→ Подключение mac os к домену. Решения для интеграции Mac-to-AD

Подключение mac os к домену. Решения для интеграции Mac-to-AD

Bring Your Own Device (BYOD) - уже вполне реальная головная боль админов, у которых в корпоративной сетке появился не только Macbook топ-менеджера, но и iPad (а то и iPhone) его заместителя. Мы в этом году опросили в США более сотни сисадминов крупных компаний – что они используют для управления мобильными гаджетами в корпоративной сети, занятой преимущественно ПК под Windows. Победили варианты «ничего» и «крепкие выражения/алкоголь/слезы». При этом 45% признались, что в их компаниях уже закуплены Mac в рабочих целях. Значит, задачу уже надо решать, так как через BYOD-устройства, которыми пользуются руководители и ключевые сотрудники, может проходить информация ценой в миллионы рублей, и для них жизненно важно соответствовать корпоративным политикам.

В этом посте мы хотим рассказать, как внедряли в своей же компании собственное решение для управления Маками в корпоративной среде – Parallels Mac Management, с чего начали и с чем столкнулись в процессе (включая чисто психологические аспекты поведения своих же сотрудников). А еще - порассуждать о том, действительно ли нужен Mac в корпоративной сети (и узнать ваше мнение об этом), для чего, и кто чем пользуется для управления.

«Страшная» реальность
Несмотря на то, что далеко не во всех ИТ-службах компаний могут найти ответ на вопрос, зачем им нужен именно Mac в корпоративной среде, их рост – это факт (см. исследования Greyhound Research и ). Рост продаж наших собственных десктопных и мобильных продуктов для корпоративного рынка (Parallels Desktop для Mac Enterprise Edition, того же Parallels Mac Management и бизнес-версии Parallels Access) это тоже подтверждает. Плюс опрос , который говорит о том, что 95% тех, кто работает на Windows, с удовольствием перебегут на Mac OS X, как только смогут использовать единую систему управления ПК на различных платформах.

Будем честными – для многих компаний с точки зрения экономии затрат и ресурсов выгоднее выбирать ПК под Windows: Маки дороже, экосистема специализированных приложений под Mac OS X значительно менее развита, ими менее привычно массово управлять. Почему же продукция Apple продолжает настойчиво проникать в корпоративную среду?

Есть свое устройство поработать? А если найду?
В том же опросе нам сказали: платформа Mac более надежна - меньше «глюков» и вирусов (заявило 77% опрошенных), легко обслуживается (65%) и помогает привлечь сотрудников (тоже 65%). Но нам кажется, что причина все-таки в росте популярности самой концепции BYOD, который вызван следующими факторами:

Во-первых , это взрывной рост количества мобильных устройств - телефонов и планшетов - и их переориентация на профессиональные задачи. Становится все больше легко носимых гаджетов, способных делать все то, что совсем недавно могли делать только компьютеры. Это касается как смартфонов, так и планшетов. В 2013 году продано больше 195 млн планшетов (62% - под Android, 36% - под iOS). Тогда же количество используемых телефонов на платформах Android и iOS X в мире превысило 900 млн (доля iPhone - 15,2%, Android -78,6%). И уже в этом году люди купят больше планшетов, чем портативных компьютеров.

Во-вторых – мода на BYOD, вполне возможно, отражает новые отношения между компаниями-работодателями и сотрудниками. Эти новые веяния постепенно проникают к нам с Запада, и выражаются в том, что сотрудники все реже рассматривают себя как часть организации, либо даже не входят в штат. Например, contractors («подрядчики») в США сотрудниками не считаются, компания имеет право указывать им, что делать, но не как. Штатные сотрудники ведут себя так же. При таком подходе у сотрудников меньше ограничений, и он де-факто навязывается всем участникам рынка, включая работодателей. А раз не важно, как решаются задачи, то можно использовать любые милые сердцу устройства. Вопросы их технического сопровождения редко обсуждаются, так как не связаны непосредственно с бизнесом. К тому же BYOD снимает затраты на приобретение устройств с работодателя и перекладывает их на сотрудника.

Зачем включать Mac в корпоративную среду?
Может быть, проще проигнорировать отдельные случаи их появления? Мы считаем, что нужно делать это ровно с теми же целями, с которыми мы контролируем и ПК под Windows. Например, в нашей компании они следующие:
  • Предотвращение утраты данных на ноутбуке из-за технического сбоя или ухода пользователя из компании.
  • Инвентаризация ПО и оборудования для точного планирования обновлений, соответствия лицензионным требованиям и верного прогноза расходов на ИТ.
  • Упрощение удаленного администрирования – развертывание стандартных образов ОС, развертывание или обновление программных продуктов, удаленное управление для разрешения инцидентов, конфигурации, соответствующие политикам.
  • Специфическая для нас цель: опыт практического применения продуктов собственной разработки.
Как начался проект внедрения
Придя к пониманию, для чего нам все-таки нужно научиться управлять своими собственными Маками (нам кажется, каждый ИТ-отдел задает себе этот вопрос, но, по опыту, ответ в случае с Маками может быть и неожиданным), мы открыли новый проект. Выбирая инструмент администрирования Mac, мы исходили из предпосылки, что корпоративная среда по определению имеет единый каталог учетных записей на основе Microsoft Active Directory и инфраструктуру VPN для предоставления доступа к корпоративной сети удаленным пользователям, и что пользователи заинтересованы в том, чтобы служба ИТ решала их проблемы. Это важно, потому что нерадивый и незаинтересованный сотрудник вполне может удалить агент на Mac, а потом уверять, что «все не работает».

В конце 2012 года мы определили 3 потенциально пригодных продукта: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (находившийся в тот момент на этапе Customer Technology Preview, CTP) и версия 1.0 Parallels Mac Management (далее - PMM). От Centrify отвратила необходимость платить за лицензию. Лицензия на System Center предоставляется партнерам Microsoft бесплатно в рамках программы Microsoft Partner Network (а мы ее участники). Дополнительное число клиентских лицензий (Client Management License, CML) для System Center уже купили раньше под задачу развертывания System Center Configuration Manager 2007 в российском офисе. Эти лицензии нужны и для развертывания PMM, потому что содержание Product Use Rights* на System Center 2012 явно указывало на то, что CML требуется на каждое управляемое устройство, без оговорок на происхождение агента. Кстати, и дистрибутив сервера SCCM 2012 получить можно было только при покупке CML: лицензия на сервер отсутствовала в номенклатуре Microsoft, доступ же к дистрибутиву на Volume Licensing Service Center был привязан к приобретению CML.

Возможность управления Mac на момент начала проекта была только объявлена для SCCM 2012 SP1. Выход его релиза был назначен на начало 2013 года, так что сложности были очевидны. РММ тогда согласились протестировать у себя несколько партнеров компании, и когда служба ИТ нашей собственной взялась за развертывание РММ «внутри», то появилась новая цель - быстрее получить отзывы, чтобы ускорить доработку продукта. От «своих» разработчики получали их, естественно, в более короткие сроки, потому что этот процесс через обычную цепочку «сейлз-инженер»-«продукт-менеджер»-«руководитель разработчиков» обычно затягивается. К тому же партнеры находились в США (а это разница еще и во времени, и в языке). Зато - никаких тепличных условий для нашего ИТ: обращение в техподдержку PMM в общем порядке, постановка задач на доработку в общей очереди, согласно приносимой выручке (а раз в этом случае выручки нет, то доработки будут выполнены, только если их потребует один из платящих заказчиков). В итоге у службы ИТ появился опыт по детальному описанию user case для каждой новой функции, а ее реализация зависела от того, пожелает ли получить ее один из заказчиков.

Развертывание PMM
Для этого были выбраны все Mac сотрудники, которые не занимались разработкой или тестированием продуктов. Географически они находились по всему миру: в офисах в Рентоне, штате Вашингтон в США, Москве, Новосибирске, Мюнхене, Сингапуре, Токио; у удаленных сотрудников на территории США, стран ЕС, Австралии и стран Юго-Восточной Азии.
Предполагалось, что системные администраторы этих офисов смогут облегчить выполнение своих обязанностей за счет возможностей PMM: удаленного управления, централизованной установки стандартных пакетов ПО и обновлений, централизованного применения политик безопасности (на основе Mac OS X Profile), установки стандартных образов ОС, инвентаризации оборудования.

Особо выделим задачу по удаленному администрированию Parallels Desktop для Mac (хорошо знакомый пользователям Mac продукт десктопной виртуализации, мы про него писали ) и распространению стандартных виртуальных машин для него. Удаленное администрирование включает в себя задание оптимальных настроек ВМ, активацию и установку обновлений. Стандартные виртуальные машины (Windows 8 с Office 2013) были выбраны как из соображений совместимости документов и привычки пользователей к интерфейсу Office для Windows, который значительно отличается от интерфейса Office for Mac, так и потому, что многие приложения до сих пор просто не имеют версий для Mac OS X.

Для решения всего набора задач было решено установить Primary server SCCM в Рентоне и по одной Distribution Point в офисах со значительным числом пользователей – Рентоне, Мюнхене, Сингапуре, Москве и Новосибирске. Удаленные пользователи подключаются через VPN к ближайшему из дата-центров (Рентон, Мюнхен, Москва или Сингапур), откуда их трафик пробрасывается через корпоративную сеть MPLS до Distribution Point, к которой пользователь приписан.


Наш extension интегрируется в интерфейс System Center Configuration Manager

Серверная часть PMM была установлена на Primary server. Установку клиента делали вручную, частично сами пользователи, частично – системные администраторы. Пользователям прислали письмо с гиперссылкой на дистрибутив агента, вмешательство системного администратора требовалось лишь в случаях, когда установка не заканчивалась успешно. Начиная с версии PMM 1.7 установка, включая обновление версии агента по команде SCCM, успешно выполнялась в автоматическом режиме примерно в 90% случаев. В большей части случаев, когда установка агента на компьютер, где его раньше не было, проваливалась, причиной было несоблюдение пользователем порядка установки (запустить установку можно без подключения к VPN, но для успешного завершения необходим доступ к домен-контроллеру, который доступен только через VPN). Сейчас текущая версия PMM – 3.1, детские болезни можно считать преодоленными, а дальнейшее развитие направлено на расширение функций.

Итоги развертывания
С технической точки зрения развертывание PMM в Parallels можно считать успешным. Агент установлен более чем на 95% выбранных внутри компании Mac (более 150). Возможна доставка пакетов ПО на управляемые Mac, применение парольной политики, удовлетворяющей принятым в компании требованиям к сложности и времени жизни паролей, через профили Mac OS X, настройка параметров виртуальных машин. Начиная с версии 2.0 возможна автоматизированная установка ОС, хотя опыта массового обновления ОС таким способом пока нет, поскольку встроенные средства Mac OS сами справляются с задачей обновления ОС. Также в третьей версии появились и такие новые функции, как портал самообслуживания по работе с приложениями, поддержка инфраструктуры HTTPS SCCM и приложений SCCM. Улучшили поддержку SCCM-клиента, поддерживается также система шифрования FileVault 2 с персональными ключами.


Портал самообслуживания в Parallels Mac Management

Одним из труднейших препятствий на пути внедрения PMM было изучение SCCM. У нас вообще не было опыта работы с этим продуктом, поэтому одному из системных администраторов пришлось изучать его сначала самостоятельно, а затем и на сертифицированных курсах Microsoft. Последнее позволило систематизировать самостоятельно приобретенные знания и опыт, а также получить ответы на накопившиеся за время самостоятельных попыток установки и применения SCCM вопросы. Значительная часть проблем, возникавших при установке и развертывании PMM, в итоге оказывалась обусловленной неоптимальной настройкой SCCM. ВЫВОД РАЗ: браться за развертывание PMM можно только тогда, когда в организации есть опыт работы с SCCM, а если его еще нет, то необходимо формальное обучение администратора.

Второе препятствие было психологически-юридического свойства. Некоторые сотрудники в странах ЕС возражали против установки агента, заявляя, что таким образом отдел ИТ будет вторгаться в их частную жизнь. Это противодействие пришлось преодолевать с помощью генерального поверенного, объяснявшего, что принадлежащие компании компьютеры – не место для личной информации. Такие возражения могут, однако, иметь значительно более твердую почву в случае BYOD. Поскольку технического решения для них по определению быть не может (агент, способный переустановить ОС, может получить доступ к любым данным), то решение должно лежать в договорной плоскости. ВЫВОД ДВА: Сотрудникам, работающим на условиях BYOD, следует предлагать письменно соглашаться с установкой агента как с условием заключения трудовых или договорных отношений.

Что день грядущий нам готовит
В итоге все трудности преодолены, и Parallels Mac Management находится в коммерческой эксплуатации и внедрено в ряде компаний, из самых крупных можно упомянуть Rackspace, Samsung и McAfee. Наш собственный внутренний проект мы при этом не закончили: следующий этап – обучение сотрудников нашей службы технической поддержки применению PMM в ежедневной практике. Это потребует, в первую очередь, научить их основам SCCM, так как все операции выполняются через его интерфейс (Маки в нем управляются так же, как компьютеры). Планируем также внедрить у себя же портал самообслуживания по работе с приложениями (Application Self Service Portal), чтобы сотрудники могли сами устанавливать рекомендуемый и соответствующий корпоративным политикам софт.

Сейчас у Parallels Mac Management самый большой рост продаж по сравнению с другими решениями Parallels – более 50% за год. Это говорит о том, что задачи включения Mac в корпоративную среду стали остро актуальными, и когда наконец-то появилась практическая возможность их решить, реализация не заставила себя ждать.

Мы можем в результате сделать следующие выводы: во-первых, помимо «ничего», «слез» и «крепких выражений» все-таки есть продукты, которые помогут решать задачи управления Маками (и даже помимо нашего собственного). Во-вторых, вам придется улаживать разные конфликтные аспекты взаимодействия ПК и Mac в одной сети, в том числе – неожиданные и психологические (не все сотрудники рассмотрят преимущества BYOD наравне с ответственностью за содержимое этого самого D).

И нам действительно интересно, что вы сами об этом думаете: нужны ли Маки в бизнес-среде и какие тут могут быть сценарии использования. Так что пишите свои соображения и вопросы в комментариях, мы постараемся ответить на каждый.

* Product Use Rights – основной документ, определяющий переданные лицензиату по программам корпоративного лицензирования права на ПО Microsoft.
Автор статьи – Виталий Хозяинов, старший руководитель проектов в Parallels (США)

Если вы используете Mac в сети в среде Windows, вы можете присоединиться к Mac в домен, выполнив следующие шаги:

1Выберите «Настройки», затем выберите «Пользователи и группы».

Появится страница «Пользователи и группы».

2Выберите учетную запись пользователя, которую хотите присоединиться к домену, затем нажмите Параметры входа в систему.

Появится страница Параметры входа в систему.

3Если значок блокировки в нижнем левом углу страницы заблокирован, щелкните его и введите пароль при появлении запроса.

По умолчанию параметры входа в систему заблокированы для предотвращения несанкционированных изменений. Этот шаг разблокирует настройки, чтобы вы могли присоединиться к домену.

4Щелкните кнопку Присоединиться.

Вам будет предложено ввести имя домена, к которому вы хотите присоединиться.

5Введите имя домена, к которому вы хотите присоединиться.

Когда вы вводите имя домена, диалоговое окно будет расширяться, чтобы вы могли ввести учетные данные домена, чтобы вы могли присоединиться к домену.

6Введите имя и пароль учетной записи администратора домена, затем нажмите OK.

Вы вернетесь на страницу «Параметры входа», которая показывает, что вы успешно присоединились к домену.

Jesus Vigo takes a look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment.

Market share in the enterprise is largely dominated by Microsoft - specifically, the reliance on the Windows Server family line to manage network resources, align desktops with corporate security policies, and maintain the flow of production amongst all the employees at a given organization. The process of administering all these systems - desktops and servers alike - are relatively straight-forward in a homogeneous environment, but what happens when OS X is introduced to the enterprise in the form of a sleek, shiny new MacBook Air or iMac?

Apple hasn’t made great inroads in this segment. However, comparing its paltry 7% market share in the desktop market to its almost 93% in the mobile device market, there"s only a matter of time before more companies begin to choose Apple products for its mobile and desktop computing duties in lieu of the generic, stalwart PCs they’ve been cycling in and out every three to five years. So, I ask you again, what do you do when your organization decides to upgrade to iMacs? How do you manage those nodes in addition to the existing Windows domain that"s already established?

Integrating Macs will initially be easier than you think! Even with little to no prior OS X knowledge, Macs will bind* to the domain with relative ease, since directory services - the underlying “file structure” of the network resources - are standards-based and operate more or less about the same across operating systems.

Note*: Binding is the term associated with joining OS X to a domain. It’s virtually identical to joining a Windows PC to a domain, complete with checking domain credentials to verify the end user has the necessary rights to add the computer to the domain.

Minimum requirements:

  • Server hardware running Windows Server 2000-2012 Standard
  • Active Directory Domain Services (ADDS) setup and configured
  • Domain Administrator-level account
  • Apple desktop or laptop running OS X 10.5+
  • Switched network

I. Bind OS X to a Windows domain (10.5-10.9)

Follow these steps to bind OS X to a Windows domain:

Note**: By default, Windows will automatically create the computer object account in ADDS if one does not already exist. However, domain or enterprise admins may (and often do) restrict this as a security feature to curb random nodes from being joined to the domain. Additionally, Organizational Units (OU) may be created as a form to compartmentalize ADDS objects by one or more classifications or departments. Many enterprises will utilize OUs as a means to organize objects and accounts separately from the items created by default when a domain controller is promoted and ADDS is created.

II. Modify Directory Services settings

Your next steps will be to modify the Directory Services settings. Here"s how:

  1. To ensure the highest level of compatibility between OS X and the network resources on the Windows network, certain changes must be made to the Active Directory service with the Directory Utility - so, go to System Preferences | Users & Groups, and click Login Options
  2. Click the Edit… button next to Network Account Server, then click Open Directory Utility… ()

  3. The Directory Utility lists various services associated with network account directories (), and it allows you to modify settings as needed

  4. Double-click Active Directory to edit its configuration ()

  5. Click on the arrow to unhide the Advanced Options, select User Experience, and check the following boxes:
    a. Check Force local home directory on startup disk (), which will force the creation of a profile on the local HDD for all users that logon to the node (if you plan to serve profiles remotely from a server, leave this setting unchecked)

    b. Check Use UNC path from Active Directory to derive network home location (), and select the network protocol to be used: smb: (Note: This setting will switch the default protocol for network resource paths from Apple’s afp: to the Windows" friendly smb: - also known as Common Internet File System, or CIFS).

  6. Next, select Mappings (), which pertains to specifying unique GUIDs for certain attributes used within ADDS to identify a computer object account. OS X will generate these at random by default when bound to the domain; however, you may wish to use a particular set as generated by your enterprise admin.

  7. Finally, select Administrative (), and configure the following three optional settings based on the ADDS schema setup of the organization:

    a. Checking Prefer this domain server will perform two-way communication to/from the domain controller of your choosing
    b. Checking Allow administration by will allow nodes to be managed by the administrator(s) who"s responsible for overseeing systems, based on security group membership or user account(s)
    c. Checking Allow authentication from any domain in the forest may or may not be necessary to ensure that the OS X computers authenticate to the proper domain, as configured by the domain/enterprise admin.

There you have it - a basic look at how to setup and configure Apple hardware running a modern version of OS X and get it communicating with a Windows Active Directory environment. I also threw in a few extra tips to help make a smooth transition and minimize errors.

One additional tip (and common best practice) is to host an Open Directory domain along with the Active Directory service. Multiple directory services will add to the burden of managing two distinct operating systems, but you’ll be surprised to find out that it may actually make administration of these systems easier! This dual-directory environment will allow Windows PCs to be maintained and managed solely through the Active Directory side, while Open Directory - when setup with OS X Server - can be used to maintain and manage the Apple computers.

Giving the Apple hardware the second directory binding to ADDS will allow them to seamlessly communicate with the Windows desktops and share file and printer resources from Windows servers and nodes, and vice-versa. This eliminates the need for costly 3rd-party software plugins. The Macs will receive much of their management directly from the domain controller hosting the Active Directory service, but it must “translate” the processes into commands that OS X will understand. Even then, it does introduce another variable when troubleshooting. And let’s be honest, the newly released OS X Server 3.0, which is only $20 in the Mac App Store, is a full-fledged server OS that’s as simplified and easy to use as OS X.

Вы делитесь каталогом, создавая привязку между клиентом и доменом Open Directory на Lion Server. Связывание создает соединение между сервером и клиентом, позволяя клиенту считывать базу данных LDAP, отправлять запросы аутентификации и взаимодействовать с областью Kerberos для служебных билетов.

Что касается проверки подлинности, вы чаще всего видите это взаимодействие из окна входа в Mac OS X, и большая часть этого взаимодействия прозрачна для пользователя.

Любая версия, более новая, чем Mac OS X 10. 2 может привязываться к Open Directory, запущенному на Lion Server. Ваши Mac OS X 10. 7 клиентских систем не должны привязываться к версиям Mac OS X Server, предшествующим 10. 7, чтобы наилучшим образом поддерживать новейшие усовершенствования Mac OS X.

Bind Mac OS X 10. 6 клиентов

Выберите меню Apple и выберите «Системные настройки», а затем щелкните значок «Пользователи и группы» в Mac OS X 10. 7 (или учетные записи в Mac OS X 10. 6).

Bind Mac OS X 10. 5 и более ранние клиенты

В предыдущих версиях Mac OS X вы использовали утилиту Directory, установленную в папке «Утилиты» в папке «Приложения», для привязки к сетевому каталогу.Чтобы связать Mac OS X 10. 5. 8 или более ранний клиент, откройте Утилиту каталогов и выполните следующие действия:

Нажмите значок блокировки и введите имя и пароль администратора.

    Нажмите кнопку «Добавить» (+) и выберите «Открыть каталог» во всплывающем меню.

    Выберите Active Directory для привязки к домену Active Directory.

    Введите полное имя хоста или IP-адрес сервера, на котором размещен домен, и нажмите «ОК».

17.10.2011 Эрик Ракс

Если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей

Еще совсем недавно использование компьютера Apple Macintosh в среде Windows предполагало массу усилий для интеграции программного обеспечения и изменения схемы Active Direcory (AD). Однако в последние годы процесс интеграции стал значительно проще, и фактически необходимые механизмы предоставляются по умолчанию. Это изменение произошло не потому, что Microsoft и Apple «раскурили трубку мира» и стали работать вместе, а в результате того, что обе компании следуют стандартам RFC 2703 и LDAP. В результате, если вы пользуетесь системой Windows Server 2003 R2 и выше или системой Apple OS X Panther (версии 10.3) и выше и перед вами стоит задача провести проверку подлинности клиентов Mac в службе AD, вам не требуется никакое специальное программное обеспечение. Достаточно просто указать путь к домашней папке, используя старый формат «в стиле NT», в свойствах пользовательского объекта AD, чтобы содержимое сетевого диска появилось на рабочем столе. Если применяется мобильная учетная запись (которую в Microsoft называют «кэшируемые учетные данные и профиль»), то пользователи могут заходить в систему при отсутствии подключения к домену - опять же без какого-либо дополнительного программного обеспечения. Но если необходимо обслуживать клиентов Mac наравне с клиентскими системами Windows, то потребуется решение для интеграции Mac-to-AD. Недавно я опробовал четыре продукта, которые отлично справляются с этой задачей.

Три из них - Centrify’s DirectControl, Likewise Software’s Likewise Enterprise и Quest Software’s Authentication Services - интегрируют компьютеры Mac и компьютеры с системами UNIX и Linux в «мир Windows». Четвертый продукт, Thursby’s ADmitMac, интегрирует только Mac.

Тестирование продуктов

Я протестировал каждый продукт в отдельной среде Windows Server 2008 AD, расположенной на сервере VMware ESXi. Пакеты DirectControl и Authentication Services устанавливал прямо на котроллер домена (DC). Следуя рекомендациям в сопроводительных документах, я установил пакет Likewise Enterprise на отдельный сервер. Система ADmitMac не требует установки серверного программного обеспечения.

В качестве клиентской системы я использовал ноутбук MacBook Pro с операционной системой X Snow Leopard (версия 10.6.7). После установки и настройки каждого продукта я проверял их возможности. Процесс тестирования включал:

  • установку программного обеспечения;
  • добавление клиентской системы Mac к домену;
  • удаление клиентской системы Mac из домена;
  • авторизацию в домене;
  • перенос пользователя;
  • использование консоли управления (если есть возможность применения);
  • изменения настроек с помощью объектов Group Policy Object (GPO);
  • добавление глобальных групп в локальные группы;
  • установку программного обеспечения на клиентскую систему Mac;
  • использование кэшированных учетных данных для входа в систему, при отсутствии подключения к домену;
  • отключение автоматического входа в систему и сообщений входа в систему с помощью объектов GPO.

DirectControl

Centrify DirectControl
ЗА:
ПРОТИВ: «зонная» концепция может быть непонятной и вряд ли будет полезна малым компаниям.
ОЦЕНКА: 4 из 5.
ЦЕНА: от 60 долл. за рабочую станцию (возможны скидки при оптовых покупках).
РЕКОМЕНДАЦИЯ: если ваши клиенты UNIX и Linux используют разные методы для проверки подлинности и вам необходимо оставить нетронутыми идентификаторы UNIX ID и идентификаторы группы, технология зон и привлекательная цена могут вывести эту программу в верхнюю строчку вашего списка.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Centrify, 408-542-7500, www.centrify.com

Установка пакета DirectControl - дело нетрудное. Просто дважды щелкните мышью по файлу CentrifyDC_Console-4.4.3-win32 на контроллере домена и следуйте подсказкам. Для установки не требуется наличия базы данных или выполнения других предварительных условий, за исключением одного: опция. NET Publisher evidence verification должна быть отключена. Сделать это просто - программа установки справится со всем сама. Куда трудней было узнать, что же делает опция. NET Publisher evidence verification. После долгих поисков в Интернете я наконец обратился за разъяснениями к сотрудникам компании Centrify. Как мне удалось выяснить, отключение механизма publisher evidence verification просто ускоряет запуск консольных приложений, разрешая им запускаться без проведения длительного процесса проверки, который может вызывать проблемы в изолированных сетях, например в исследовательских лабораториях, у которых нет соединения с Интернетом.

После завершения процесса установки запустите консоль DirectControl. При первом запуске программы мастер установки поможет вам пройти процесс настройки зоны, используемой по умолчанию. Зоны помогают группировать по коллекциям компьютеры с системами UNIX и Linux, а также компьютеры Mac, и, кроме того, идентифицировать созданные коллекции. Группируя клиентские машины таким образом, вы легко сможете применить для них политики безопасности или политики настроек. Зоны хранятся в каталоге AD в контейнере domain.com/Program Data/Centrify/Zones.

Мастер установки также помогает установить необходимые лицензии, которые хранятся в контейнере domain.com/Program Data/Centrify/Licenses. Ни у одной программы, для которой я готовил обзор, я никогда не видел, чтобы лицензии хранились в каталоге AD. Это уникальное решение.

Следующим шагом после установки серверной части системы будет инсталляция клиентской программы на компьютер Mac с помощью пакета, соответствующего операционной системе. Для системы Mac OS X Snow Leopard используйте файл CentrifyDC-4.4.3-mac10.6.dmg. Двойной щелчок по этому файлу открывает меню, в котором есть функция Prepare, используемая для проверки наличия корректного соединения между службами DirectControl и AD и их готовности к интеграции. После появления запроса введите имя домена, и в течение нескольких секунд будет выполнено 20 тестов. Эти тесты проверяют, достаточно ли места на диске, правильно ли работает DNS, содержит ли сайт контроллер домена и многое другое. В моем случае система не прошла тест, который проверяет синхронность часов котроллера домена и клиентской системы. После того как я решил проблему, все было готово к установке клиентской программы.

Сама установка занимает всего несколько секунд, после чего система DirectControl выдает сообщение о присоединении к домену. Мне понравилась эта функция, так как она устраняет любые сомнения относительно необходимости добавления машины в домен. В окне настроек можно самостоятельно задать домашнюю папку пользователя (/home/username), идентификатор UNIX ID и идентификатор группы либо вы можете позволить механизму DirectControl’s Auto Zone настроить данные параметры автоматически. Точная настройка идентификатора UNIX ID и идентификатора группы важна, если вы интегрируете в каталог AD машину с установленной системой UNIX или Linux, но так как я интегрировал машину с системой Mac, я выбрал режим Auto Zone. Он сработал отлично.

Вести журнал непосредственно в окне настроек весьма удобно. Я случайно допустил ошибку в имени домена, и запись в журнале очень помогла в решении этой проблемы. После присоединения компьютера к домену рекомендуется перезагрузка.

После перезагрузки машины MacBook Pro я смог войти в систему как пользователь домена. Мне не пришлось дописывать имя домена domain\перед именем пользователя или добавлять его в конец (@domain). Так как я первый раз вошел в систему под этой учетной записью, появился запрос на изменение пароля. После того как я ввел новый пароль, процесс загрузки продолжился.

Кэширование учетных данных работает без предварительной настройки. Чтобы протестировать эту функцию, я отсоединил сетевой кабель, отключил сетевую карту AirPort и вышел из системы. Когда я попытался войти заново, для авторизации были использованы кэшированные учетные данные, и вскоре я снова видел перед собой рабочий стол.

Вернувшись к контроллеру домена, я обнаружил новую закладку Centrify Profile на страницах свойств объектов пользователей и компьютеров в оснастке Active Directory Users and Computers. На странице свойств компьютера эта закладка содержит информацию «только для чтения», такую как версия клиентского программного обеспечения, тип используемой зоны (в моем случае Auto Zone) и сведения о том, пользуется ли клиент лицензированными или нелицензированными функциями. На странице свойства пользователя эта закладка содержит настраиваемую информацию. Хотя в этом нет необходимости, при интеграции компьютеров Mac в домен AD вы можете настраивать некоторые параметры систем UNIX и Linux, такие как идентификатор UNIX ID, имя пользователя, оболочка (/bin/bash), домашняя папка и основная группа.

Система DirectControl интегрирована в консоль Group Policy Management Console (GPMC). Как видно на экране 1, вы легко можете управлять клиентами Mac. Например, я отключил автоматический вход в систему. Как и для машин с системой Windows, для компьютера с системой OS X можно настроить автоматический вход в систему. Однако, в отличие от машин с системой Windows, эта функция не отключается в тот момент, когда компьютер присоединяется к домену. Если пользователь знает локальный пароль администратора, он может настроить машину таким образом, чтобы та загружалась без проверки пароля. Я отключил эту опцию всего за несколько кликов.

Система DirectControl предоставляет удобную утилиту для Mac под названием DirectControl Widget. Она показывает информацию о статусе служб AD, Kerberos, об учетных записях AD и членстве в группах AD. Чтобы установить это мини-приложение на компьютер Mac, щелкните по ссылке Go, выберите опцию iDisk, нажмите кнопку Other User’s Public Folder, войдите в раздел Centrify и дважды щелкните по ссылке DirectControl Widget.

Likewise Enterprise

Likewise Software Likewise Enterprise
ЗА: поддержка клиентов Mac, UNIX и Linux.
ПРОТИВ: концепция «ячеек» может быть непонятной и вряд ли будет полезна малым компаниям; выбор между режимами Non-Schema Mode и Schema Mode во время процесса установки сложен для восприятия неподготовленным пользователем.
ОЦЕНКА: 4 из 5.
ЦЕНА: 69 долл. за рабочую станцию (оптовые скидки при покупке 50 и более лицензий).
РЕКОМЕНДАЦИЯ: если ваши UNIX и Linux клиенты используют разные методы для проверки подлинности и вам необходимо оставить нетронутыми идентификаторы UNIX ID и идентификаторы группы, механизмы «ячеек» системы Likewise Enterprise могут вам пригодиться.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Likewise Software, 425-378-7887 или 800-378-1330, www.likewise.com

Руководство по установке ясно дает понять, что не следует устанавливать пакет Likewise Enterprise непосредственно на контроллер домена. Вместо этого рекомендуется устанавливать его на отдельный сервер, использующий операционную систему Windows Server 2008. Как вариант можно установить его на компьютер с системой Windows 7, Windows Vista или Windows XP. Пакет Likewise Enterprise расширяет возможности встроенных в службу AD инструментов администратора (то есть консоли GPMC и оснастки Active Directory Users and Computers), так что эти инструменты уже должны присутствовать на компьютере, на который устанавливается Likewise Enterprise. Также необходима консоль Microsoft Management Console (MMC) 3.0. Из-за того, что консоль MMC 3.0 несовместима с системой Windows 2000, нельзя устанавливать пакет Likewise Enterprise на сервер Windows 2000 Server.

После окончания установки программы Likewise Enterprise мастер поможет вам пройти процесс настройки, включающий выбор режима и настройку ячейки в AD. Мастер немного сбил меня с толку, и мне пришлось перечитывать руководство, чтобы понять, что пытается сделать механизм установки.

Выбор режима. И лес, и домен работали в режиме функционирования Server 2008, но мастер все равно советовал мне использовать Non-Schema Mode - режим, который поддерживает службу каталогов Windows 2000 AD. Если вы используете Windows 2000 AD, вам придется установить пакет Likewise Enterprise на компьютер с системой Windows XP или более поздней версии Windows и расширить схему. Кроме того, инструкции в мастере неполные, но я в них разобрался. Чтобы задействовать Schema Mode - режим, в котором система Likewise Enterprise использует преимущества стандарта RFC 2307, - придется выйти из мастера и запустить отдельный мастер Schema Mode, который можно найти в разделе Console->Enterprise Console->Status. Даже с учетом того, что и лес, и домен работали в режиме Server 2008, мастер утверждал, что определенные параметры (например, uid, uidNumber, gidNumber) индексированы и присутствуют в глобальном каталоге AD.

Выбор режима (Schema Mode или Non-schema Mode) зависит от того, какую операционную систему использует домен. Если применяется система Windows 2003 R2 или более поздняя версия, то никаких изменений схемы в домене делать не нужно и следует включить режим Schema Mode. Если домен работает на более ранней версии платформы Windows, есть два варианта. Можно использовать режим Non-Schema Mode и хранить данные пользователя или группы в многозначных ключевых словах и атрибутах описания объектов учетных записей пользователей и компьютеров. Или, если вы чувствуете себя уверенно, позвольте системе Likewise Enterprise расширить схему за вас.

Настройка ячейки. Аналогично зонам в системе DirectControl, ячейки в системе Likewise Enterprise позволяют логически группировать машины, которые не используют Windows, а также управлять их параметрами (например, идентификаторами UNIX ID и идентификаторами группы). Как и зоны, ячейки логически связаны с подразделениями. Используя эту структуру, можно создать ячейку для каждого отдела или периметра безопасности в компании и назначить пользователя одной или нескольким ячейкам с помощью закладки Likewise Settings в оснастке Active Directory Users and Computers.

После установки и настройки серверного программного обеспечения можно переходить к установке клиентской программы на каждый компьютер с системой Mac. Можно развернуть ее вручную с помощью загрузочного диска или применить механизм автоматической установки, использующий протокол Secure Shell (SSH). Компания Apple дала протоколу SSH имя Remote Login, обратиться к нему можно через меню System Preferences, выбрав пункт Sharing. Руководство в формате PDF содержит отличный пошаговый разбор, как устанавливать программное обеспечение клиента с помощью SSH.

Далее необходимо присоединить компьютер к домену, используя инструмент Likewise - Active Directory, который находится в разделе Directory Utility. Как и встроенная служба Active Directory Connector в системе OS X, инструмент Likewise - Active Directory позволяет выбрать контейнер или подразделение, в котором будет создан объект учетной записи компьютера.

Система Likewise Enterprise тесно интегрирована с механизмами Group Policy. На экране 2 видно, как просто настроить права локального администратора пользователю домена или группе.

Если инфраструктура позволяет осуществлять проверку подлинности компьютеров Mac и вы хотите перенести все настройки в базу AD, система Likewise Enterprise может импортировать пароли и файлы групп систем Mac, UNIX и Linux с помощью встроенных инструментов переноса. Эти параметры автоматически сопоставляются пользователям и группам в AD.

Если в вашем окружении используется локальная проверка подлинности, а профили пользователей созданы в системе OS X, вероятно, вы захотите перенести их в новые учетные записи с проверкой подлинности в домене. Например, один ваш сотрудник пользовался ноутбуком MacBook Pro целый год, а теперь вы хотите, чтобы он проходил аутентификацию в домене. Как и в случае с системой Windows, машина с системой OS X создаст новый профиль при первом входе пользователя в систему. Инструмент Migrate User Profile перенесет старый локальный профиль в новый доменный профиль. Когда этот сотрудник войдет в домен со своей новой учетной записью, он увидит тот же рабочий стол, к которому привык.

Authentication Services

Quest Software Authentication Services
ЗА: автоматическая установка клиента и присоединение к домену через графический интерфейс; поддержка клиентов Mac, UNIX и Linux.
ПРОТИВ: цена.
ОЦЕНКА: 4,5 из 5.
ЦЕНА: 37 долл. за пользователя и 65 долл. за компьютер.
РЕКОМЕНДАЦИЯ: если вы обслуживаете большое сообщество систем Mac, UNIX и Linux, то пакет Authentication Services - лучший выбор. Вы можете устанавливать программное обеспечение со своего рабочего места, и вам не придется разбираться со сложными концепциями зон и ячеек.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, 800-306-9329, www.quest.com

Для установки решения Authentica­tion Services требуется, чтобы в системе были установлены пакеты Microsoft.NET Framework 3.5 SP1 и Windows PowerShell. Механизм установки Authentication Services установит (и даже поможет скачать) все необходимые компоненты. Также в процессе установки будет проведена проверка, поддерживает ли схема AD данный продукт. Как и в других обсуждаемых здесь программах, расширение схемы не требуется, если вы используете систему Windows 2003 R2 или более поздние версии.

В отличие от пакетов DirectControl и Likewise Enterprise, программа Authentication Services не использует зоны или ячейки, поэтому продукт очень прост в настройке. Мастер Add and Join Host поможет пройти процесс установки, который включает в себя следующее.

  • Добавление и профилирование хостов (клиентов). Сервер, на который установлена служба Authentication Services, должен иметь разрешения имен для клиентов с системой Mac. Клиент должен динамически добавлять себя в базу DNS, в качестве машины с системой Windows 2000 или более поздней версией. Однако у меня получились смешанные результаты. Если вы не можете получить имя хоста в системе OS X, то убедитесь, что в базе DNS есть запись типа A для клиента.
  • Проверка клиентов на готовность присоединиться к домену. Проверка AD Readiness позволяет удостовериться в том, что клиент готов присоединиться к домену. В моем случае я получил сообщение об ошибке, в котором было сказано, что «отклонение по времени» (то есть разница между временем котроллера домена и временем клиента) настолько велико, что клиент не может присоединиться к домену. Я отметил, что сообщение об ошибке было ясным и коротким, в отличие от службы ActiveDirectory Connector, которая выдает зашифрованные сообщения.
  • Установка клиентского программного обеспечения. Когда я попытался установить клиентскую программу, в полученном сообщении об ошибке было указано, что служба Authentication Services не может найти версию клиента для системы Mac OS X 10.6. Я проверил предложенный путь и убедился, что файл клиентской программы (VAS-4.0.1.52.dmg) отсутствует. После того как я скачал файл VAS-4.0.1.52.dmg и скопировал его в исходную папку, установка завершилась без каких-либо проблем.
  • Присоединение клиентов к домену AD. Для присоединения клиента к домену требуется пароль учетной записи root или пароль администратора.

Мне действительно понравился мастер Add and Join Host. Вы можете добавлять клиент к домену не выходя из-за стола, главное, чтобы на компьютерах с системой Mac был запущен протокол SSH.

После того как клиент будет добавлен и присоединен к домену, вам вряд ли пригодятся специальные инструменты, входящие в состав Authentication Services. Основное достоинство данного продукта заключается в наборе функций, которые он добавляет к консоли GPMC (экран 3). Добавление принтеров - лишь одна из множества функций, которыми можно управлять с помощью механизмов Group Policy.

Для входа в домен с машины, которая использует систему, отличную от Windows, для учетной записи пользователя AD должна быть выбрана опция UNIX-enabled в закладке Quest на странице параметров объекта учетной записи в оснастке Active Directory Users and Computers. В результате будут созданы необходимые идентификаторы UNIX ID и идентификаторы групп.

В целом я считаю продукт компании Quest легким в установке и использовании. Если вы работаете с набором машин, на которых установлены различные версии клиентских систем UNIX, Linux и Mac, то поместите систему Quest на вершину «списка кандидатов».

AdmitMac

Thursby Software ADmitMac
ЗА: не нужно устанавливать серверное программное обеспечение на серверы центра обработки данных.
ПРОТИВ: только для клиентов Mac.
ОЦЕНКА: 5 из 5.
ЦЕНА: 84 долл. за компьютер на 250 мест, 60 долл. за компьютер на 500 мест (есть скидки).
РЕКОМЕНДАЦИЯ: если вы работаете только с клиентами Mac и не планируете включать в окружение машины с системами UNIX и Linux, то решение AdmitMac - однозначно ваш выбор. Надежная клиентская программа и отсутствие серверной части формируют лучшее решение для интеграции OS X в AD, которое я видел.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Thursby Software, 817-478-5070, www.thursby.com

Система AdmitMac имеет совершенно иную структуру, нежели остальные три продукта, поэтому я решил рассмотреть ее в последнюю очередь. Отличает этот продукт то, что он создан только для интеграции систем Mac в архитектуру AD. Другие продукты ориентированы на UNIX и Linux, а поддержка Mac является второстепенной. Пакет AdmitMac - это решение для систем Mac, ни больше ни меньше. Данный факт не делает его лучше или хуже остальных трех. Если вы интегрируете набор из систем UNIX, Linux и Mac в окружение Windows, то лучше воспользоваться одним из продуктов, рассмотренных выше. Если же вы интегрируете только клиенты с системой Mac, следует сначала взглянуть на систему AdmitMac, так как ее единственная задача состоит в том, чтобы клиенты Mac работали наравне с клиентами Windows.

В отличие от остальных продуктов, установка которых начинается с серверной части, в случае с системой AdmitMac сначала устанавливается клиентское программное обеспечение. После того как вы воспользуетесь загрузочным диском для установки программы AdmitMac, мастер Setup Assistant поможет провести настройку сетевого программного обеспечения службы AdmitMac. Первый экран несколько удивляет, так как на нем запрашивается информация о настройках WINS. Вы можете либо вручную внести данные, либо указать, что будете получать их с сервера DHCP.

Следующий экран определяет параметры политики безопасности (Security Policy Settings) - какой протокол система Mac будет использовать для входа в домен Windows: Kerberos, NTLMv2, NTLM или LAN Manager (LM). В настройках по умолчанию сначала используются протоколы NTLMv2 или Kerberos, затем NTLM и никогда не применяется LM. Вы можете настроить клиент AdmitMac на использование открытых паролей, но очевидно, что в этом случае в вашей сети должно быть другое средство для защиты данных аутентификации.

Следующий шаг - добавление клиента Mac к домену. После того как вы введете имя домена, система запросит у вас имя пользователя и пароль сетевого администратора. Затем вы можете указать, где именно в структуре AD будет создана учетная запись машины. По умолчанию выбирается контейнер Computers.

В конце необходимо выбирать тип домашней папки (сетевая, локальная или мобильная), в которой будут храниться настройки и документы пользователя. Вы также можете указать, сколько раз пользователь сможет войти в систему, не подключаясь к сети.

Вот и все, что требуется для добавления и присоединения Mac-клиента к домену. Но служба каталогов AdmitMac имеет больше функций. Как и другие продукты, система AdmitMac позволяет сопоставлять идентификаторы UNIX ID и идентификаторы группы с учетными записями AD, но это делается с помощью клиентской программы. Вы также можете ввести ограничения для подразделений. Например, если ввести имя Sales в настройках для подразделения Users, то только те пользовательские учетные записи, которые находятся в подразделении Sales, смогут входить в систему на данном компьютере.

Хотя система AdmitMac управляется с сервера, устанавливать программное обеспечение для этого не надо. Как показано на экране 4, для управления системой применяются файлы Group Policy с расширением. adm. Так как файлы не используют новый формат. admx, они хранятся в консоли Server 2008 GPMC. Однако это не отменяет того факта, что поддержка Group Policy предоставляется клиентам Mac без установки на сервер дополнительного программного обеспечения - добавляются только шаблоны. adm.

Чтобы добавить шаблоны, нужно запустить исполняемый файл (ThursbyADMInstaller.exe), который скопирует их с установочного диска на контроллер домена. Путь назначения по умолчанию - C:\Windows\inf. Как только копирование будет завершено, вы сможете использовать шаблоны управления по аналогии с любыми другими шаблонами. Просто щелкните правой кнопкой мыши на ярлыке Administrative Templates, выберите пункт Add/Remove Templates в контекстном меню, нажмите кнопку Add и найдите файл шаблона AdmitMac.adm.

Выбор редактора

С помощью продуктов DirectControl, Likewise Enterprise, Authentication Services и ADmitMac можно интегрировать системы Mac в домен AD и управлять ими. Каждый продукт предоставляет легкий вход в домен, но то же самое делает встроенная в систему OS X служба Active Directory connector. Отличает эти продукты то, что они позволяют управлять клиентами Mac наравне с клиентами Windows.

Решения DirectControl и Likewise Enterprise похожи в работе. Обе программы позволяют логически группировать объекты, использующие систему, отличную от Windows.

Особенность пакета Quest в том, что он не требует дополнительных затрат. Вдобавок, можно использовать центральную консоль для установки клиентского программного обеспечения и добавления клиента к домену. Это очень важно, если необходимо интегрировать множество компьютеров Mac в каталог AD.

Система AdmitMac выходит победителем, так как данный обзор посвящен интеграционным решениям Mac-to-AD. С этой задачей данное решение справляется лучше конкурентов, с небольшим перевесом. Использование пакета AdmitMac не требует специального серверного программного обеспечения, а клиентская программа содержит множество дополнительных функций.

Эрик Ракс ([email protected]) - старший администратор сети Windows в крупной консалтинговой компании



 

 
Это интересно: