehnologija upravljanje Mac računalima pod nazivom Upravljanje mobilnim uređajima.

Upravljanje mobilnim uređajima (MDM)

Nova tehnologija za upravljanje Mac računalima stigla je s iPhoneom i iPadom. To se odražava u njegovom nazivu - Upravljanje mobilnim uređajima. To je ono što Apple naziva i samim skupom tehnologija upravljanja i protokolom koji vam omogućuje slanje naredbi za kontrolu uređaja koji rade na iOS 4 i novijim, macOS 10.7 i novijim, Apple TV sa iOS 7 (sada tvOS) i novijim. Korištenje MDM-a administratori sustava može provjeriti, instalirati ili izbrisati konfiguracijske profile, zaključati uređaje i čak ih izbrisati na daljinu. Konfiguracijski profili su XML datoteke sa skupom postavki opisanih u Apple dokumentaciji. Zanimljivo, profili su raspoređeni na način da Mac ne mora biti na uredskoj mreži, dovoljno je imati pristup internetu. Protokol je izgrađen na temelju HTTPS-a i koristi PUSH obavijesti. Profili su raspoređeni na sljedeći način: MDM poslužitelj kontaktira Apple Push Notification Services (APN), zatim APN putem PUSH obavijesti obavještava uređaj da treba kontaktirati MDM poslužitelj, nakon čega se Mac spaja na MDM poslužitelj i prima informacije. s postavkama.
A najbolje od svega, možete povezati MDM poslužitelj s postojećim AD direktorijem i stvoriti zasebne skupove postavki za upravljanje Mac računalima. Na primjer, možete uzeti unaprijed pripremljenu grupu iz AD-a, stvoriti profile postavki za Mac i zatim distribuirati pravila pomoću MDM-a.

Začepi i uzmi moj novac!

Appleova aplikacija macOS Server već ima vlastiti MDM poslužitelj koji se zove Profile Manager. Na temelju našeg iskustva i iskustva naših klijenata i kolega, ne preporučamo njegovu upotrebu u organizacijama s velikim brojem Mac ili iOS uređaja. Profile Manager se može više koristiti kao uvod u tehnologiju ili pilot projekt.
Postoji dosta MDM poslužitelja treće strane koji rade s Appleom: Microsoft, Vmware, Parallels, da ne spominjemo. No, pitate li bilo kojeg Mac administratora na Macsysadmin konferenciji, koja će se održati početkom listopada u Göteborgu, koji MDM odabrati, odgovorit će vam: “JAMF”, poznat i kao “Casper Suite”. Ovo je možda najjednostavnije i najpopularnije MDM rješenje za Apple uređaje.
Ako ste zainteresirani za implementaciju JAMF-a, kontaktirajte nas i pomoći ćemo vam pri kupnji i konfiguraciji.

Je li potrebno povezati Mac s AD-om?

Nimalo. Na primjer, s aplikacijom NoMAD (akronim je kratica za "No More Active Directory"), možete koristiti SSO, montirati svoju početnu mapu, sinkronizirati svoju lokalnu korisničku lozinku s mrežnom lozinkom i još mnogo toga. Štoviše, sama aplikacija ne zahtijeva administratorska prava. I sve to samo pomoću Kerberos ulaznica.

Što je još Kerberos?

Kerberos je tehnologija autentifikacije koja se temelji na ulaznicama - posebnim šifriranim porukama koje omogućuju klijentu da potvrdi svoju autentičnost bez pohranjivanja lozinke ili njezinog prijenosa preko nepouzdanih kanala.
Da pokušamo to jednostavno objasniti, klijent najprije zatraži "kartu za dodjelu ulaznice" (TGT) od autentifikacijskog poslužitelja, zatim zatraži kartu od istog poslužitelja za pristup traženom resursu, a poslužitelj provjerava postoji li takav resurs na isti poslužitelj ima pristup ovom resursu, a s ovom kartom klijent može dobiti pristup resursu. Jedini put kada se od korisnika traži lozinka (ali nije poslana preko mreže) je faza primanja TGT karte; u budućnosti se sve događa automatski - otuda i naziv Single Sign-on.

Zaključak

Uvođenje Mac računala u domenu, upravljanje uređajima i pristup resursima potpuno je izvediv zadatak. Možete komunicirati s katalogom ili povezivanjem vašeg Maca s domenom ili korištenjem aplikacija treće strane. U svakom slučaju, integracija MDM tehnologije u AD pomoći će vam da udobno upravljate Apple uređajima na temelju pravila vaše organizacije.

Još uvijek čekamo izdanje Visoka Sierra te govore na konferenciji Macsysadmin 2017. koju ćemo detaljno popratiti s lica mjesta.
Kolega Ildar obećava članak za svaki nastup!

17.10.2011 Eric Rucks

Ako želite posluživati ​​Mac klijente kao i Windows klijente, trebat će vam Mac-to-AD integracijsko rješenje. Nedavno sam isprobala četiri proizvoda koji savršeno obavljaju posao.

U novije vrijeme korištenje Apple računalo Macintosh unutra Windows okruženje zahtijevalo mnogo truda za integraciju softver i promjene sheme Active Directory (AD). Međutim, posljednjih je godina proces integracije postao puno lakši, a potrebni mehanizmi zapravo su osigurani prema zadanim postavkama. Do ove promjene nije došlo zato što su Microsoft i Apple "popušili lulu mira" i počeli surađivati, već kao rezultat toga što su obje tvrtke slijedile standarde RFC 2703 i LDAP. Kao rezultat toga, ako koristite Windows Server 2003 R2 ili noviji ili Apple OS X Panther (verzija 10.3) ili noviji i želite autentificirati Mac klijente AD-u, ne trebate nikakav poseban softver. Jednostavno odredite put do početne mape koristeći stari format "NT style" u svojstvima korisničkog AD objekta tako da sadržaj mrežni pogon pojavio na radnoj površini. Ako se koristi mobilni račun (koji Microsoft naziva "spremljene vjerodajnice i profil"), korisnici se mogu prijaviti kada nisu povezani s domenom - opet bez ikakvog dodatnog softvera. Ali ako želite posluživati ​​Mac klijente kao i Windows klijente, trebat će vam Mac-to-AD integracijsko rješenje. Nedavno sam isprobala četiri proizvoda koji jako dobro rade ovaj posao.

Tri od njih—Centrify's DirectControl, Likewise Software's Likewise Enterprise i Quest Software's Authentication Services—integriraju Mac, UNIX i Linux računala u Windows svijet. Četvrti proizvod, Thursbyjev ADmitMac, integrira samo Macove.

Testiranje proizvoda

Testirao sam svaki proizvod u zasebnom Windows Server 2008 AD okruženju koje se nalazi na poslužitelju VMware ESXi. Paketi DirectControl i Authentication Services instalirani su izravno na kontroleru domene (DC). Slijedeći preporuke u popratnim dokumentima, instalirao sam Likewise Enterprise na poseban poslužitelj. Sustav ADmitMac ne zahtijeva instalaciju poslužiteljskog softvera.

Koristio sam prijenosno računalo kao klijentski sustav MacBook Pro s operativnim sustavom X Snow Leopard (verzija 10.6.7). Nakon instaliranja i konfiguriranja svakog proizvoda, testirao sam njihove mogućnosti. Proces testiranja uključivao je:

  • instalacija softvera;
  • dodavanje klijenta Mac sustavi na domenu;
  • uklanjanje Mac klijentskog sustava iz domene;
  • autorizacija domene;
  • prijenos korisnika;
  • korištenje upravljačke konzole (ako je moguće);
  • mijenjanje postavki pomoću objekata pravila grupe (GPO);
  • dodavanje globalnih grupa lokalnim grupama;
  • instaliranje softvera na Mac klijentski sustav;
  • korištenje predmemoriranih vjerodajnica za prijavu kada niste povezani s domenom;
  • Onemogućite automatsku prijavu i poruke za prijavu pomoću GPO-ova.

DirectControl

Centrify DirectControl
ZA:
PROTIV: Koncept "zone" može biti zbunjujući i malo je vjerojatno da će biti koristan malim tvrtkama.
RAZRED: 4 od 5.
CIJENA: od 60 USD po radnoj stanici (popusti dostupni za masovnu kupnju).
PREPORUKA: Ako vaši UNIX i Linux klijenti koriste različite metode za provjeru autentičnosti i morate ostaviti UNIX ID-ove i grupne ID-ove netaknutima, zona tehnologija i atraktivna cijena mogu staviti ovaj program na vrh vašeg popisa.
PODACI ZA KONTAKT: Centrify, 408-542-7500, www.centrify.com

Instalacija paketa DirectControl nije teška. Jednostavno dvaput kliknite datoteku CentrifyDC_Console-4.4.3-win32 na vašem kontroleru domene i slijedite upute. Instalacija ne zahtijeva bazu podataka niti druge preduvjete, osim jednog: opcije. Provjera dokaza NET Publisher mora biti onemogućena. To je lako učiniti - instalacijski program će sve sam riješiti. Bilo je mnogo teže saznati što opcija radi. Provjera dokaza NET izdavača. Nakon mnogo traženja na Internetu, konačno sam se obratio ljudima iz Centrifyja za pojašnjenje. Koliko sam otkrio, onemogućavanje provjere dokaza izdavača jednostavno ubrzava pokretanje konzolnih aplikacija, dopuštajući im da rade bez dugotrajnog procesa provjere koji može uzrokovati probleme u izoliranim mrežama, kao što su istraživački laboratoriji koji nemaju internetsku vezu.

Nakon dovršetka postupka instalacije pokrenite DirectControl konzolu. Kada prvi put pokrenete program, čarobnjak za instalaciju će vas voditi kroz postupak postavljanja zadane zone. Zone vam pomažu grupirati UNIX, Linux i Mac računala u zbirke i pomažu vam identificirati zbirke koje ste stvorili. Grupiranjem klijentskih strojeva na ovaj način, možete jednostavno primijeniti sigurnosna pravila ili pravila postavki na njih. Zone su pohranjene u AD direktoriju u spremniku domain.com/Program Data/Centrify/Zones.

Čarobnjak za instalaciju također vam pomaže instalirati potrebne licence, koje su pohranjene u spremniku domain.com/Program Data/Centrify/Licenses. Nikada nisam vidio nijedan softver koji sam pregledao da ima svoje licence pohranjene u AD direktoriju. Ovo je jedinstveno rješenje.

Sljedeći korak nakon instalacije serverskog dijela sustava je instalacija klijentskog programa na Mac računalo pomoću paketa koji odgovara operativnom sustavu. Za Mac OS X Snow Leopard koristite datoteku CentrifyDC-4.4.3-mac10.6.dmg. Dvostrukim klikom na ovu datoteku otvara se izbornik koji uključuje funkciju Pripremi, koja se koristi za provjeru jesu li usluge DirectControl i AD pravilno povezane i spremne za integraciju. Kada se to od vas zatraži, unesite naziv svoje domene i unutar nekoliko sekundi izvršit će se 20 testova. Ovi testovi provjeravaju ima li dovoljno prostora na disku, radi li DNS ispravno, sadrži li stranica kontroler domene i više. U mom slučaju, sustav nije prošao test koji provjerava jesu li satovi kontrolera domene i klijentskog sustava sinkronizirani. Nakon što sam riješio problem, bio sam spreman instalirati klijentski program.

Sama instalacija traje svega nekoliko sekundi, nakon čega DirectControl prikazuje poruku o pristupanju domeni. Svidjela mi se ova značajka jer uklanja sve nedoumice o dodavanju računala u domenu. U prozoru postavki možete ručno postaviti korisničku početnu mapu (/home/korisničko ime), UNIX ID i ID grupe ili možete pustiti DirectControlovu automatsku zonu da automatski konfigurira te postavke. Fino podešavanje UNIX ID-a i ID-a grupe važno je ako integrirate stroj s instalirani sustav UNIX ili Linux, ali budući da sam stroj integrirao s Mac sustavom, odabrao sam način Auto Zone. Radilo je super.

Vođenje dnevnika izravno u prozoru postavki vrlo je zgodno. Slučajno sam pogrešno napisao naziv domene i zapis u dnevniku bio je od velike pomoći u rješavanju problema. Nakon pridruživanja računala domeni preporučuje se ponovno pokretanje.

Nakon ponovnog pokretanja MacBook Pro stroja, mogao sam se prijaviti kao korisnik domene. Nisam morao dodati naziv domene domain\ prije korisničkog imena niti ga dodati na kraj (@domain). Pošto sam se prvi put ulogirao pod ovim račun, pojavljuje se zahtjev za promjenom lozinke. Nakon što sam ušao Nova lozinka, proces preuzimanja se nastavio.

Predmemoriranje vjerodajnica radi bez unaprijed postavljeno. Prekinuo sam vezu radi testiranja ove značajke mrežni kabel, onemogućio AirPort mrežnu karticu i odjavio se. Kad sam se ponovno pokušao prijaviti, za prijavu su korištene predmemorirane vjerodajnice i ubrzo sam se vratio na radnu površinu ispred sebe.

Vraćajući se na kontroler domene, pronašao sam novu karticu Centrify Profile na stranicama svojstava objekata Users and Computers u dodatku Active Directory Users and Computers. Na stranici svojstava računala ova kartica sadrži informacije samo za čitanje kao što su verzija klijentskog softvera, vrsta zone koja se koristi (u mom slučaju Auto Zone) i koristi li klijent licencirane ili nelicencirane značajke. Na stranici korisničkih svojstava ova kartica sadrži informacije koje se mogu prilagoditi. Iako to nije potrebno, prilikom integracije Mac računala u AD domeni možete konfigurirati neke parametre UNIX sustavi i Linux, kao što su UNIX ID, korisničko ime, ljuska (/bin/bash), početna mapa i glavna grupa.

DirectControl je integriran u konzolu za upravljanje pravilima grupe (GPMC). Kao što možete vidjeti na slici 1, možete lako upravljati Mac klijentima. Na primjer, onemogućio sam automatsku prijavu. Baš kao i Windows strojevi, OS X stroj možete konfigurirati da se automatski prijavljuje. Međutim, za razliku od Windows strojeva, ova značajka nije onemogućena u trenutku kada se računalo pridruži domeni. Ako korisnik zna lozinku lokalnog administratora, može konfigurirati stroj za pokretanje bez provjere lozinke. Ovu opciju sam onemogućio u samo nekoliko klikova.

DirectControl nudi zgodan uslužni program za Mac pod nazivom DirectControl Widget. Prikazuje informacije o statusu AD usluga, Kerberosu, AD računima i članstvu u AD grupi. Da biste instalirali ovaj widget na svoj Mac, kliknite vezu Idi, odaberite opciju iDisk, kliknite gumb Javna mapa drugog korisnika, idite na odjeljak Centrify i dvaput kliknite poveznicu DirectControl Widget.

Isto tako i Enterprise

Likewise Software Likewise Enterprise
ZA: podrška za Mac, UNIX i Linux klijente.
PROTIV: koncept "ćelija" može biti zbunjujući i malo je vjerojatno da će biti koristan malim tvrtkama; Izbor između Non-Schema Mode i Schema Mode tijekom procesa instalacije teško je razumjeti neobučenom korisniku.
RAZRED: 4 od 5.
CIJENA: 69 USD po radnoj stanici (skupni popusti pri kupnji 50 ili više licenci).
PREPORUKA: Ako vaši UNIX i Linux klijenti koriste različite metode za provjeru autentičnosti i morate ostaviti UNIX ID-ove i grupne ID-ove netaknutima, mehanizmi mreže Likewise Enterprise mogu vam dobro doći.
PODACI ZA KONTAKT: Likewise Software, 425-378-7887 ili 800-378-1330, www.likewise.com

Vodič za instalaciju jasno pokazuje da ne biste trebali instalirati Likewise Enterprise izravno na kontroler domene. Umjesto toga, preporuča se instalirati ga na poseban poslužitelj koji koristi operativni sustav Windows Server 2008. Alternativno, možete ga instalirati na računalo sa sustavom Windows 7, Windows Vista ili Windows XP. Likewise Enterprise proširuje AD-ove ugrađene administrativne alate (to jest, GPMC i Active Directory Users and Computers) tako da ti alati već moraju biti prisutni na računalu na kojem je instaliran Likewise Enterprise. Potrebna je i Microsoftova upravljačka konzola (MMC) 3.0. Budući da MMC 3.0 nije kompatibilan sa sustavom Windows 2000, ne možete instalirati Likewise Enterprise na Windows poslužitelj 2000 poslužitelj.

Nakon dovršetka instalacije Likewise Enterprise, čarobnjak će vas voditi kroz postupak postavljanja, uključujući odabir načina rada i postavljanje ćelije u AD-u. Čarobnjak me malo zbunio i morao sam ponovno pročitati priručnik kako bih shvatio što instalacijski mehanizam pokušava učiniti.

Odabir načina rada. I šuma i domena radile su u funkcionalnom načinu rada Servera 2008, ali mi je čarobnjak ipak savjetovao da koristim način rada bez sheme, način rada koji podržava Windows 2000 AD direktorijsku uslugu. Ako koristite Windows 2000 AD, morat ćete instalirati Likewise Enterprise na računalo s Windows XP ili novijim Windows verzije i proširiti shemu. Također, upute u čarobnjaku su nepotpune, ali sam ih shvatio. Da biste omogućili Schema Mode, način rada u kojem Likewise Enterprise koristi prednosti standarda RFC 2307, morat ćete izaći iz čarobnjaka i pokrenuti poseban čarobnjak za Schema Mode, koji se može pronaći pod Console->Enterprise Console->Status. Iako su i šuma i domena radile u načinu rada Server 2008, čarobnjak je tvrdio da su određeni parametri (na primjer, uid, uidNumber, gidNumber) indeksirani i prisutni u AD globalnom katalogu.

Izbor načina (način sheme ili način bez sheme) ovisi o operativnom sustavu koji domena koristi. Ako koristite Windows 2003 R2 ili noviji, ne morate raditi nikakve promjene sheme u domeni i trebali biste omogućiti način rada sheme. Ako domena radi na ranijoj verziji Windows platforme, postoje dvije opcije. Možete koristiti način rada bez sheme i pohraniti korisničke ili grupne podatke u multi-valued ključne riječi i atribute opisa objekta za korisničke i računalne račune. Ili, ako se osjećate samouvjereno, dopustite Likewise Enterpriseu da proširi shemu umjesto vas.

Postavljanje ćelije. Slično zonama u DirectControlu, ćelije u Likewise Enterprise omogućuju vam da logično grupirate strojeve koji ne koriste Windows i upravljate njihovim postavkama (kao što su UNIX ID-ovi i ID-ovi grupa). Kao i zone, ćelije su logično povezane s odjelima. Pomoću ove strukture možete stvoriti ćeliju za svaki odjel ili sigurnosni perimetar u svojoj tvrtki i dodijeliti korisnika jednoj ili više ćelija pomoću kartice Likewise Settings u dodatku Active Directory Users and Computers.

Nakon instaliranja i konfiguriranja poslužiteljskog softvera, možete nastaviti s instaliranjem klijentskog programa na svako Mac računalo. Možete ga implementirati ručno pomoću disketa za podizanje sustava ili koristiti mehanizam tihe instalacije koji koristi protokol Secure Shell (SSH). Apple je SSH protokolu dao naziv Remote Login, kojem se može pristupiti putem izbornika System Preferences odabirom Sharing. Vodič za PDF format sadrži izvrstan korak-po-korak vodič kako instalirati klijentski softver koristeći SSH.

Zatim trebate pridružiti računalo domeni pomoću alata Likewise - Active Directory koji se nalazi u odjeljku Directory Utility. Poput ugrađenog Active Directory Connector-a u OS X, Likewise - Active Directory vam omogućuje da odaberete spremnik ili organizacijsku jedinicu u kojoj želite stvoriti račun računalnog objekta.

Isto tako, Enterprise je usko integriran s pravilima grupe. Slika 2 pokazuje kako je jednostavno postaviti prava lokalnog administratora za korisnika domene ili grupu.

Ako vaša infrastruktura dopušta Mac autentifikaciju i želite migrirati sve postavke u AD, Likewise Enterprise može uvesti lozinke i grupirati datoteke za Mac, UNIX i Linux sustave koristeći ugrađene alate za migraciju. Ove se postavke automatski preslikavaju na korisnike i grupe u AD-u.

Ako vaše okruženje koristi lokalnu autentifikaciju i vaši korisnički profili su stvoreni na OS X, vjerojatno ćete ih htjeti migrirati na nove račune s autentifikacijom domene. Na primjer, jedan od vaših zaposlenika koristi MacBook Pro prijenosno računalo godinu dana, a sada želite da se autentificira za domenu. Kao i kod Windowsa, stroj koji pokreće OS X će stvoriti novi profil kada se korisnik prvi put prijavi. Alat Migrate User Profile će migrirati stari lokalni profil na novi profil domene. Kada se taj zaposlenik prijavi na domenu sa svojim novim računom, vidjet će istu radnu površinu na koju je naviknuo.

Usluge autentifikacije

Usluge provjere autentičnosti softvera Quest
ZA: automatska instalacija klijenta i pridruživanje domeni putem grafičkog sučelja; podrška za Mac, UNIX i Linux klijente.
PROTIV: cijena.
RAZRED: 4,5 od 5.
CIJENA: 37 USD po korisniku i 65 USD po računalu.
PREPORUKA: Ako služite velikoj zajednici Mac, UNIX i Linux sustava, onda je paket Authentication Services najbolji izbor. Softver možete instalirati sa svog stola bez potrebe za rješavanjem složenih koncepta zona i ćelija.
PODACI ZA KONTAKT: Quest Software, 800-306-9329, www.quest.com

Instaliranje rješenja Authentication Services zahtijeva instaliranje paketa Microsoft.NET Framework 3.5 SP1 i Windows PowerShell na sustavu. Instalacijski mehanizam Authentication Services će instalirati (i čak vam pomoći da preuzmete) sve potrebne komponente. Proces instalacije također će provjeriti podržava li AD shema proizvod. Kao i kod drugih programa o kojima se ovdje govori, proširenje sheme nije potrebno ako koristite Windows 2003 R2 ili noviji.

Za razliku od DirectControl i Likewise Enterprise, Authentication Services ne koristi zone ili ćelije, što proizvod čini vrlo jednostavnim za konfiguriranje. Čarobnjak za dodavanje i pridruživanje hostu vodit će vas kroz postupak instalacije, koji uključuje sljedeće.

  • Dodavanje i profiliranje hostova (klijenata). Poslužitelj na kojem su instalirane Authentication Services mora imati dopuštenja naziva za Mac klijente. Klijent se mora dinamički dodati u DNS bazu podataka kao Windows 2000 ili noviji stroj. Međutim, imao sam različite rezultate. Ako ne možete dobiti naziv hosta na OS X, provjerite postoji li A zapis u DNS bazi podataka za klijenta.
  • Provjera spremnosti klijenata da se pridruže domeni. Provjera AD Readiness provjerava je li klijent spreman pridružiti se domeni. U mom slučaju primio sam poruku o pogrešci u kojoj je stajalo da je "vremensko odstupanje" (tj. razlika između vremena kontrolera domene i vremena klijenta) toliko veliko da se klijent ne može pridružiti domeni. Primijetio sam da je poruka o pogrešci bila jasna i kratka, za razliku od usluge ActiveDirectory Connector, koja izdaje šifrirane poruke.
  • Instalacija klijentskog softvera. Kada sam pokušao instalirati klijentski program, poruka o pogrešci koju sam primila je rekla da Authentication Services ne može pronaći verziju klijenta za Mac OS X 10.6. Provjerio sam predloženi put i otkrio da nedostaje programska datoteka klijenta (VAS-4.0.1.52.dmg). Nakon što sam preuzeo datoteku VAS-4.0.1.52.dmg i kopirao je u izvornu mapu, instalacija je završila bez ikakvih problema.
  • Pridruživanje klijenata AD domeni. Lozinka root računa ili administratorska lozinka potrebna je za pridruživanje klijenta domeni.

Jako mi se svidio čarobnjak za dodavanje i pridruživanje hostu. Možete dodati klijenta u domenu bez napuštanja stola, sve dok je SSH protokol pokrenut na Mac računalima.

Nakon što je klijent dodan i pridružen domeni, nećete trebati posebne alate uključene u Authentication Services. Glavna prednost ovog proizvoda je niz značajki koje dodaje GPMC-u (Slika 3). Dodavanje pisača samo je jedna od mnogih značajki kojima možete upravljati pomoću mehanizama pravila grupe.

Za prijavu u domenu sa stroja koji nije Windows, AD korisnički račun mora imati odabranu opciju omogućenu za UNIX na kartici Potraga na stranici postavki objekta računa u dodatku Active Directory Korisnici i računala. Ovo će stvoriti potrebne UNIX ID-ove i ID-ove grupa.

Općenito, Questov proizvod smatram lakim za instalaciju i korištenje. Ako radite s kombinacijom strojeva koji pokreću različite verzije UNIX, Linux i Mac klijenata, stavite Quest na vrh popisa kandidata.

Primi Mac

Thursby softver ADmitMac
ZA: nema potrebe za instaliranjem poslužiteljskog softvera na poslužitelje podatkovnog centra.
PROTIV: Samo Mac klijenti.
RAZRED: 5 od 5.
CIJENA: 84 USD po računalu s 250 sjedala, 60 USD po računalu s 500 sjedala (dostupni su popusti).
PREPORUKA: Ako radite samo s Mac klijentima i ne planirate u svoje okruženje uključiti strojeve s UNIX i Linux sustavima, onda je AdmitMac rješenje definitivno vaš izbor. Robusni klijentski program i bez poslužiteljske strane čine najbolje rješenje koje sam vidio za integraciju OS X u AD.
PODACI ZA KONTAKT: Thursby Software, 817-478-5070, www.thursby.com

AdmitMac sustav ima potpuno drugačiju strukturu od ostala tri proizvoda, pa sam ga odlučio recenzirati zadnji. Ono što čini ovaj proizvod drugačijim je to što je dizajniran samo za integraciju Mac sustava u AD arhitekturu. Ostali proizvodi usmjereni su na UNIX i Linux, a podrška za Mac je sekundarna. Paket AdmitMac je rješenje za Mac sustave, ništa više ni manje. Ova činjenica ga ne čini boljim ili lošijim od ostala tri. Ako integrirate skup UNIX, Linux i Mac sustava u Windows okruženje, onda je bolje koristiti jedan od gore navedenih proizvoda. Ako samo integrirate Mac klijente, trebali biste prvo pogledati AdmitMac, jer je njegova jedina svrha da Mac klijenti rade jednako dobro kao Windows klijenti.

Za razliku od ostalih proizvoda čija instalacija počinje serverskim dijelom, kod AdmitMac sustava prvo se instalira klijentski softver. Nakon što koristite disketu za pokretanje za instaliranje programa AdmitMac, pomoćnik za postavljanje pomoći će vam konfigurirati mrežni softver usluge AdmitMac. Prvi zaslon je donekle iznenađujući, jer traži podatke o postavkama WINS-a. Podatke možete unijeti ručno ili odrediti da ćete ih primiti od DHCP poslužitelja.

Sljedeći zaslon određuje postavke sigurnosnih pravila—koji će protokol Mac koristiti za prijavu u Windows domenu: Kerberos, NTLMv2, NTLM ili LAN Manager (LM). Zadane postavke prvo koriste NTLMv2 ili Kerberos, zatim NTLM, a nikada LM. Možete konfigurirati AdmitMac klijent za korištenje otvorene lozinke, ali očito u ovom slučaju vaša mreža mora imati drugi način zaštite autentifikacijskih podataka.

Sljedeći korak je dodavanje Mac klijenta u domenu. Nakon što unesete naziv svoje domene, sustav će vas pitati za korisničko ime i lozinku mrežnog administratora. Tada možete odrediti gdje će točno u AD strukturi biti kreiran strojni račun. Prema zadanim postavkama odabran je spremnik Računala.

Na kraju, trebate odabrati vrstu matične mape (mrežna, lokalna ili mobilna) u koju će biti pohranjene korisničke postavke i dokumenti. Također možete odrediti koliko se puta korisnik može prijaviti bez spajanja na mrežu.

To je sve što je potrebno za dodavanje i pridruživanje Mac klijenta domeni. Ali usluga imenika AdmitMac ima više mogućnosti. Kao i drugi proizvodi, AdmitMac vam omogućuje mapiranje UNIX ID-ova i ID-ova grupa na AD račune, ali to se radi putem klijentskog programa. Također možete nametnuti ograničenja odjelima. Na primjer, ako unesete naziv Sales u postavke za Users OU, tada će se samo oni korisnički računi koji se nalaze u Sales OU moći prijaviti na to računalo.

Iako se sustavom AdmitMac upravlja s poslužitelja, za to nije potrebno instalirati softver. Kao što prikazuje slika 4, upravljanje sustavom koristi datoteke pravila grupe s ekstenzijom . adm. Budući da se datoteke ne koriste novi format. admx, pohranjeni su u GPMC konzoli poslužitelja 2008. Međutim, to ne mijenja činjenicu da se podrška za pravila grupe pruža Mac klijentima bez instaliranja dodatnog softvera na poslužitelju - dodaju se samo predlošci. adm.

Za dodavanje predložaka potrebno je pokrenuti izvršnu datoteku (ThursbyADMInstaller.exe), koja će ih kopirati s instalacijskog diska na kontroler domene. Zadana odredišna staza je C:\Windows\inf. Nakon što je kopiranje završeno, možete koristiti kontrolne predloške kao i sve druge predloške. Samo desnom tipkom miša kliknite prečac Administrativni predlošci, odaberite Dodaj/ukloni predloške u kontekstni izbornik, kliknite gumb Dodaj i pronađite datoteku predloška AdmitMac.adm.

Izbor urednika

DirectControl, Likewise Enterprise, Authentication Services i ADmitMac mogu integrirati i upravljati Mac sustavima u AD domenu. Svaki proizvod omogućuje jednostavnu prijavu na domenu, ali to čini i ugrađeni konektor Active Directory OS X. Ono što izdvaja ove proizvode je to što vam omogućuju upravljanje Mac klijentima na isti način kao i Windows klijentima.

DirectControl i Likewise Enterprise rješenja rade slično. Oba programa vam omogućuju logično grupiranje objekata koji koriste sustav koji nije Windows.

Posebnost paketa Quest je što ne zahtijeva dodatne troškove. Osim toga, možete koristiti središnju konzolu za instaliranje klijentskog softvera i dodavanje klijenta u domenu. Ovo je vrlo važno ako trebate integrirati mnogo Mac računala u AD.

Sustav AdmitMac je pobjednik jer je ova recenzija posvećena rješenjima za integraciju Mac-a-AD. Ovo rješenje nosi se s ovim zadatkom bolje od svojih konkurenata, s malom prednošću. Korištenje AdmitMac paketa ne zahtijeva poseban poslužiteljski softver, a klijentski program sadrži brojne dodatne funkcije.

Eric Rucks ( [e-mail zaštićen]) - viši administrator Windows mreža u velikoj konzultantskoj tvrtki



Ako koristite Mac na mreži u Windows okruženju, možete pridružiti Mac domeni slijedeći ove korake:

1 Odaberite Postavke, zatim odaberite Korisnici i grupe.

Pojavljuje se stranica Korisnici i grupe.

2Odaberite korisnički račun koji želite pridružiti domeni, a zatim kliknite Mogućnosti prijave.

Pojavljuje se stranica s opcijama prijave.

3Ako je ikona lokota u donjem lijevom kutu stranice zaključana, kliknite je i unesite svoju lozinku kada se to od vas zatraži.

Prema zadanim postavkama, postavke prijave su zaključane kako bi se spriječile neovlaštene promjene. Ovaj korak će otključati postavke kako biste se mogli pridružiti domeni.

4 Kliknite gumb Pridruži se.

Od vas će se tražiti da unesete naziv domene kojoj se želite pridružiti.

5Unesite naziv domene kojoj se želite pridružiti.

Kada unesete naziv domene, dijaloški okvir će se proširiti kako bi vam omogućio unos vjerodajnica domene kako biste se mogli pridružiti domeni.

6Unesite ime i lozinku vašeg administratorskog računa domene, zatim kliknite U redu.

Bit ćete vraćeni na stranicu s opcijama prijave, koja pokazuje da ste se uspješno pridružili domeni.

Što ako radite u organizaciji koja je dovoljno velika da koristite Windows Server odnosno Active Directory? Što ako imate Mac? Kao što znate, obična računala ne znaju kako koristiti Apple Open Directory, ali vaš Mac može raditi s Microsoft Active Directory i reći ću vam kako ga sada unijeti u domenu Nema ništa komplicirano u slijedu radnji, iako se mora priznati da običan auto na Windowsima je malo lakše ući u AD. Prije par dana, nakon što sam vukao MacBook na posao, odlučio sam ga unijeti u domenu. Ali nisam odmah shvatio gdje ići da vidim postavke povezane s domenom. Pokušaj traženja tražene stavke pretraživanjem nije dao rezultate, iako je sve izgledalo logično: rad s postavkama domene trebao bi biti u kategoriji "Mreža", ali nije bio tamo.

U početku mi se činilo da jednostavno ne vidim dragocjene ikone i predmete. I kako se ispostavilo, nisu bili tamo. Ali gdje sam ih našao, otkrit ću vam tajnu.
Prvo otvorite izbornik "Postavke sustava". Zanima nas kategorija "Sustav" iu njoj stavka "Korisnici i grupe".

Ovdje imamo stavku "Mogućnosti prijave" - ​​to je upravo ono što nam treba i nije pronađeno u izborniku "Mreža".

Otključavanje uklanjamo unosom lozinke i odabirom dragocjene kartice. Vidite li stavku "Poslužitelj mrežnog računa" na samom dnu? Da, upravo to trebamo povezati s istoimenim gumbom.

U prozor koji se pojavi unesite sve potrebne informacije: naziv poslužitelja (ip je također moguć), ID računala i kombinaciju prijave i lozinke za dodavanje stroja u domenu. Naravno, morate imati prava u domeni da to učinite.

Vraćamo se na prethodni prozor i obratimo pozornost na stavku "Automatska prijava". Ako se vaš Mac koristi u osobne svrhe kod kuće, a na poslu koristite račun iz Active Directoryja, savjetujem vam da ga postavite na "Isključeno". ovaj parametar. Dakle, kada se sustav pokrene, bit ćete odvedeni na obrazac za unos prijave s lozinkom, gdje možete koristiti podatke računa domene. Također, za svaki slučaj, potvrdite okvir pored "Prikaži izbornik za unos u prozoru za prijavu."
Preostale stavke, osim VoiceOver upita, možete ostaviti kao zadane.

to je sve Ne morate se ni ponovno dizati (kako je to neugodno na Windowsima). Zatvaramo bravu tako da nitko ne može promijeniti postavke bez provjere autentičnosti.

Preostaje samo prijaviti se u sustav svojim podacima. U gornjem desnom kutu, pored sata, pojavio se novi izbornik s aktivnim u trenutku račun. Ako se odlučite prijaviti pomoću računa domene, samo kliknite na korisničko ime i odaberite “Prozor za prijavu”. Vidjet ćete standardni obrazac u koji trebate unijeti podatke kao što su ime domenekorisnik i lozinka (Ne zaboravite na naziv domene!).

Možete se prebacivati ​​između računa u bilo kojem trenutku unosom vlastite lozinke za svaki. Prebacivanje se događa vrlo brzo i nema potrebe za prekidom sesije.
To je to, postavljanje je završeno. Možete vidjeti je li naš stroj dodan u Acive Directory.

Povezane publikacije: