Haupt Sonstiges Mac-Unterstützung in einer Active Directory-Umgebung
Sonstiges

Mac-Unterstützung in einer Active Directory-Umgebung

NachrichtenTablets 13. März 2007 17:00 PDT

Anmerkung der Redaktion: Diese Geschichte wurde abgedruckt von Computerwelt . Für mehr Mac-Abdeckung besuchen Sie Macintosh Knowledge Center von Computerworld .

Die Unterstützung von Mac-Benutzern kann für Systemadministratoren in einer Windows Active Directory-Umgebung eine Herausforderung darstellen. Obwohl Apple Samba verwendet hat, um Macs das Durchsuchen und Zugreifen auf Freigaben und Drucker, die von Windows-Servern gehostet werden, mit dem Server Message Block (SMB)-Protokoll von Microsoft zu erleichtern, erfordert eine echte Active Directory-Integration mehr als nur den Zugriff auf Ressourcen.

Zum einen erfordert es Unterstützung für eine Umgebung, in der sich Benutzer auf ihre Active Directory-Konten für die Anmeldung bei Mac- und Windows-Computern verlassen können. Abhängig von Ihrer Umgebung möchten Sie möglicherweise auch Sicherheitsmaßnahmen implementieren, um die Aktionen von Benutzern einzuschränken, während sie bei einem Mac angemeldet sind, oder um die Benutzererfahrung zu verwalten, wie Sie es mit Gruppenrichtlinien für Windows-Computer tun würden.

Es gibt eine Reihe von Lösungen und Ansätzen, um Macs in Ihre Active Directory-Infrastruktur zu integrieren, und ich werde hier auf einige davon eingehen.

Apples Active Directory-Plug-in

So deaktivieren Sie die Stummschaltung für unbekannte Anrufer

Die kostengünstigste Lösung ist die Verwendung der integrierten Active Directory-Unterstützung von Apple. Ab Mac OS X Panther (10.3) hat Apple ein Plug-In für sein Dienstprogramm für den Verzeichniszugriff eingeführt, mit dem Sie die Authentifizierung für Active Directory konfigurieren können. Das Active Directory-Plug-in von Apple verwendet LDAP, um Active Directory abzufragen.

Das Active Directory-Plug-In funktioniert ziemlich gut. Es unterstützt Gesamtstrukturen mit mehreren Domänen, Domänencontroller-Failover und kann das Home-Verzeichnis eines Benutzers automatisch mounten. Es kann Benutzern auch Administratorzugriff auf eine Mac-Workstation basierend auf ihrer Active Directory-Gruppenmitgliedschaft gewähren. Sie können auch mobile Konten für tragbare Computer aktivieren und bei Bedarf einen bevorzugten Domänencontroller festlegen.

Die Verwendung des Plug-ins zum Verbinden eines Mac mit einer Active Directory-Domäne ist unkompliziert und ähnelt dem Verbinden eines Windows-Computers mit einer Domäne. Sie benötigen ein Active Directory-Konto mit der Berechtigung, den Computer der Domäne beizutreten. Wenn das Konto nicht im Voraus erstellt wurde, benötigen Sie die Berechtigung, es zu erstellen. Sie müssen auch den Suchpfad der verfügbaren Verzeichnisse konfigurieren, um Active Directory über die Registerkarte Authentifizierung im Verzeichniszugriffstool einzuschließen. Mac OS X kann mehrere Verzeichniskonfigurationen in einem angegebenen Pfad durchsuchen, wenn ein Benutzer versucht, sich anzumelden.

Dynamische UID vs. statische UID-Zuordnung

Eine der Hürden bei der Integration von Mac OS X mit Active Directory besteht darin, dass sich die Verzeichnisdienstschemata erheblich unterscheiden. Eines der Schlüsselattribute im Open Directory-Schema, das von Mac OS X verwendet wird, ist die Benutzer-ID (UID). Wie in anderen Unix-Systemen wird die UID vom Mac OS X-Dateisystem verwendet, um den Dateibesitz und die Berechtigungen sowohl für lokale als auch für entfernte Dateien festzulegen.

Jedes lokale oder Netzwerkbenutzerkonto, das zum Anmelden bei Mac OS X verwendet wird, erfordert eine UID. In Active Directory gibt es jedoch kein direkt korrelierendes Attribut.

Apple bietet eine Auswahl von zwei Methoden, um Active Directory-Benutzern ein UID-Attribut bereitzustellen. Die erste und Standardoption besteht darin, für jeden Benutzer bei der Anmeldung dynamisch eine UID zu generieren. Wenn diese Option verwendet wird, generiert Mac OS X beim Anmelden eine UID basierend auf dem GUID-Attribut (Globally Unique Identifier) ​​aus dem Active Directory des Benutzers Konto und die MAC-Adresse der Macintosh-Netzwerkkarte, die er verwendet. Die zweite Möglichkeit besteht darin, ein Attribut auszuwählen, das in Active Directory als UID des Benutzers enthalten ist. Sie können jedes Attribut zuordnen, sei es eines, das Teil des standardmäßigen Active Directory-Schemas ist, oder eines, das Teil einer benutzerdefinierten Schemaerweiterung ist.

Wie rufe ich gelöschte Textnachrichten auf dem iPhone ab?

Die dynamische UID-Generierung ist viel einfacher und erfordert keine Aktion seitens des Systemadministrators. Es ist jedoch nicht perfekt. Jedes Mal, wenn sich ein Benutzer auf einem anderen Mac anmeldet, hat er eine andere UID. Dies kann problematisch sein, wenn Sie Mac-Server (oder sogar einzelne Macs mit aktivierter Dateifreigabe) haben, da sich der Benutzerzugriff auf Dateien auf diesen Servern jedes Mal ändert, wenn sie einen anderen Computer verwenden, obwohl sie dasselbe Active Directory-Konto verwenden.

Die Verwendung einer statischen UID durch Zuordnung zu einem Attribut in Active Directory verhindert diese potenziellen Probleme und kann eine Lösung sein, die Sie bereits für andere Unix-Systeme in Ihrem Netzwerk implementiert haben. Es erfordert jedoch mehr Aufwand. Wenn Sie sich für die Zuordnung zu einem vorhandenen Attribut entscheiden, müssen Sie diese Nummer manuell in jedes Benutzerkonto eingeben, das für die Mac-Anmeldung verwendet wird. Dies kann ein langwieriger Prozess sein. Wenn Sie sich dafür entscheiden, ein vorhandenes Attribut zu verwenden, anstatt das Schema von Active Directory zu erweitern, verlieren Sie die Möglichkeit, dieses Attribut für einen anderen Zweck zu verwenden.

Thursbys ADmitMac

ADmitMac von Thursby Software Systems bietet mehrere Funktionen, die Apples Active Directory-Plug-In und die Samba-Konfiguration nicht bieten. Wie die Lösung von Apple basiert ADmitMac auf einem Verzeichniszugriffs-Plug-In.

Vor allem unterstützt ADmitMac vollständig Kerberos unter Active Directory sowie signierte LDAP- und SMB-Kommunikation und NT LAN Manager, was eine viel höhere Sicherheit mit Windows 2003 Server ermöglicht. Daher müssen Sie die Standardsicherheitseinstellungen von Windows 2003 Server nicht verringern. Die Lösungen von Apple erfordern unsignierte LDAP- und SMB-Kommunikation.

So schalten Sie neue WLAN-Verbindungen im Kontrollzentrum ein

Neben verbesserter Sicherheit unterstützt ADmit Mac das verteilte Dateisystem von Windows und lange Freigabenamen und bietet zusätzliche Optionen zum Durchsuchen eines Windows Server-Netzwerks nach Freigaben und Druckern. Es ist auch eine spezielle Version mit Unterstützung für den Smartcard-Standard Common Access Card verfügbar.

ADmit Mac bietet auch einige andere Vorteile. Erstens bietet es eine Active Directory-Verwaltungskonsole für Mac OS X, mit der Administratoren Benutzerkennwörter zurücksetzen, Benutzer und Computer verschieben und vorhandene Konten erstellen oder ändern können, ähnlich wie sie es mit der Microsoft-Verwaltungskonsole tun würden. Zweitens bietet es mehr Optionen als die Apple-Lösung für die Verwaltung von Netzwerk- und lokalen Home-Verzeichnissen. Besonders hilfreich in dieser Hinsicht ist ein Tool, mit dem der Home-Ordner eines lokalen Mac-Benutzers an einen Netzwerkspeicherort verschoben und mit einem Active Directory-Konto verknüpft werden kann. Dies kann Endbenutzern den Übergang zur Active Directory-Integration erheblich erleichtern.

Außerdem unterstützt ADmitMac eine von Apple verwaltete Client-Umgebung. Wie Gruppenrichtlinien in Active Directory ermöglicht die verwaltete Client-Umgebung von Mac OS X – manchmal auch als MCX bezeichnet – Administratoren, den Zugriff auf Mac OS X-Systemkomponenten einzuschränken und eine stark angepasste Benutzererfahrung zu schaffen. ADmit aktiviert mehrere Client-Verwaltungsfunktionen von Apple und verwendet dazu den Workgroup Manager von Mac OS X Server.

Dazu erstellt ADmit Mac eine Datei, die auf einer Windows-Freigabe innerhalb der Domäne gespeichert ist, um alle MCX-Benutzerinformationen zu speichern, die normalerweise in einer Open Directory-Domäne gespeichert werden, die von Mac OS X Server gehostet wird. Thursbys eigene Dokumentation räumt jedoch ein, dass der Client-Management-Ansatz nicht perfekt ist und dass einige Aktionen zu unerklärlichen Fehlermeldungen führen oder einfach ohne Hinweis auf einen Fehler nicht funktionieren.

Centrifys Direct Control für Mac

Centrifys Direkte Kontrolle ist eine Reihe von Lösungen zur Integration verschiedener Plattformen mit Active Directory, einschließlich Mac OS X.

Direct Control wird als Verzeichniszugriffs-Plug-In unter Mac OS X installiert. Wenn die serverseitige Lösung auf Windows-Domänencontrollern installiert wird, fügt sie eine Reihe von Gruppenrichtlinienobjekten (GPOs) hinzu, die zur Verwaltung der Mac-Umgebung verwendet werden können. Direct Control bietet eine Reihe von GPOs für Sicherheits- und Benutzererfahrungseinstellungen – viele davon spiegeln die Optionen wider, die mit dem Workgroup Manager-Tool von Mac OS X Server verfügbar sind. Dies geschieht durch die Integration einer auf den Mac kopierten lokalen Registrierungsdatei mit der MCX-Architektur von Apple. Direct Control bietet auch die Möglichkeit, Smartcards zur Authentifizierung zu verwenden.

Direct Control bietet die einfachste und umfassendste Active Directory-Integrationslösung für Mac OS X. Da es auf der Gruppenrichtlinienarchitektur von Active Directory basiert, funktioniert es bei der Zugriffsverwaltung nahtloser als Thursbys ADmitMac, insbesondere für Systemadministratoren, die mit Mac nicht vertraut sind OSX.

Auch beeindruckend: Es gelingt, ohne das Active Directory-Schema zu verändern. Es bietet jedoch nicht die Sicherheit von signierten SMB-Verbindungen, unterstützt jedoch verschlüsselte LDAP-Abfragen. Es funktioniert auch gut mit Produkten wie Thursbys DAVE, um signierte SMB-Kommunikation zu ermöglichen, sowie mit serverseitigen Lösungen von Drittanbietern, die das Apple Filing Protocol von Mac OS X unterstützen, das mehr Sicherheit bietet als unsigniertes SMB.

Verwenden von Mac OS X Server für zusätzliche Client-Verwaltung

Wenn Sie die Vorteile der Client-Management-Architektur von Apple voll ausschöpfen möchten, ist die beste Lösung die Implementierung von Mac OS X Server in Ihrer Active Directory-Umgebung. Dies kann die schwierigste Methode sein, um Unterstützung für Mac OS X hinzuzufügen, da Active Directory und Open Directory, der native Verzeichnisdienst von Mac OS X Server, sehr unterschiedliche Schemata haben. Sie teilen auch drei übereinstimmende Attribute: Benutzername, Passwort und Home-Verzeichnis. Dies kann die Schaffung einer vollständig integrierten Infrastruktur zu einer sehr großen Herausforderung machen, da das Schema einer oder beider Plattformen erweitert werden muss.

So schließen Sie die Leseliste auf dem Mac

Es gibt eine Methode, um eine teilweise Mac-Clientverwaltung und den Zugriff auf andere Mac OS X Server-Dienste unter Active Directory anzubieten, die keine Schemaänderung erfordert. Der Ansatz ist zweifach. Verbinden Sie zunächst Mac-Server und -Clients mit Active Directory mithilfe des Active Directory-Plug-Ins von Apple. Zweitens erstellen Sie einen Verzeichnissuchpfad auf Mac-Servern und -Clients, der sowohl die Active Directory-Domäne als auch eine Open Directory-Domäne durchsucht, die von einem oder mehreren Mac-Servern gehostet wird.

Mit dieser Konfiguration können Sie Computerlisten in der Open Directory-Domäne erstellen, die Mac-Computerkonten aus Active Directory enthalten. Verwaltungseinstellungen können dann für diese Computerlisten mit dem Arbeitsgruppen-Manager von Mac OS X Server ohne weitere Konfiguration erzwungen werden.

Der gleiche Ansatz kann auf Benutzergruppen ausgeweitet werden, indem Gruppenkonten in der Open Directory-Domäne erstellt und diese mit Benutzerkonten aus Active Directory gefüllt werden. Diese Methode ist nicht perfekt und einige Client-Verwaltungsfunktionen reagieren möglicherweise nicht richtig, erfordert jedoch deutlich weniger Aufwand als das Ändern der Open Directory- und/oder Active Directory-Schemas. Es kann als temporäre Lösung fungieren, wenn Sie planen, das Schema zu erweitern, aber währenddessen eine sofortige Lösung benötigen.

Scanner wird auf dem Mac nicht angezeigt

Was ist mit Services für Mac?

Windows Server umfasst Dienste für Mac (SFM) – optionale Komponenten, die die Möglichkeit bieten, Freigaben und Druckwarteschlangen mithilfe des Apple Filing Protocol (AFP) und des veralteten AppleTalk-Protokolls zu erstellen und zu verwalten. Services for Mac ist eine Lösung, die für die klassischen Mac OS-Versionen entwickelt wurde, also mit denen vor Mac OS X.

Seine Sicherheitsoptionen beruhen auf der Installation eines Microsoft-Benutzerauthentifizierungsmoduls auf Mac-Clients, von dem eine Version nie für Mac OS X entwickelt wurde. Daher ist die einzige Möglichkeit, den Zugriff von Mac OS X auf SFM-Freigaben und Druckwarteschlangen zu unterstützen, die Verwendung von clear Textpasswörter oder die eingeschränkte Verschlüsselung einer älteren Version des AppleShare-Protokolls.

Angesichts der langjährigen Einbeziehung von Samba durch Apple in Mac OS X und der Sicherheitseinschränkung ist es schon lange her, dass SFM als schrecklich solide Lösung galt. SFM leidet auch unter Leistungsproblemen aufgrund seines Designs und der Tatsache, dass es auf dem veralteten AppleTalk-Protokoll basiert.

Es gibt jedoch alternative AFP-Server von Drittanbietern für Windows Server, einschließlich der robusten ExtremeZ IP von Group Logic und MacServerIP von Cyan Software.

Diese Produkte bieten erweiterte Sicherheitsoptionen, aber sie bieten auch eine andere Funktion, die für einige Mac-Benutzer wichtig sein kann. Mac-Dateien enthalten als Teil ihrer Struktur einen Ressourcenzweig; dieser Fork wird weder von NTFS- noch von FAT-Dateisystemen unterstützt. Bei der Arbeit mit SMB-gemounteten Laufwerken führt Mac OS X normalerweise eine Übersetzung des Ressourcenzweigs in eine separate Datei durch, um dieses Problem zu umgehen.

Für die meisten Anwendungen funktioniert dies sehr gut. Bei einigen Anwendungen treten bei diesem Ansatz jedoch Probleme auf. In diesen Situationen kann eine AFP-Serverlösung zu einem reibungsloseren Arbeitsablauf führen.

Ryan Faas ist ein freiberuflicher Autor und Technologieberater, der sich auf Mac- und Multiplattform-Netzwerkprobleme spezialisiert hat. Er schreibt nicht nur für Computerworld, sondern schreibt auch regelmäßig für InformIT.com. Ryan war auch Co-Autor von O’Reillys Essential Mac OS X Panther Server Administration. Weitere Informationen über Ryan, seine Beratungsleistungen und kürzlich veröffentlichte Arbeiten finden Sie unter www.ryanfaas.com und können ihm eine E-Mail an ryan@ryanfaas.com senden.