Інтеграція macOS в Active Directory | шорткати
- Інтеграція macOS в Active Directory Уявіть собі,
- А інфраструктура на Active Directory
- Навіщо потрібна служба каталогів?
- Хіба Мак вводиться в Active Directory?
- Добре. Як управляти настройками Maк?
- Mobile Device Management (MDM)
- Shut up and take my money!
- Чи обов'язково прив'язувати Мак до AD?
- Що ще за Kerberos?
- висновок
- Інтеграція macOS в Active Directory
- Уявіть собі,
- А інфраструктура на Active Directory
- Навіщо потрібна служба каталогів?
- Хіба Мак вводиться в Active Directory?
- Добре. Як управляти настройками Maк?
- Mobile Device Management (MDM)
- Shut up and take my money!
- Чи обов'язково прив'язувати Мак до AD?
- Що ще за Kerberos?
- висновок
- Інтеграція macOS в Active Directory
- Уявіть собі,
- А інфраструктура на Active Directory
- Навіщо потрібна служба каталогів?
- Хіба Мак вводиться в Active Directory?
- Добре. Як управляти настройками Maк?
- Mobile Device Management (MDM)
- Shut up and take my money!
- Чи обов'язково прив'язувати Мак до AD?
- Що ще за Kerberos?
- висновок
Інтеграція macOS в Active Directory
Уявіть собі,
що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.
А інфраструктура на Active Directory
І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".
Навіщо потрібна служба каталогів?
Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.
Хіба Мак вводиться в Active Directory?
На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .
Добре. Як управляти настройками Maк?
Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.
Mobile Device Management (MDM)
Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.
Shut up and take my money!
В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.
Чи обов'язково прив'язувати Мак до AD?
Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.
Що ще за Kerberos?
Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.
висновок
Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.
Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!
Інтеграція macOS в Active Directory
Уявіть собі,
що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.
А інфраструктура на Active Directory
І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".
Навіщо потрібна служба каталогів?
Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.
Хіба Мак вводиться в Active Directory?
На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .
Добре. Як управляти настройками Maк?
Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.
Mobile Device Management (MDM)
Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.
Shut up and take my money!
В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.
Чи обов'язково прив'язувати Мак до AD?
Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.
Що ще за Kerberos?
Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.
висновок
Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.
Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!
Інтеграція macOS в Active Directory
Уявіть собі,
що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.
А інфраструктура на Active Directory
І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".
Навіщо потрібна служба каталогів?
Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.
Хіба Мак вводиться в Active Directory?
На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .
Добре. Як управляти настройками Maк?
Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.
Mobile Device Management (MDM)
Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.
Shut up and take my money!
В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.
Чи обов'язково прив'язувати Мак до AD?
Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.
Що ще за Kerberos?
Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.
висновок
Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.
Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!
Як управляти настройками Maк?
Чи обов'язково прив'язувати Мак до AD?
Що ще за Kerberos?
Хіба Мак вводиться в Active Directory?
Як управляти настройками Maк?
Чи обов'язково прив'язувати Мак до AD?
Що ще за Kerberos?
Хіба Мак вводиться в Active Directory?
Як управляти настройками Maк?