Lære om Active Directory-pluginmodulen


Du kan konfigurere Mac OS X slik at det får tilgang til grunnleggende brukerkontoinformasjon i et Active Directory-domene på en Windows 2000- eller Windows 2003-tjener. Active Directory-pluginmodulen for Katalogtilgang gjør dette mulig. Active Directory-pluginmodulen finnes i listen i Tjenester-panelet i Katalogtilgang.

Du trenger ikke å gjøre skjemaendringer i Active Directory-domenet for å innhente grunnleggende brukerkontoinformasjon. Det kan hende at du må endre standard tilgangskontrolliste (Access Control List (ACL)) for bestemte egenskaper slik at maskinkontoene blir i stand til å lese egenskapene. Active Directory-pluginmodulen genererer alle egenskaper som er nødvendige for Mac OS X-godkjenning, fra standardegenskaper i Active Directory-brukerkontoer. Pluginmodulen støtter også Active Directory-godkjenningspolicyer, inkludert passordendring, utløpte passord og tvungen passordendring.

Active Directory-pluinmodulen genererer en unik bruker-ID og primærgruppe-ID dynamisk, basert på brukerkontoens «Globally Unique ID» (GUID) i Active Directory-domenet. Den genererte bruker-IDen og primærgruppe-IDen er alltid de samme for hver brukerkonto, selv om kontoen brukes til å logge på forskjellige Mac OS X-maskiner. Det er også mulig å tvinge Active Directory-pluginmodulen til å tilordne bruker-IDen til en Active Directory-egenskap du oppgir.

Når en bruker logger seg på Mac OS X med en Active Directory-brukerkonto, oppretter Active Directory-pluginmodulen en hjemkatalog på startstasjonen på Mac OS X-maskinen. Pluginmodulen gir også Mac OS X beskjed om å aktivere brukerens Windows-hjemkatalog (som angitt i Active Directory-brukerkontoen) på skrivebordet som et delingspunkt. Ved hjelp av Finder kan brukeren kopiere filer mellom Windows-hjemkatalogen under Nettverk-symbolet i Finder og Mac OS X-hjemkatalogen.

Hver gang en bruker logger seg på Mac OS X med et Active Directory-brukernavn og passord, kan Active Directory-pluginmodulen legge godkjenningsinformasjonen i buffer på Mac OS X-maskinen. Brukeren kan logge seg på samme maskin senere når den ikke er tilkoblet nettverket. Det er mulig å aktivere eller deaktivere bufring av godkjenningsinformasjon.

Hvis Active Directory-skjemaet er utvidet slik at det inkluderer Mac OS X-oppføringstyper (objektklasser) og -egenskaper, vil Active Directory-pluginmodulen automatisk gjenkjenne dem og opprette forbindelser til dem. Active Directory-skjemaet kan for eksempel endres ved hjelp av Windows-administrasjonsverktøy slik at det inkluderer egenskaper for Mac OS X Server-administrerte klienter. Denne skjemaendringen vil gjøre det mulig for Active Directory-pluginmodulen å støtte innstillinger for administrerte klienter som gjøres i Preferences-modulen i Workgroup Manager. Mac OS X-klienter får full lesetilgang til egenskaper som legges til katalogen. Det kan derfor være nødvendig å endre disse egenskapenes tilgangskontrolliste (ACL) slik at maskinkontoer kan lese egenskapene som legges til.

Active Directory-pluginmodulen gjenkjenner automatisk alle domener i en Active directory-«forest». Du kan konfigurere pluginmodulen slik at brukere fra alle domener i en «forest» kan logge seg på ved hjelp av en maskin med Mac OS X. Flerdomenegodkjenning kan også deaktiveres slik at kun bestemte domener kan godkjennes på klienten.

Active Directory-pluginmodulen har full støtte for Active Directory-replikasjon og «failover». Den gjenkjenner flere domenekontrollere og finner fram til den nærmeste. Hvis en domenekontroller blir utilgjengelig, bytter pluginmodulen automatisk til en annen domenekontroller i nærheten.

Active Directory-pluginmodulen bruker LDAP for å få tilgang til Active Directory-brukerkontoene og Kerberos til å godkjenne dem. Active Directory-pluginmodulen bruker ikke Microsofts proprietære Active Directory Services-grensesnitt (ADSI) for å få tak i katalog- eller godkjenningstjenester.