macOS 加域能实现什么?有什么坑?

2021-01-20 22:04:38 +08:00
 lauc020
最近公司做 SSO,有人提出 macOS 加域。由于我没有 macOS 环境,请教下 macOS 加域能实现什么?有什么坑?

打开 support.apple.com 有点问题,故前来咨询大佬。
4404 次点击
所在节点    macOS
8 条回复
opooooos
2021-01-21 10:57:44 +08:00
本人技术能力一般,水平有限,这是前提。
6000 端,其中 5000 个 win,1000 个 mac 。9 个办公地点,办公地之间 ipsecvpn 。
北京主域,其他地区从域,自动同步。
第一步,5000 个 win 首先加入域,策略下发执行成功率 60%,每台机器认为统计。
第二步,加入 mac,基本无策略下发成功,顶多做个同一账号登陆管理。
以上为真实经验,共楼主参考。
有大神的话别喷。
oxromantic
2021-01-21 12:40:17 +08:00
记得好多年前,世界 100 强前公司,有条 Q&A 说如何在 mac 上安装公司的软件管理工具

第一条是

先在 mac 上安装 windows 虚拟机
czwstc
2021-01-22 09:10:29 +08:00
我们四大是本地账户,策略走 vmware 的 hub
用户的账户和 domain 一致,一个专门的密码同步软件查看本地密码与 domain 是否一致。
之前我测试过 mac 加 domain,体验基本不可用。
ihwbunny
2021-01-22 10:51:22 +08:00
首先,为什么加域呢?现在趋势是云化服务和管理,尽量避免终端机的管理,通过降低人工和本地服务器服务等,极大降低 TCO,并释放生产力。

我们这里,全市 230 个地点,保守说:Win 2 万多台,Mac 1 万多台。从 Windows 域向云转化中,现在的域除了登录认证外,几乎没有太大意义了。当然即便是完全迁移到 Azure 后,也有域概念。

具体操作 Mac 加入域,如果是使用 AD 域账户登录,一定开启移动账户。加入域的操作:
- GUI:参考 Directory Utility (目录实用工具) app
- 命令行:参考 dsconfigad
- 描述文件绑定:参考 configuration profile
最好是先用 GUI 调试成功后,再调试命令行。Mac 加入域后,Mac 与域服务器的通信似乎比 Win 要多很多,所以可能要增加域服务器。

另外,Windows 域与 Mac 的 LDAPv3 在账户属性定义可能不一样的,要不通过映射,要不修改 AD 域以做应对,参考 Apple 的 Directory Utility User Guide ( https://support.apple.com/zh-cn/guide/directory-utility/diru39a25fa2/mac

还有另外一种方式,不在系统级别加入域,Mac 用户使用自己的账户登录后,使用如 NoMad 来连接 AD 域。

如果需要最大限度的管理,最好创建一个统一的本地管理员账户,其它的都是普通用户账户。

目前来说,Mac 我们用 MDM 管理,设备都是“DEP (设备注册计划)”的,后期使用 MDM 部署管理和 app 分发等。Apple 的 DEP 和 ABM 、ASM 配合 MDM,就是它的云服务构架,基本无需考虑加 AD 域的烦恼了。
ihwbunny
2021-01-22 11:09:28 +08:00
坑:
* 加域后,别把域服务共享等等一股脑的都设定好,登录时会很慢,也不利于移动办公;应该是只实现登录认证,域服务等,等登录完成后,给用户自己需要时再连接
* Mac 管理员:如果不会 Mac 脚本,基本的 bash,或者 Python/go 等,基本上很局限了,就如同少了一条腿。不过随着 Apple 逐步完善它的 MDM API,可能将来可以完全免除脚本亦不一定。
* 最好入 DEP + ABM/ASM + MDM,这个比较符合现代趋势,完整的管理链,但是要是用好的 MDM 系统,比较费银子。
* 辅助以 Apple Remote Desktop,远程管理、协助、排错、简单部署等。那么,就需要客户端的本地管理员账户,这个可以通过 MDM 部署,但是不是所有的 MDM 可以做。
* Mac 与域之间的通讯比 Win 之间多多了,这是我们的最初的教训,所以,尽量减少与域的直接通讯。
* 别想着用微软的管理工具(比如 SCCM 等)替代 Apple 的 MDM 系统,至少目前为止是这样的。
* 如果管理公司的设备,那么只给用户普通用户,不要给管理员,否则基本就是废了。个人设备,使用自愿加入 MDM 的方式比较合理。
ihwbunny
2021-01-22 11:12:56 +08:00
@oxromantic 哪个是过时的 QA 了
ihwbunny
2021-01-22 11:21:07 +08:00
加域后的坑:
* 账户密码同步问题:域用户密码被在 Mac 之外的地方,用户登录后钥匙串密码同步的问题,要有机制。
* 本地加密:打开文件保险箱( FileVault ),这个又是一个坑,综合上面的密码同步问题,要有机制,同步 FileVault 登录密码和用户真实密码,否则随着密码的变换,以后会越来越乱,或者甚至是失去了 FileVault 的目的了。当然,同步加密密钥也是一个 challenge 。
* 是否开启移动账户,取决于这个 Mac 是否需要离网登录操作。
* 开启 Mac 的硬件锁,锁密码的发布,我们使用 MDM 系统,以前使用安装包(本质是脚本)
* 管理员另一个基本技能是:手动软件重新打包以及纯管理安装包,这个是以脚本编写为基础的
lauc020
2021-01-24 10:07:30 +08:00
感谢各位,我理解下。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/746837

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX