1. Інтеграція macOS в Active Directory Уявіть собі,
2. А інфраструктура на Active Directory
3. Навіщо потрібна служба каталогів?
4. Хіба Мак вводиться в Active Directory?
5. Добре. Як управляти настройками Maк?
6. Mobile Device Management (MDM)
7. Shut up and take my money!
8. Чи обов'язково прив'язувати Мак до AD?
9. Що ще за Kerberos?
10. висновок
11. Інтеграція macOS в Active Directory
12. Уявіть собі,
13. А інфраструктура на Active Directory
14. Навіщо потрібна служба каталогів?
15. Хіба Мак вводиться в Active Directory?
16. Добре. Як управляти настройками Maк?
17. Mobile Device Management (MDM)
18. Shut up and take my money!
19. Чи обов'язково прив'язувати Мак до AD?
20. Що ще за Kerberos?
21. висновок
22. Інтеграція macOS в Active Directory
23. Уявіть собі,
24. А інфраструктура на Active Directory
25. Навіщо потрібна служба каталогів?
26. Хіба Мак вводиться в Active Directory?
27. Добре. Як управляти настройками Maк?
28. Mobile Device Management (MDM)
29. Shut up and take my money!
30. Чи обов'язково прив'язувати Мак до AD?
31. Що ще за Kerberos?
32. висновок

Інтеграція macOS в Active Directory

Уявіть собі,

що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.

А інфраструктура на Active Directory

І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".

Навіщо потрібна служба каталогів?

Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.

Хіба Мак вводиться в Active Directory?

На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .

Добре. Як управляти настройками Maк?

Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.

Mobile Device Management (MDM)

Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.

Shut up and take my money!

В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.

Чи обов'язково прив'язувати Мак до AD?

Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.

Що ще за Kerberos?

Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.

висновок

Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.

Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!

Інтеграція macOS в Active Directory

Уявіть собі,

що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.

А інфраструктура на Active Directory

І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".

Навіщо потрібна служба каталогів?

Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.

Хіба Мак вводиться в Active Directory?

На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .

Добре. Як управляти настройками Maк?

Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.

Mobile Device Management (MDM)

Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.

Shut up and take my money!

В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.

Чи обов'язково прив'язувати Мак до AD?

Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.

Що ще за Kerberos?

Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.

висновок

Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.

Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!

Інтеграція macOS в Active Directory

Уявіть собі,

що ви системний адміністратор і директор компанії мріє про перенесення робочих місць на Маки; або школа, в якій ви обслуговуєте IT, виграла тендер і скоро привезуть новенькі Macbook; або у вашій редакції викинули старі G4 і закуповують парк нових iMac.

А інфраструктура на Active Directory

І якщо запитати вас про управління клієнтськими станціями в домені засобами Windows Server, то ймовірно, що прозвучать слова "домен", "політики", "GPO", "служба каталогів".

Навіщо потрібна служба каталогів?

Служба каталогів спрощує життя користувача і адміністратора. Вона дозволяє зберігати необхідні ресурси, - облікові записи, групи і багато-багато іншого в одному місці, зручно управляти ними, пов'язувати воєдино найрізноманітніші сервіси.
Інтеграція комп'ютерів в службу каталогів дозволяє примусово встановити строгі політики аутентифікації і авторизації, управляти доступом до ресурсів через Single Sign-On (SSO) . Простіше кажучи, обмежувати доступ в ім'я благих цілей.

Хіба Мак вводиться в Active Directory?

На ділі macOS давно інтегрується в служби каталогів, в тому числі і в Active Directory (далі AD), і для цього використовується вбудований плагін AD. Мак, прив'язаний до домену, підтримує політики паролів, пошук користувачів і груп, єдину точку входу (SSO) з використанням Kerberos, аутентифікацію 802.1X для обмеження доступу до мережі як по Wi-Fi, так і по Ethernet. Ознайомитися з Best Practices від Apple по зв'язку Мака і Ad (епохи Mac OS X 10.10) можна по засланні .

Добре. Як управляти настройками Maк?

Довгий час негласним стандартом було рішення Magic Triangle, яке об'єднувало в собі можливості AD і Open Directory (Далі OD), власної служби каталогів від Apple. Працювало це наступним чином: облікові записи користувачів перебували в Active Directory, але так як в Windows Server немає вбудованих засобів для управління Маками, то політики поширювалися з сервера Open Directory від Apple.
Називалася ця технологія MCX - Managed Client for (OS) X і по суті, це конфігураційні шматочки XML в LDAP-записах, що відносяться до користувачів, груп і комп'ютерів (цікаві утиліти командного рядка - mcxquery і mcxrefresh). Адміністратори управляли настройками за допомогою Workgroup Manager .
Само-собою, це підвищувало витрати на обслуговування, так як доводилося підтримувати ще й сервери Apple. Наприклад, в компанії IKEA для підтримки Маков на 400 майданчиках використовувалися і AD і OD.
Не можна сказати, що Apple посилено розвиває Open Directory, та й сервери в цілому. Швидше за негласно передбачається, що в корпорації буде використовуватися Active Directory. До того ж Apple просуває нову технологію управління Маками під назвою Mobile Device Management.

Mobile Device Management (MDM)

Нова технологія управління Маками прийшла з iPhone і iPad. Це відображено в її назві - Mobile Device Management . Так Apple називає як сам набір технологій для управління, так і протокол, який дозволяє відправляти команди для управління пристроями на базі iOS 4 і новіше, macOS 10.7 і новіше, Apple TV з iOS 7 (нині tvOS) і новіше. За допомогою MDM системні адміністратори можуть перевіряти, встановлювати або видаляти конфігураційні профілі, заблокувати пристрої і навіть прати їх віддалено. Профілі конфігурації являють собою файли XML з набором налаштувань, описаних в документації Apple. Що цікаво, поширення профілів відбувається так, що Макові не потрібно перебувати в офісній мережі, досить мати доступ до інтернет. Протокол побудований поверх HTTPS і використовує PUSH-повідомлення. Профілі поширюються в такий спосіб: сервер MDM звертається до Apple Push Notification Services (APN) , Далі APN шляхом PUSH-повідомлень повідомляє пристрою про те, що потрібно зв'язатися з сервером MDM, після чого Мак підключається до сервера MDM і отримує інформацію з настройками.
І що найцікавіше, ви можете пов'язати сервер MDM з існуючим каталогом AD і створювати окремі набори налаштувань для керування Маками. Наприклад, ви можете взяти заздалегідь підготовлену групу з AD, створити для не професійний налаштувань для Мак і далі поширювати політики засобами MDM.

Shut up and take my money!

В додатку macOS Server від Apple вже є свій MDM сервер під назвою Profile Manager . Відштовхуючись від нашого досвіду і досвіду наших рідних і близьких ми не рекомендуємо його використання в організаціях з великою кількістю Маков або iOS пристроїв. Profile Manager можна використовувати скоріше для ознайомлення з технологією або пілотного проекту.
3rd party серверів MDM, що працюють з Apple розвелося чимало: Microsoft , Vmware , Parallels , Не кажучи вже про Open-source . Однак якщо ви запитаєте будь-якого мак-адміністратора на конференції Macsysadmin , Яка відбудеться на початку жовтня в Гетеборзі який MDM вибрати, то вам дадуть відповідь: " JAMF ", Він же колишній" Casper Suite ". Це, мабуть, найпростіше і популярне рішення MDM для пристроїв Apple.
Якщо вас зацікавить впровадження JAMF - звертайтеся до нас і ми вам допоможемо і з придбанням і з налаштуванням.

Чи обов'язково прив'язувати Мак до AD?

Зовсім ні. Наприклад, за допомогою програми NoMAD (Абревіатура розшифровується як "No More Active Directory") ви можете використовувати SSO, монтувати домашню папку, синхронізувати пароль локального користувача з мережевим паролем і багато іншого. Причому сам додаток не вимагає прав адмінстратор. І все це тільки за допомогою тікетів Kerberos.

Що ще за Kerberos?

Kerberos - технологія аутентифікації, заснована на тікети - спеціальних шифрованих повідомленнях, які дозволяють клієнту підтвердити свою автентичність, не зберігаючи пароль і не передаючи його по недовірених каналах.
Якщо спробувати пояснити просто, то спочатку клієнт запитує на сервері аутентифікації "тікет для видачі тікетів" (ticket granting ticket, TGT), потім запитує на тому ж сервері тікет для доступу до потрібного ресурсу, при цьому сервер перевіряє, що такий ресурс існує і у даного користувача є доступ до цього ресурсу, і вже з цим тікети клієнт може отримати доступ до ресурсу. Єдиний раз, коли у користувача запитується пароль (але не пересилається по мережі) - етап отримання тікета TGT, надалі все відбувається автоматично - звідси назва Single Sign-on.

висновок

Введення Маков в домен, управління пристроями і доступом до ресурсів - завдання цілком здійсненне. Ви можете взаємодіяти з каталогом як прив'язавши Мак до домену, так і обійтися засобами 3rd party додатків. У будь-якому випадку, інтеграція технології MDM в AD допоможе вам комфортно управляти пристроями Apple, грунтуючись на політиках вашої організації.

Ми ж поки чекаємо релізу High Sierra і виступів на конференції Macsysadmin 2017, які ми будемо детально висвітлювати з місця.
Мій колега Ільдар обіцяє за статтею на кожен виступ!