- Как mac подключить к домену windows
- Представьте себе,
- А инфраструктура на Active Directory
- Зачем нужна служба каталогов?
- Хорошо. Как управлять настройками Maк?
- Mobile Device Management (MDM)
- Shut up and take my money!
- Что еще за Kerberos?
- Вывод
- Linux и Windows: помощь админам и пользователям
- Администрируем и настраиваем Windows, Linux.
- Ввод Mac в домен Windows
- Настройка сети и аккаунта в Mac
- Вход под учетной записью домена на ваш Mac
- Ввод Mac в домен Windows (Active Directory)
- Настройка сети и аккаунта в Mac
- Вход под учетной записью домена на ваш Mac
Как mac подключить к домену windows
Представьте себе,
что вы системный администратор и директор компании мечтает о переносе рабочих мест на Маки; или школа, в которой вы обслуживаете IT, выиграла тендер и скоро привезут новенькие Macbook; или в вашей редакции выбросили старые G4 и закупают парк новых iMac.
А инфраструктура на Active Directory
И если спросить вас об управлении клиентскими станциями в домене средствами Windows Server, то вероятно, что прозвучат слова “домен”, “политики”, “GPO”, “служба каталогов”.
Зачем нужна служба каталогов?
Служба каталогов упрощает жизнь пользователя и администратора. Она позволяет хранить необходимые ресурсы, – учетные записи, группы и многое-многое другое в одном месте, удобно управлять ими, связывать воедино самые разнообразные сервисы.
Интеграция компьютеров в службу каталогов позволяет принудительно установить строгие политики аутентификации и авторизации, управлять доступом к ресурсам через Single Sign-On (SSO). Проще говоря, ограничивать доступ во имя благих целей.
Хорошо. Как управлять настройками Maк?
Долгое время негласным стандартом являлось решение Magic Triangle, которое объединяло в себе возможности AD и Open Directory (далее OD), собственной службы каталогов от Apple. Работало это следующим образом: учетные записи пользователей находились в Active Directory, но так как в Windows Server нет встроенных средств для управления Маками, то политики распространялись с сервера Open Directory от Apple.
Называлась эта технология MCX – Managed Client for (OS) X и по сути, это конфигурационные кусочки XML в LDAP-записях, относящихся к пользователям, группам и компьютерам (интересные утилиты командной строки – mcxquery и mcxrefresh). Администраторы управляли настройками с помощью Workgroup Manager.
Само-собой, это повышало затраты на обслуживание, так как приходилось поддерживать еще и серверы Apple. Например, в компании IKEA для поддержки Маков на 400 площадках использовались и AD и OD.
Нельзя сказать, что Apple усиленно развивает Open Directory, да и серверы в целом. Скорее негласно предполагается, что в корпорации будет использоваться Active Directory. К тому же Apple продвигает новую технологию управления Маками под названием Mobile Device Management.
Mobile Device Management (MDM)
Shut up and take my money!
Вовсе нет. Например, с помощью приложения NoMAD (аббревиатура расшифровывается как “No More Active Directory”) вы можете использовать SSO, монтировать домашнюю папку, синхронизировать пароль локального пользователя с сетевым паролем и многое другое. Причем само приложение не требует прав админстратора. И все это только с помощью тикетов Kerberos.
Что еще за Kerberos?
Kerberos — технология аутентификации, основанная на тикетах — специальных шифрованных сообщениях, которые позволяют клиенту подтвердить свою подлинность, не храня пароль и не передавая его по недоверенным каналам.
Если попытаться объяснить просто, то сначала клиент запрашивает на сервере аутентификации “тикет для выдачи тикетов” (ticket granting ticket, TGT), затем запрашивает на том же сервере тикет для доступа к нужному ресурсу, при этом сервер проверяет, что такой ресурс существует и у данного пользователя есть доступ к этому ресурсу, и уже с этим тикетом клиент может получить доступ к ресурсу. Единственный раз, когда у пользователя запрашивается пароль (но не пересылается по сети) — этап получения тикета TGT, в дальнейшем все происходит автоматически — отсюда название Single Sign-on.
Вывод
Мы же пока ждем релиза High Sierra и выступлений на конференции Macsysadmin 2017, которые мы будем подробно освещать с места.
Мой коллега Ильдар обещает по статье на каждое выступление!
Источник
Linux и Windows: помощь админам и пользователям
Администрируем и настраиваем Windows, Linux.
Ввод Mac в домен Windows
Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.
Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.
Настройка сети и аккаунта в Mac
Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.
По умолчанию ваш сетевой адаптер получает настройки через DHCP. В зависимости от настроек вашей сети вы можете установить настройки вручную выбрав опцию Manually.
Мой контроллер домена имеет IP адрес 192.168.1.172, поэтому я указываю в секции DNS Server Это значение.
Вернитесь назад в System Preferences и выберите Accounts
Нажмите на замок внизу для возможности внесения изменений. Затем нажмите кнопку Join рядом с Network Account Server
Теперь нажмите кнопку Open Directory Utility
Находясь в Directory Utility опять нажмите замок внизу, выделите строку с Active Directory и нажмите иконку с карандашом для начала редактирования.
В данном разделе вам нужно ввести информацию о домене и ID компьютера. В данном примере мой домен имеет имя hq.test.us и ID компьютера Mac. ID компьютера является именем аккаунта компьютера Mac в Windows домене.
Нажмите стрелку для отображения дополнительных опций. Это даст вам 3 дополнительных опции для конфигурирования. Для упрощения я оставляю всё по умолчанию кроме секции Administrative. Нажмите на кнопку Administrative и введите IP адрес или полное доменное имя контроллера домена в секции Prefer this domain server. Также тут можно указать какие доменные группы будут иметь полномочия администратора в Mac.
Теперь нажмите кнопку Bind и введите данные доменного пользователя, который имеет право на ввод компьютеров в домен, затем нажмите OK.
Вы будете видеть прогресс ввода в домен, состоящий из 5 шагов.
В результате компьютер введен в домен и кнопка Bind переименуется в Unbind.
Нажмите OK и затем Apply в окне Directory Utility. Закройте Directory Utility. Вы должны вернутся в окно Accounts. Обратите внимание на зеленую точку и доменное имя в разделе Network account server.
Вход под учетной записью домена на ваш Mac
В настоящий момент вы уже можете входить в Mac под учетными записями домена Windows. В окне выбора аккаунта выберите Other.
Теперь введите данные учетной записи домена.
В результате вы авторизуетесь на компьютер. И что делать дальше? Возможен ли доступ к сетевым ресурсам?
Попробуем подключить сетевую шару. Из Finder нажмите Go а затем Connect to Server. Для использования SMB применяем следующий синтаксим :smb://servername/share и затем нажимаем Connect.
Обратите внимание что вам не нужно вводить данные для авторизации на сервере.
На этом все, это было не очень то сложно, не так ли?
Полезная информация
Источник
Ввод Mac в домен Windows (Active Directory)
Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.
Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.
Настройка сети и аккаунта в Mac
Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.
По умолчанию ваш сетевой адаптер получает настройки через DHCP. В зависимости от настроек вашей сети вы можете установить настройки вручную выбрав опцию Manually.
Мой контроллер домена имеет IP адрес 192.168.1.172, поэтому я указываю в секции DNS Server Это значение.
Вернитесь назад в System Preferences и выберите Accounts
Нажмите на замок внизу для возможности внесения изменений. Затем нажмите кнопку Join рядом с Network Account Server
Теперь нажмите кнопку Open Directory Utility
Находясь в Directory Utility опять нажмите замок внизу, выделите строку с Active Directory и нажмите иконку с карандашом для начала редактирования.
В данном разделе вам нужно ввести информацию о домене и ID компьютера. В данном примере мой домен имеет имя hq.test.us и ID компьютера Mac. ID компьютера является именем аккаунта компьютера Mac в Windows домене.
Нажмите стрелку для отображения дополнительных опций. Это даст вам 3 дополнительных опции для конфигурирования. Для упрощения я оставляю всё по умолчанию кроме секции Administrative. Нажмите на кнопку Administrative и введите IP адрес или полное доменное имя контроллера домена в секции Prefer this domain server. Также тут можно указать какие доменные группы будут иметь полномочия администратора в Mac.
Теперь нажмите кнопку Bind и введите данные доменного пользователя, который имеет право на ввод компьютеров в домен, затем нажмите OK.
Вы будете видеть прогресс ввода в домен, состоящий из 5 шагов.
В результате компьютер введен в домен и кнопка Bind переименуется в Unbind.
Нажмите OK и затем Apply в окне Directory Utility. Закройте Directory Utility. Вы должны вернутся в окно Accounts. Обратите внимание на зеленую точку и доменное имя в разделе Network account server.
Вход под учетной записью домена на ваш Mac
В настоящий момент вы уже можете входить в Mac под учетными записями домена Windows. В окне выбора аккаунта выберите Other.
Теперь введите данные учетной записи домена.
В результате вы авторизуетесь на компьютер. И что делать дальше? Возможен ли доступ к сетевым ресурсам?
Попробуем подключить сетевую шару. Из Finder нажмите Go а затем Connect to Server. Для использования SMB применяем следующий синтаксис :smb://servername/share и затем нажимаем Connect.
Обратите внимание что вам не нужно вводить данные для авторизации на сервере.
На этом все, это было не очень то сложно, не так ли?
Источник
