Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.
Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.
Настройка сети и аккаунта в Mac
Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.
По умолчанию ваш сетевой адаптер получает настройки через DHCP. В зависимости от настроек вашей сети вы можете установить настройки вручную выбрав опцию Manually.
Мой контроллер домена имеет IP адрес 192.168.1.172, поэтому я указываю в секции DNS Server Это значение.
Вернитесь назад в System Preferences и выберите Accounts
Нажмите на замок внизу для возможности внесения изменений. Затем нажмите кнопку Join рядом с Network Account Server
Теперь нажмите кнопку Open Directory Utility
Находясь в Directory Utility опять нажмите замок внизу, выделите строку с Active Directory и нажмите иконку с карандашом для начала редактирования.
В данном разделе вам нужно ввести информацию о домене и ID компьютера. В данном примере мой домен имеет имя hq.test.us и ID компьютера Mac. ID компьютера является именем аккаунта компьютера Mac в Windows домене.
Нажмите стрелку для отображения дополнительных опций. Это даст вам 3 дополнительных опции для конфигурирования. Для упрощения я оставляю всё по умолчанию кроме секции Administrative. Нажмите на кнопку Administrative и введите IP адрес или полное доменное имя контроллера домена в секции Prefer this domain server. Также тут можно указать какие доменные группы будут иметь полномочия администратора в Mac.
Теперь нажмите кнопку Bind и введите данные доменного пользователя, который имеет право на ввод компьютеров в домен, затем нажмите OK.
Вы будете видеть прогресс ввода в домен, состоящий из 5 шагов.
В результате компьютер введен в домен и кнопка Bind переименуется в Unbind.
Нажмите OK и затем Apply в окне Directory Utility. Закройте Directory Utility. Вы должны вернутся в окно Accounts. Обратите внимание на зеленую точку и доменное имя в разделе Network account server.
Вход под учетной записью домена на ваш Mac
В настоящий момент вы уже можете входить в Mac под учетными записями домена Windows. В окне выбора аккаунта выберите Other.
Теперь введите данные учетной записи домена.
В результате вы авторизуетесь на компьютер. И что делать дальше? Возможен ли доступ к сетевым ресурсам?
Попробуем подключить сетевую шару. Из Finder нажмите Go а затем Connect to Server. Для использования SMB применяем следующий синтаксис :smb://servername/share и затем нажимаем Connect.
Обратите внимание что вам не нужно вводить данные для авторизации на сервере.
На этом все, это было не очень то сложно, не так ли?
Сергей Журавель
Источник: IT Blog
If you want to share files or peripheral devices between Windows and Mac computers, you can bind your Mac to a Windows domain. This is not a difficult procedure if you approach it systematically.
💡 Essentially, you need to configure your system so Active Directory accepts the IP address of your Mac. We have put together this guide to help you get this done with a minimum of stress.
What Do You Mean by a Windows Domain or an Active Directory Domain?
Windows Domain
Windows domains generally consist of a large number of PCs that are connected to the same local network. The domain controllers, made up of one or more servers, are responsible for controlling the authentication that allows access to the other computers on the same domain.
Even when the domain controllers are connected through a local network, they can also communicate with the domain controller via a VPN or an Internet connection. This makes Windows domains a great solution for large networks such as those found in schools, offices, or businesses.
The domain controllers handle all user accounts and passwords. The local user account is not used when logging into the domain. This feature allows you to log into any computer connected to the domain with the same credentials.
Active Directory Domain
An Active Directory domain is both a logical and a physical construct. It consists of either a single user, group of users, or a hardware component such as a printer or a computer within the Microsoft Active Directory Network.
The logical form of an Active Directory domain is based on a tree-like hierarchy. A group of Active Directory trees is known as a forest. This is the highest level of the hierarchy, with each Active Directory tree potentially having multiple branches that consist of child domains. Each child can have additional branches resulting in a complex hierarchical network topology.
Active Directory domains can be seen in the processes and services area of the Windows Server OS. The server running the Active Directory domain is known as the domain controller and its role is to control user access to the computers that comprise the domain.
The benefits of an Active Directory environment is that a single login enables an administrator to access all domain resources like servers, storage volumes, printers, and computer accounts.
When you connect a Mac to a Windows domain, the machine binds to an Active Directory domain. The Windows computers you want to access from the Mac also need to join the given domain.
Requirements for Binding a Mac to an Active Directory Domain
Some prerequisites need to be addressed before you can join a Mac to an Active Directory.
- The hardware selected must be compatible with Windows Server 2000-2012.
- Active Directory Domain Services (ADDS) needs to be configured on all computers connected to the domain to manage authentication.
- The Mac that is to be connected needs to be running Mac OS X 10.5 or a newer version of the operating system.
- A Domain Administrator-level account is required to join the Mac to Active Directory. This account can also be used to create other user accounts or modify permissions.
Steps Required to Join a Mac to a Windows Domain
Conclusion
Connecting a Mac to a Windows domain is not a trivial task and you may come across several issues such as joining the Mac to the local domain. As long as you follow the steps outlined above, you should be able to connect your Mac to the Windows domain.
Once that is accomplished, you can access files on your Windows machine from the Mac without the need to authenticate every time you log in.
on
December 6, 2013, 11:05 AM PST
Integrate Macs into a Windows Active Directory domain
Jesus Vigo takes a look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment.
Market share in the enterprise is largely dominated by Microsoft — specifically, the reliance on the Windows Server family line to manage network
resources, align desktops with corporate
security policies, and maintain the flow of production amongst all the employees at
a given
organization. The process of administering all these systems — desktops and
servers alike — are relatively straight-forward in a homogeneous environment, but
what happens when OS X is
introduced to the enterprise in the form of a sleek, shiny new MacBook Air or
iMac?
Apple hasn’t made great inroads in this segment. However, comparing its
paltry 7%
market share in the desktop market to its almost 93% in the mobile device
market, there’s only a matter of time before more companies begin to choose Apple
products for its mobile and desktop
computing duties in lieu of the generic, stalwart PCs they’ve been cycling in
and out every three to five years. So, I ask you again, what do you do when your
organization decides to upgrade to iMacs? How do you manage those
nodes in addition to the existing Windows domain that’s already established?
Integrating Macs will initially be easier than you think! Even
with little to no prior OS X
knowledge, Macs will bind* to the domain with relative ease, since
directory services — the
underlying “file structure” of the network resources — are
standards-based and operate more or less about the same across operating systems.
Note*: Binding is the term associated with joining OS X to a
domain. It’s virtually identical to joining a Windows PC to a domain, complete
with checking domain credentials to verify the end user has the necessary rights
to add the
computer to the domain.
Minimum requirements:
- Server
hardware running Windows Server 2000-2012 Standard - Active
Directory Domain Services (ADDS) setup and configured - Domain
Administrator-level account - Apple
desktop or laptop running OS X 10.5+ - Switched
network
I. Bind OS X to a Windows domain (10.5-10.9)
Follow these steps to bind OS X to a Windows domain:
- On
the Mac, go to System Preferences, and click on the padlock to authenticate as
an Administrator (Figure A)
Figure A
- Enter
your admin-level credentials to authenticate when prompted - Next,
select Login Options, and then click the Join… button next to Network
Account Server (Figure B)
Figure B - In the Server drop-down menu, enter the fully-qualified
domain name (ex. domain.com) of the Windows domain
you wish to bind to the Mac, and click OK (Figure C)
Figure C - Next, you’ll need to enter your domain-level credentials in order to
proceed with the binding process (make sure that the computer name is unique and
formatted properly, because this is the name that will be created** for the
computer object in ADDS), and then click OK to process
the enrollment (Figure D)
Figure D - Upon
successful binding, the window will close and the Users & Groups preference
will remain open, but a
small green dot (along with the domain name) will appear next to Network Account Server to indicate connectivity to the
domain (Figure E)
Figure E
Note**: By default, Windows will automatically create the
computer object account in ADDS if one does not already exist. However, domain
or enterprise admins may (and often do) restrict this as a security feature to
curb random nodes from being joined to the domain. Additionally, Organizational Units (OU) may be created as a form to
compartmentalize ADDS objects by one or more classifications or departments.
Many enterprises will utilize OUs as a means to organize objects and accounts separately from the items created by default when a domain controller
is promoted and ADDS is created.
II. Modify Directory Services settings
Your next steps will be to modify the Directory Services settings. Here’s how:
- To
ensure the highest level of compatibility between OS X and the network
resources on the Windows network, certain changes must be made to the Active
Directory service with the Directory Utility — so, go to System Preferences | Users
& Groups, and click Login Options - Click
the Edit… button next to Network Account Server, then click Open
Directory
Utility… (Figure F)
Figure F - The Directory
Utility lists various services associated with network account directories (Figure G), and it allows you to modify settings as needed
Figure G - Double-click Active Directory to edit its configuration (Figure H)
Figure H - Click on
the arrow to unhide the Advanced Options, select User Experience, and check the following boxes:
a. Check Force local home directory on startup disk (Figure I), which will force the creation of a profile on the local HDD for all
users that
logon to the node (if you plan to serve profiles remotely from a server, leave
this
setting unchecked)
Figure I
b. Check Use UNC path from Active Directory to derive network home location (Figure J), and select the network protocol to be used: smb: (Note: This setting will switch the default protocol for network resource paths from
Apple’s afp: to the Windows’ friendly smb: — also known as Common Internet File System, or CIFS).
Figure J - Next,
select Mappings (Figure K), which pertains to specifying unique GUIDs for certain attributes used
within ADDS to identify a computer object account. OS X will generate these at
random by default when bound to the domain; however, you may wish to use a
particular set as generated by your enterprise admin.
Figure K - Finally,
select Administrative (Figure L), and configure the following three optional settings based on the ADDS
schema setup of the organization:
Figure L
a. Checking Prefer this domain server will perform two-way communication to/from the domain controller of your choosing
b. Checking Allow administration by will allow nodes to be managed by the administrator(s) who’s responsible for
overseeing systems, based on security group membership or user account(s)
c. Checking Allow authentication from any domain in the forest may or may not be necessary to ensure that the OS X computers
authenticate to the proper domain, as configured by the domain/enterprise
admin.
There you have it — a basic look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment. I also threw in a few extra tips to help make a smooth transition and minimize errors.
One additional tip (and common best practice) is to host an Open Directory domain along with the Active Directory service. Multiple directory services will add to the burden of managing two distinct operating systems, but you’ll be surprised to find out that it may actually make administration of these systems easier! This dual-directory environment will allow Windows PCs to be maintained and managed solely through the Active Directory side, while Open Directory — when setup with OS X Server — can be used to maintain and manage the Apple computers.
Giving the Apple hardware the second directory binding to ADDS will allow them to seamlessly communicate with the Windows desktops and share file and printer resources from Windows servers and nodes, and vice-versa. This eliminates the need for costly 3rd-party software plugins. The Macs will receive much of their management directly from the domain controller hosting the Active Directory service, but it must “translate” the processes into commands that OS X will understand. Even then, it does introduce another variable when troubleshooting. And let’s be honest, the newly released OS X Server 3.0, which is only $20 in the Mac App Store, is a full-fledged server OS that’s as simplified and easy to use as OS X.
III. Additional resources
Here are some additional resources for more information:
- OS X Server: How to Setup OS X Server
- OS X Server: How to Setup Open Directory
- Apple Support KB Article – Active Directory Naming Considerations when Binding
- Apple Training PDF – Best Practices for Integrating OS X with Active Directory
-
Apple
-
Data Centers
This tutorial explains how to bind or join a Mac OS X Mac (OS X 10.5 or OS X 10.6) computer to an Windows Server 2008 Active Directory domain.
Contents
- Mac OS X network configuration
- Add a Mac OS X computer to Active Directory
- For Further Study
Given Microsoft’s historically contentious relationship with Apple, it never ceases to amaze me at the relatively high degree of interoperability that does exist between a Mac OS X workstation and an Active Directory Domain Services (AD DS) domain.
For instance, a domain-joined Mac workstation allows users to enjoy the following privileges:
- Kerberos authentication and delegation, including Single Sign-On to local, AD, and Open Directory resources
- AD password policy enforcement
- Support for AD user and group accounts
- Windows home folders
Of course, Mac computers do not have a Windows Registry and so therefore cannot be managed by Group Policy (the password policy issue previously mentioned is a notable exception). If you desire an even tighter coupling between Mac workstations and Active Directory resources, then check out nifty third-party solutions like Centrify.
In this tutorial I will show you how to bind a Mac computer to a Windows Server 2008 R2 Active Directory domain. Specifically, I will assume that your Macs run either Mac OS X 10.5 Leopard or Mac OS X 10.6 Snow Leopard. Let’s get to work!
Mac OS X network configuration
Before attempting a domain join from a Mac computer, we need to make sure that we have our server- and client-side networking correctly configured. This means, in a nutshell, that our Macs have:
- An IP address and subnet mask
- A DNS hostname
- A connection to a Windows DNS server
You can specify a DNS hostname for your Mac either by using Terminal or by using the Sharing Preference Pane. Of course, a properly configured Windows Dynamic Host Configuration Protocol (DHCP) server will assign your Mac workstations a correct IP address, subnet mask, and preferred DNS server address.
Finally, and this should come as no surprise to Windows server administrators, you will need to perform the domain join either as a domain administrator, or as a user account that has been delegated the privilege to join workstations to the domain.
Add a Mac OS X computer to Active Directory
Without any further ado, let’s turn our attention to the specific steps required to accomplish our chosen task. The following procedure is essentially identical between Mac OS X Leopard and Mac OS X Snow Leopard systems; where there is a difference, I will note it.
1. Open the Directory Utility program. In Mac OS X 10.5 Leopard, run a Spotlight search for Directory and click Directory Utility.
NOTE: In Mac OS X Tiger and earlier, this utility is named Directory Access. Believe me, the renaming of Directory Access to Directory Utility in Leopard has caused many Mac administrators headaches!
The above single step is all that’s required to open Directory Utility on Leopard. Unfortunately, in Mac OS X 10.6 Snow Leopard, the same procedure is a little more cumbersome (the pane is not searchable via Spotlight, for instance).
To open Directory Utility on Snow Leopard, open System Preferences and then click Accounts from the System row.
In the Accounts prefpane, click Login Options. Then, next to Network Account Server:, click Edit….
2. Okay, now we are on the same page regardless of our recent version of Mac OS X. In Directory Utility, navigate to the Services tab. Next, select Enable for the Active Directory plug-in. Then click the Pencil icon.
3. At this point we really get down to business. At the very least, the two pieces of information that are required in order to join a Mac workstation to Active Directory are:
- Active Directory Domain: Use the DNS name of the domain, not the NetBIOS short name
- Computer ID: This is the DNS hostname of the workstation
Before you click Bind, let’s click the Show Advanced Options disclosure triangle to review some of the advanced binding options.
4. The most important choice in the User Experience panel is deciding whether or not you need to create a mobile account at the user’s first domain login.
In my experience, mobile accounts are necessary only when you manage Mac OS X laptop computers and need your users to be able to log in from work and from off-campus locations.
5. The Mappings panel enables us to optionally bind three key UNIX (and, by extension, Mac OS X) attributes to associated Active Directory schema attributes.
6. Finally, the Administrative panel allows us to specify a preferred Active Directory domain controller. Also, and this is important in most implementations, we can assign the Active Directory global groups that are allowed administrative access to the Mac workstation.
7. When you click Bind in Directory Utility you are prompted for Active Directory credentials with privilege to add computers to the domain. Verify also the location in AD where you want the Mac computer created. In the following screen capture, we are placing the host Macbox in the default Computers container in AD.
Verification and Login
1. You can verify that the Mac is successfully bound to the AD domain by reviewing the Directory Servers tab in Directory Utility. The window shows both graphically, by virtue of the colored circle icon, and in text the status of the binding.
2. Now it’s time to log in! At the Mac OS X login screen, simply select Other from the user list (this assumes that the computer is configured in this way; you can make these changes in the Accounts Preferences Pane).
Users can employ any of the standard username conventions supported by Active Directory. For instance, if the user Zoey wanted to log into the 4sysops.local AD domain, then she could use the following forms for her username:
zoey
4sysopszoey
zoey@4sysops.local
For Further Study
There is so much more to learn in the realm of Mac-Windows integration. Expect several more blog posts on this subject in the future. In the meantime, please have fun studying the following links to related resources:
- Apple White Paper: Best Practices: Integrating Mac OS X with Active Directory
- MacWindows.com
- Apple Seminar on Mac OS X-AD Integration
Joining a Mac to Active Directory has continued to get more and more difficult over the years. High Sierra and Mojave now require a Active Directory functional level of Windows Server 2008 or later and are still pretty tricky to get to join it.
When I started researching the topic I saw a whole lot of advice to install third party software to join a Mac to Active Directory. In most corporate environments installing third party software is frowned upon due to licensing and security considerations so I was determined to get the native Mac OS X tools to work.
This guide will walk you through the basic steps to join Active Directory without having to resort to using third party software.
Configure DNS Settings
One of the big roadblocks to joining Active Directory is DNS settings. In many networks DHCP won’t populate everything you need. Windows can get away with this but when we are joining our Mac we need to make sure everything is populated.
The easiest way to get everything you need is to issue a ipconfig /all from the command prompt of a Windows machine already joined:
C:UsersJChambers>ipconfig /allWindows IP Configuration
Host Name . . . . . . . . . . . . : TESTMACHINE
Primary Dns Suffix . . . . . . . : example.test.domain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : example.test.domain.com
test.domain.org
test3.test.comEthernet adapter Ethernet:
Connection-specific DNS Suffix . : example.test.domain.com
Description . . . . . . . . . . . : Intel(R) Ethernet Connection I217
Physical Address. . . . . . . . . : FF-FC-FF-3C-C1-F4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 211.211.77.112(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Lease Obtained. . . . . . . . . . : Thursday, May 2, 2019 11:38:56 AM
Lease Expires . . . . . . . . . . : Thursday, May 2, 2019 7:40:38 PM
Default Gateway . . . . . . . . . : 211.211.76.1
DHCP Server . . . . . . . . . . . : 211.211.76.19
DNS Servers . . . . . . . . . . . : 172.1.2.233
172.1.2.231
172.1.26.7
NetBIOS over Tcpip. . . . . . . . : Enabled
I have bolded the important things you need to verify.
You want to make sure that all of the DNS Suffix Search List entries are listed in the “Search Domains” box pictured below:
Next verify that all of the DNS servers coming up on your Windows machine are also put into the Mac DNS servers list. On my machine I got all of the DNS servers but only one of the search domains. Make sure it matches your already joined machine!
Configure Network “Sharing” Name
Go to the Settings app on your Mac again and choose “Sharing”.
This part is easy. Set this to the computer name you are going to join the domain with. Usually the existing one will be something like “admin’s iMac”.
Prestaging AD Computer Account
Next open up Active Directory and create a new “Computer” account.
I strongly recommend keeping your Mac name to 15 characters or less. This is demonstrated in the screenshot below. If that isn’t possible then use the pre-Windows 2000 computer name when you join Active Directory or you will get an error (see Troubleshooting).
Press OK to create the Active Directory account. Now switch back to the Mac and let’s perform the bind.
Next go back to the Settings app and choose “Users and Groups”.
From here we are going to select “Login Options” in the bottom left hand of the screen. You will now see a “Network Account Server” with a Join button. Click join and fill everything out as follows:
Use your fully qualified domain name (FQDN). This is usually the same as your “Primary DNS Suffix” we got from our Windows machine. This allows us to get around any DNS configuration shenanigans.
For the Active Directory settings put in the pre-Windows 2000 computer name from the above step. If you chose a name of 15 characters or less they will both be the same.
For your AD username don’t try to use anything like DOMAINuser or user@domain. We have already fully qualified our server in the server field so this is not necessary and will cause problems. Enter it as in the example above.
Now press OK and with any luck you will be met with a screen that looks like this:
Troubleshooting
Plugin Error 10001
This is the most common error you will get when you try to join High Sierra or Mojave to Active Directory. There are a few reasons it can come up.
Apple states that your Active Directory needs to be at a functional level of Windows Server 2008 to work unless you enable “weak encryption” RC4 algorithm support in your forest. This would be a terrible idea as RC4 was broken many years ago and is a joke to crack.
However even with a functional level of 2008 I have yet to see it work regardless without prestaging the computer in Active Directory first and then attempting to join. Prestaging has fixed this error on all of the Macs I have joined to domains.
There are a few other requirements from Apple on the list that could be contributing but likely with prestaging you will be able to bind even without things like extended schema support, etc.
Plugin Error 5103
This error is frequently encountered if the name of your PC is too long. You should join the domain with the “pre-Windows 2000” computer name or even better choose a name for the Mac that is 15 characters or less.
My domain ends with .local
This is bad. Very bad. This has been a long standing issue with joining Macs to Active Directory as .local is what Apple’s own Bonjour uses by default. It used to be a matter of simply changing or disabling Bonjour but that has no longer proven effective.
Using .local has been against best practices for many years but not everyone has migrated their domains yet. If you are stuck in this situation and telling your sysadmins to get a grip and migrate their domain is not an option then you may have to consider a third party AD stack. Here’s a lengthy spiceworks discussion on this topic.
If you have been able to find a workaround for this issue in Mojave or High Sierra definitely drop a comment below so we can share it but I was not able to find an instance of anyone getting around this in the newer versions of OS X without going third party.
Conclusion
As long as you aren’t in a .local domain the native built-in tools should prove perfectly sufficient to join Mac OS X High Sierra and Mojave provided we use prestaging.
That being said I can only speak for the environments I have worked in. If you follow this guide and encounter additional problems definitely leave a comment below so we can get that information out there!
You should also check out Apple’s Active Directory integration guide as they cover some requirements that you may have ran into that I didn’t.
Если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей
Еще совсем недавно использование компьютера Apple Macintosh в среде Windows предполагало массу усилий для интеграции программного обеспечения и изменения схемы Active Direcory (AD). Однако в последние годы процесс интеграции стал значительно проще, и фактически необходимые механизмы предоставляются по умолчанию. Это изменение произошло не потому, что Microsoft и Apple «раскурили трубку мира» и стали работать вместе, а в результате того, что обе компании следуют стандартам RFC 2703 и LDAP. В результате, если вы пользуетесь системой Windows Server 2003 R2 и выше или системой Apple OS X Panther (версии 10.3) и выше и перед вами стоит задача провести проверку подлинности клиентов Mac в службе AD, вам не требуется никакое специальное программное обеспечение. Достаточно просто указать путь к домашней папке, используя старый формат «в стиле NT», в свойствах пользовательского объекта AD, чтобы содержимое сетевого диска появилось на рабочем столе. Если применяется мобильная учетная запись (которую в Microsoft называют «кэшируемые учетные данные и профиль»), то пользователи могут заходить в систему при отсутствии подключения к домену — опять же без какого-либо дополнительного программного обеспечения. Но если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей.
Три из них — Centrify’s DirectControl, Likewise Software’s Likewise Enterprise и Quest Software’s Authentication Services — интегрируют компьютеры Mac и компьютеры с системами UNIX и Linux в «мир Windows». Четвертый продукт, Thursby’s ADmitMac, интегрирует только Mac.
Тестирование продуктов
Я протестировал каждый продукт в отдельной среде Windows Server 2008 AD, расположенной на сервере VMware ESXi. Пакеты DirectControl и Authentication Services устанавливал прямо на котроллер домена (DC). Следуя рекомендациям в сопроводительных документах, я установил пакет Likewise Enterprise на отдельный сервер. Система ADmitMac не требует установки серверного программного обеспечения.
В качестве клиентской системы я использовал ноутбук MacBook Pro с операционной системой X Snow Leopard (версия 10.6.7). После установки и настройки каждого продукта я проверял их возможности. Процесс тестирования включал:
- установку программного обеспечения;
- добавление клиентской системы Mac к домену;
- удаление клиентской системы Mac из домена;
- авторизацию в домене;
- перенос пользователя;
- использование консоли управления (если есть возможность применения);
- изменения настроек с помощью объектов Group Policy Object (GPO);
- добавление глобальных групп в локальные группы;
- установку программного обеспечения на клиентскую систему Mac;
- использование кэшированных учетных данных для входа в систему, при отсутствии подключения к домену;
- отключение автоматического входа в систему и сообщений входа в систему с помощью объектов GPO.
DirectControl
Centrify DirectControl
ЗА: поддержка клиентов Mac, UNIX и Linux.
ПРОТИВ: «зонная» концепция может быть непонятной и вряд ли будет полезна малым компаниям.
ОЦЕНКА: 4 из 5.
ЦЕНА: от 60 долл. за рабочую станцию (возможны скидки при оптовых покупках).
РЕКОМЕНДАЦИЯ: если ваши клиенты UNIX и Linux используют разные методы для проверки подлинности и вам необходимо оставить нетронутыми идентификаторы UNIX ID и идентификаторы группы, технология зон и привлекательная цена могут вывести эту программу в верхнюю строчку вашего списка.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Centrify, 408-542-7500, www.centrify.com
Установка пакета DirectControl — дело нетрудное. Просто дважды щелкните мышью по файлу CentrifyDC_Console-4.4.3-win32 на контроллере домена и следуйте подсказкам. Для установки не требуется наличия базы данных или выполнения других предварительных условий, за исключением одного: опция. NET Publisher evidence verification должна быть отключена. Сделать это просто — программа установки справится со всем сама. Куда трудней было узнать, что же делает опция. NET Publisher evidence verification. После долгих поисков в Интернете я наконец обратился за разъяснениями к сотрудникам компании Centrify. Как мне удалось выяснить, отключение механизма publisher evidence verification просто ускоряет запуск консольных приложений, разрешая им запускаться без проведения длительного процесса проверки, который может вызывать проблемы в изолированных сетях, например в исследовательских лабораториях, у которых нет соединения с Интернетом.
После завершения процесса установки запустите консоль DirectControl. При первом запуске программы мастер установки поможет вам пройти процесс настройки зоны, используемой по умолчанию. Зоны помогают группировать по коллекциям компьютеры с системами UNIX и Linux, а также компьютеры Mac, и, кроме того, идентифицировать созданные коллекции. Группируя клиентские машины таким образом, вы легко сможете применить для них политики безопасности или политики настроек. Зоны хранятся в каталоге AD в контейнере domain.com/Program Data/Centrify/Zones.
Мастер установки также помогает установить необходимые лицензии, которые хранятся в контейнере domain.com/Program Data/Centrify/Licenses. Ни у одной программы, для которой я готовил обзор, я никогда не видел, чтобы лицензии хранились в каталоге AD. Это уникальное решение.
Следующим шагом после установки серверной части системы будет инсталляция клиентской программы на компьютер Mac с помощью пакета, соответствующего операционной системе. Для системы Mac OS X Snow Leopard используйте файл CentrifyDC-4.4.3-mac10.6.dmg. Двойной щелчок по этому файлу открывает меню, в котором есть функция Prepare, используемая для проверки наличия корректного соединения между службами DirectControl и AD и их готовности к интеграции. После появления запроса введите имя домена, и в течение нескольких секунд будет выполнено 20 тестов. Эти тесты проверяют, достаточно ли места на диске, правильно ли работает DNS, содержит ли сайт контроллер домена и многое другое. В моем случае система не прошла тест, который проверяет синхронность часов котроллера домена и клиентской системы. После того как я решил проблему, все было готово к установке клиентской программы.
Сама установка занимает всего несколько секунд, после чего система DirectControl выдает сообщение о присоединении к домену. Мне понравилась эта функция, так как она устраняет любые сомнения относительно необходимости добавления машины в домен. В окне настроек можно самостоятельно задать домашнюю папку пользователя (/home/username), идентификатор UNIX ID и идентификатор группы либо вы можете позволить механизму DirectControl’s Auto Zone настроить данные параметры автоматически. Точная настройка идентификатора UNIX ID и идентификатора группы важна, если вы интегрируете в каталог AD машину с установленной системой UNIX или Linux, но так как я интегрировал машину с системой Mac, я выбрал режим Auto Zone. Он сработал отлично.
Вести журнал непосредственно в окне настроек весьма удобно. Я случайно допустил ошибку в имени домена, и запись в журнале очень помогла в решении этой проблемы. После присоединения компьютера к домену рекомендуется перезагрузка.
После перезагрузки машины MacBook Pro я смог войти в систему как пользователь домена. Мне не пришлось дописывать имя домена domainперед именем пользователя или добавлять его в конец (@domain). Так как я первый раз вошел в систему под этой учетной записью, появился запрос на изменение пароля. После того как я ввел новый пароль, процесс загрузки продолжился.
Кэширование учетных данных работает без предварительной настройки. Чтобы протестировать эту функцию, я отсоединил сетевой кабель, отключил сетевую карту AirPort и вышел из системы. Когда я попытался войти заново, для авторизации были использованы кэшированные учетные данные, и вскоре я снова видел перед собой рабочий стол.
Вернувшись к контроллеру домена, я обнаружил новую закладку Centrify Profile на страницах свойств объектов пользователей и компьютеров в оснастке Active Directory Users and Computers. На странице свойств компьютера эта закладка содержит информацию «только для чтения», такую как версия клиентского программного обеспечения, тип используемой зоны (в моем случае Auto Zone) и сведения о том, пользуется ли клиент лицензированными или нелицензированными функциями. На странице свойства пользователя эта закладка содержит настраиваемую информацию. Хотя в этом нет необходимости, при интеграции компьютеров Mac в домен AD вы можете настраивать некоторые параметры систем UNIX и Linux, такие как идентификатор UNIX ID, имя пользователя, оболочка (/bin/bash), домашняя папка и основная группа.
Система DirectControl интегрирована в консоль Group Policy Management Console (GPMC). Как видно на экране 1, вы легко можете управлять клиентами Mac. Например, я отключил автоматический вход в систему. Как и для машин с системой Windows, для компьютера с системой OS X можно настроить автоматический вход в систему. Однако, в отличие от машин с системой Windows, эта функция не отключается в тот момент, когда компьютер присоединяется к домену. Если пользователь знает локальный пароль администратора, он может настроить машину таким образом, чтобы та загружалась без проверки пароля. Я отключил эту опцию всего за несколько кликов.
 |
| Экран 1. Интеграция DirectControl с консолью GPMC |
Система DirectControl предоставляет удобную утилиту для Mac под названием DirectControl Widget. Она показывает информацию о статусе служб AD, Kerberos, об учетных записях AD и членстве в группах AD. Чтобы установить это мини-приложение на компьютер Mac, щелкните по ссылке Go, выберите опцию iDisk, нажмите кнопку Other User’s Public Folder, войдите в раздел Centrify и дважды щелкните по ссылке DirectControl Widget.
Likewise Enterprise
Likewise Software Likewise Enterprise
ЗА: поддержка клиентов Mac, UNIX и Linux.
ПРОТИВ: концепция «ячеек» может быть непонятной и вряд ли будет полезна малым компаниям; выбор между режимами Non-Schema Mode и Schema Mode во время процесса установки сложен для восприятия неподготовленным пользователем.
ОЦЕНКА: 4 из 5.
ЦЕНА: 69 долл. за рабочую станцию (оптовые скидки при покупке 50 и более лицензий).
РЕКОМЕНДАЦИЯ: если ваши UNIX и Linux клиенты используют разные методы для проверки подлинности и вам необходимо оставить нетронутыми идентификаторы UNIX ID и идентификаторы группы, механизмы «ячеек» системы Likewise Enterprise могут вам пригодиться.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Likewise Software, 425-378-7887 или 800-378-1330, www.likewise.com
Руководство по установке ясно дает понять, что не следует устанавливать пакет Likewise Enterprise непосредственно на контроллер домена. Вместо этого рекомендуется устанавливать его на отдельный сервер, использующий операционную систему Windows Server 2008. Как вариант можно установить его на компьютер с системой Windows 7, Windows Vista или Windows XP. Пакет Likewise Enterprise расширяет возможности встроенных в службу AD инструментов администратора (то есть консоли GPMC и оснастки Active Directory Users and Computers), так что эти инструменты уже должны присутствовать на компьютере, на который устанавливается Likewise Enterprise. Также необходима консоль Microsoft Management Console (MMC) 3.0. Из-за того, что консоль MMC 3.0 несовместима с системой Windows 2000, нельзя устанавливать пакет Likewise Enterprise на сервер Windows 2000 Server.
После окончания установки программы Likewise Enterprise мастер поможет вам пройти процесс настройки, включающий выбор режима и настройку ячейки в AD. Мастер немного сбил меня с толку, и мне пришлось перечитывать руководство, чтобы понять, что пытается сделать механизм установки.
Выбор режима. И лес, и домен работали в режиме функционирования Server 2008, но мастер все равно советовал мне использовать Non-Schema Mode — режим, который поддерживает службу каталогов Windows 2000 AD. Если вы используете Windows 2000 AD, вам придется установить пакет Likewise Enterprise на компьютер с системой Windows XP или более поздней версии Windows и расширить схему. Кроме того, инструкции в мастере неполные, но я в них разобрался. Чтобы задействовать Schema Mode — режим, в котором система Likewise Enterprise использует преимущества стандарта RFC 2307, — придется выйти из мастера и запустить отдельный мастер Schema Mode, который можно найти в разделе Console->Enterprise Console->Status. Даже с учетом того, что и лес, и домен работали в режиме Server 2008, мастер утверждал, что определенные параметры (например, uid, uidNumber, gidNumber) индексированы и присутствуют в глобальном каталоге AD.
Выбор режима (Schema Mode или Non-schema Mode) зависит от того, какую операционную систему использует домен. Если применяется система Windows 2003 R2 или более поздняя версия, то никаких изменений схемы в домене делать не нужно и следует включить режим Schema Mode. Если домен работает на более ранней версии платформы Windows, есть два варианта. Можно использовать режим Non-Schema Mode и хранить данные пользователя или группы в многозначных ключевых словах и атрибутах описания объектов учетных записей пользователей и компьютеров. Или, если вы чувствуете себя уверенно, позвольте системе Likewise Enterprise расширить схему за вас.
Настройка ячейки. Аналогично зонам в системе DirectControl, ячейки в системе Likewise Enterprise позволяют логически группировать машины, которые не используют Windows, а также управлять их параметрами (например, идентификаторами UNIX ID и идентификаторами группы). Как и зоны, ячейки логически связаны с подразделениями. Используя эту структуру, можно создать ячейку для каждого отдела или периметра безопасности в компании и назначить пользователя одной или нескольким ячейкам с помощью закладки Likewise Settings в оснастке Active Directory Users and Computers.
После установки и настройки серверного программного обеспечения можно переходить к установке клиентской программы на каждый компьютер с системой Mac. Можно развернуть ее вручную с помощью загрузочного диска или применить механизм автоматической установки, использующий протокол Secure Shell (SSH). Компания Apple дала протоколу SSH имя Remote Login, обратиться к нему можно через меню System Preferences, выбрав пункт Sharing. Руководство в формате PDF содержит отличный пошаговый разбор, как устанавливать программное обеспечение клиента с помощью SSH.
Далее необходимо присоединить компьютер к домену, используя инструмент Likewise — Active Directory, который находится в разделе Directory Utility. Как и встроенная служба Active Directory Connector в системе OS X, инструмент Likewise — Active Directory позволяет выбрать контейнер или подразделение, в котором будет создан объект учетной записи компьютера.
Система Likewise Enterprise тесно интегрирована с механизмами Group Policy. На экране 2 видно, как просто настроить права локального администратора пользователю домена или группе.
|
|
| Экран 2. Интеграция Likewise Enterprise с консолью GPMC |
Если инфраструктура позволяет осуществлять проверку подлинности компьютеров Mac и вы хотите перенести все настройки в базу AD, система Likewise Enterprise может импортировать пароли и файлы групп систем Mac, UNIX и Linux с помощью встроенных инструментов переноса. Эти параметры автоматически сопоставляются пользователям и группам в AD.
Если в вашем окружении используется локальная проверка подлинности, а профили пользователей созданы в системе OS X, вероятно, вы захотите перенести их в новые учетные записи с проверкой подлинности в домене. Например, один ваш сотрудник пользовался ноутбуком MacBook Pro целый год, а теперь вы хотите, чтобы он проходил аутентификацию в домене. Как и в случае с системой Windows, машина с системой OS X создаст новый профиль при первом входе пользователя в систему. Инструмент Migrate User Profile перенесет старый локальный профиль в новый доменный профиль. Когда этот сотрудник войдет в домен со своей новой учетной записью, он увидит тот же рабочий стол, к которому привык.
Authentication Services
Quest Software Authentication Services
ЗА: автоматическая установка клиента и присоединение к домену через графический интерфейс; поддержка клиентов Mac, UNIX и Linux.
ПРОТИВ: цена.
ОЦЕНКА: 4,5 из 5.
ЦЕНА: 37 долл. за пользователя и 65 долл. за компьютер.
РЕКОМЕНДАЦИЯ: если вы обслуживаете большое сообщество систем Mac, UNIX и Linux, то пакет Authentication Services — лучший выбор. Вы можете устанавливать программное обеспечение со своего рабочего места, и вам не придется разбираться со сложными концепциями зон и ячеек.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, 800-306-9329, www.quest.com
Для установки решения Authentication Services требуется, чтобы в системе были установлены пакеты Microsoft.NET Framework 3.5 SP1 и Windows PowerShell. Механизм установки Authentication Services установит (и даже поможет скачать) все необходимые компоненты. Также в процессе установки будет проведена проверка, поддерживает ли схема AD данный продукт. Как и в других обсуждаемых здесь программах, расширение схемы не требуется, если вы используете систему Windows 2003 R2 или более поздние версии.
В отличие от пакетов DirectControl и Likewise Enterprise, программа Authentication Services не использует зоны или ячейки, поэтому продукт очень прост в настройке. Мастер Add and Join Host поможет пройти процесс установки, который включает в себя следующее.
- Добавление и профилирование хостов (клиентов). Сервер, на который установлена служба Authentication Services, должен иметь разрешения имен для клиентов с системой Mac. Клиент должен динамически добавлять себя в базу DNS, в качестве машины с системой Windows 2000 или более поздней версией. Однако у меня получились смешанные результаты. Если вы не можете получить имя хоста в системе OS X, то убедитесь, что в базе DNS есть запись типа A для клиента.
- Проверка клиентов на готовность присоединиться к домену. Проверка AD Readiness позволяет удостовериться в том, что клиент готов присоединиться к домену. В моем случае я получил сообщение об ошибке, в котором было сказано, что «отклонение по времени» (то есть разница между временем котроллера домена и временем клиента) настолько велико, что клиент не может присоединиться к домену. Я отметил, что сообщение об ошибке было ясным и коротким, в отличие от службы ActiveDirectory Connector, которая выдает зашифрованные сообщения.
- Установка клиентского программного обеспечения. Когда я попытался установить клиентскую программу, в полученном сообщении об ошибке было указано, что служба Authentication Services не может найти версию клиента для системы Mac OS X 10.6. Я проверил предложенный путь и убедился, что файл клиентской программы (VAS-4.0.1.52.dmg) отсутствует. После того как я скачал файл VAS-4.0.1.52.dmg и скопировал его в исходную папку, установка завершилась без каких-либо проблем.
- Присоединение клиентов к домену AD. Для присоединения клиента к домену требуется пароль учетной записи root или пароль администратора.
Мне действительно понравился мастер Add and Join Host. Вы можете добавлять клиент к домену не выходя из-за стола, главное, чтобы на компьютерах с системой Mac был запущен протокол SSH.
После того как клиент будет добавлен и присоединен к домену, вам вряд ли пригодятся специальные инструменты, входящие в состав Authentication Services. Основное достоинство данного продукта заключается в наборе функций, которые он добавляет к консоли GPMC (экран 3). Добавление принтеров — лишь одна из множества функций, которыми можно управлять с помощью механизмов Group Policy.
|
|
| Экран 3. Интеграция Authentication Services с консолью GPMC |
Для входа в домен с машины, которая использует систему, отличную от Windows, для учетной записи пользователя AD должна быть выбрана опция UNIX-enabled в закладке Quest на странице параметров объекта учетной записи в оснастке Active Directory Users and Computers. В результате будут созданы необходимые идентификаторы UNIX ID и идентификаторы групп.
В целом я считаю продукт компании Quest легким в установке и использовании. Если вы работаете с набором машин, на которых установлены различные версии клиентских систем UNIX, Linux и Mac, то поместите систему Quest на вершину «списка кандидатов».
AdmitMac
Thursby Software ADmitMac
ЗА: не нужно устанавливать серверное программное обеспечение на серверы центра обработки данных.
ПРОТИВ: только для клиентов Mac.
ОЦЕНКА: 5 из 5.
ЦЕНА: 84 долл. за компьютер на 250 мест, 60 долл. за компьютер на 500 мест (есть скидки).
РЕКОМЕНДАЦИЯ: если вы работаете только с клиентами Mac и не планируете включать в окружение машины с системами UNIX и Linux, то решение AdmitMac — однозначно ваш выбор. Надежная клиентская программа и отсутствие серверной части формируют лучшее решение для интеграции OS X в AD, которое я видел.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Thursby Software, 817-478-5070, www.thursby.com
Система AdmitMac имеет совершенно иную структуру, нежели остальные три продукта, поэтому я решил рассмотреть ее в последнюю очередь. Отличает этот продукт то, что он создан только для интеграции систем Mac в архитектуру AD. Другие продукты ориентированы на UNIX и Linux, а поддержка Mac является второстепенной. Пакет AdmitMac — это решение для систем Mac, ни больше ни меньше. Данный факт не делает его лучше или хуже остальных трех. Если вы интегрируете набор из систем UNIX, Linux и Mac в окружение Windows, то лучше воспользоваться одним из продуктов, рассмотренных выше. Если же вы интегрируете только клиенты с системой Mac, следует сначала взглянуть на систему AdmitMac, так как ее единственная задача состоит в том, чтобы клиенты Mac работали наравне с клиентами Windows.
В отличие от остальных продуктов, установка которых начинается с серверной части, в случае с системой AdmitMac сначала устанавливается клиентское программное обеспечение. После того как вы воспользуетесь загрузочным диском для установки программы AdmitMac, мастер Setup Assistant поможет провести настройку сетевого программного обеспечения службы AdmitMac. Первый экран несколько удивляет, так как на нем запрашивается информация о настройках WINS. Вы можете либо вручную внести данные, либо указать, что будете получать их с сервера DHCP.
Следующий экран определяет параметры политики безопасности (Security Policy Settings) — какой протокол система Mac будет использовать для входа в домен Windows: Kerberos, NTLMv2, NTLM или LAN Manager (LM). В настройках по умолчанию сначала используются протоколы NTLMv2 или Kerberos, затем NTLM и никогда не применяется LM. Вы можете настроить клиент AdmitMac на использование открытых паролей, но очевидно, что в этом случае в вашей сети должно быть другое средство для защиты данных аутентификации.
Следующий шаг — добавление клиента Mac к домену. После того как вы введете имя домена, система запросит у вас имя пользователя и пароль сетевого администратора. Затем вы можете указать, где именно в структуре AD будет создана учетная запись машины. По умолчанию выбирается контейнер Computers.
В конце необходимо выбирать тип домашней папки (сетевая, локальная или мобильная), в которой будут храниться настройки и документы пользователя. Вы также можете указать, сколько раз пользователь сможет войти в систему, не подключаясь к сети.
Вот и все, что требуется для добавления и присоединения Mac-клиента к домену. Но служба каталогов AdmitMac имеет больше функций. Как и другие продукты, система AdmitMac позволяет сопоставлять идентификаторы UNIX ID и идентификаторы группы с учетными записями AD, но это делается с помощью клиентской программы. Вы также можете ввести ограничения для подразделений. Например, если ввести имя Sales в настройках для подразделения Users, то только те пользовательские учетные записи, которые находятся в подразделении Sales, смогут входить в систему на данном компьютере.
Хотя система AdmitMac управляется с сервера, устанавливать программное обеспечение для этого не надо. Как показано на экране 4, для управления системой применяются файлы Group Policy с расширением. adm. Так как файлы не используют новый формат. admx, они хранятся в консоли Server 2008 GPMC. Однако это не отменяет того факта, что поддержка Group Policy предоставляется клиентам Mac без установки на сервер дополнительного программного обеспечения — добавляются только шаблоны. adm.
|
|
| Экран 4. Интеграция AdmitMac с консолью GPMC |
Чтобы добавить шаблоны, нужно запустить исполняемый файл (ThursbyADMInstaller.exe), который скопирует их с установочного диска на контроллер домена. Путь назначения по умолчанию — C:Windowsinf. Как только копирование будет завершено, вы сможете использовать шаблоны управления по аналогии с любыми другими шаблонами. Просто щелкните правой кнопкой мыши на ярлыке Administrative Templates, выберите пункт Add/Remove Templates в контекстном меню, нажмите кнопку Add и найдите файл шаблона AdmitMac.adm.
Выбор редактора
С помощью продуктов DirectControl, Likewise Enterprise, Authentication Services и ADmitMac можно интегрировать системы Mac в домен AD и управлять ими. Каждый продукт предоставляет легкий вход в домен, но то же самое делает встроенная в систему OS X служба Active Directory connector. Отличает эти продукты то, что они позволяют управлять клиентами Mac наравне с клиентами Windows.
Решения DirectControl и Likewise Enterprise похожи в работе. Обе программы позволяют логически группировать объекты, использующие систему, отличную от Windows.
Особенность пакета Quest в том, что он не требует дополнительных затрат. Вдобавок, можно использовать центральную консоль для установки клиентского программного обеспечения и добавления клиента к домену. Это очень важно, если необходимо интегрировать множество компьютеров Mac в каталог AD.
Система AdmitMac выходит победителем, так как данный обзор посвящен интеграционным решениям Mac-to-AD. С этой задачей данное решение справляется лучше конкурентов, с небольшим перевесом. Использование пакета AdmitMac не требует специального серверного программного обеспечения, а клиентская программа содержит множество дополнительных функций.
Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании