需要绑定 AD 的理由
企业环境内,相信大家用的都是传统PC比较多;然而,随着macOS在工作场所的普及,越来越多的组织开始考虑需要管理macOS。管理流程中的一个要求就是对macOS进行绑定AD(Active Directory, 即用户目录服务),当笔者询问大部分企业IT团队,为什么一定要macOS绑定AD的时候,得到的答复有如下:
- 因为PC环境是绑定AD的,所以macOS也一定要按照PC的做法执行。
- 因为绑定AD能够让我们更好地通过AD上账号策略管理macOS上的账号,例如管理密码周期、密码复杂度等等。
- 因为我们需要符合802.1x企业入网要求,macOS需要绑定AD才能获取证书,从而才能连上企业内网。
- 因为我们希望能够达成单点登录。
绑定 AD 遇上的麻烦
大家都问,macOS能够绑定AD吗?答案是肯定的,然后大家都欣然对企业内的macOS执行绑定AD操作。可是,绑定AD后似乎踏上了不归路,各种问题开始浮现,IT陷入了无尽的帮用户Troubleshooting的日子里。我们都知道AD是微软的方案,它可以无缝地运行在PC上;但是,macOS并非PC,当绑定AD后,我们发现macOS偶尔会出现“水土不服”的现象:
- 当AD的域用户密码变更时,macOS上相应的用户在keychain上的密码往往不能得到及时的更新,从而导致macOS系统弹出窗口要求用户输入旧的密码然后再输入新的密码才能完成更改。
- IT需要额外为用户创建一个移动账户,从而使用户在企业外网办公时依然能够可以用同一个账户办公。
- 用户体验很一般,有时候用户甚至不能或者需要等待很长的时间才能登录到macOS。
这个局如何破?
关于macOS上是否需要进行AD绑定,其实已经在业界讨论了两年多的时间了,那么究竟有没有比较好的办法能够解决这个难题呢?最近,笔者接触到越来越多的海外客户开始接受不再对macOS绑定AD,佳因有一个开源工具能够解决这个问题。这个工具叫NoMAD,创始人是原Apple的高级工程师,后来自己写了这个工具,用以解决macOS绑定AD的难题。这个工具解决问题的思路是不再进行AD绑定,但是又能够实现AD绑定后的功能。一个小小的题外话,这个NoMAD后来被人们戏称为“No More AD”,也是蛮有趣的。
NoMAD 简介
- NoMAD 网站: https://nomad.menu/
- 费用:目前免费
- 介绍的功能: NoMAD Login
- 功能概述:定制个性化登录界面;让用户通过AD账户登录macOS,但不需要绑定AD。另外,用户登录后可以实现同步AD密码策略,获取802.1x证书,单点登录等等。
- 所需额外工具:Jamf Pro (https://www.jamf.com/zh/products/jamf-pro/) Jamf Pro 是一家管理苹果设备的企业级软件供应商,总部在美国明尼苏达州。
测试所需工具及步骤
-
NoMAD Login 安装包: https://files.nomad.menu/NoMAD-Login-AD.zip
-
AD 测试环境
-
手动或者使用Jamf Pro自动部署安装以上压缩包里的 NoMADLoginAD-1.2.1-authchanger.pkg
-
手动部署或者Jamf Pro自动部署NoMAD开启启动自动运行设置包
http://orchardgrove.wpengine.com/download/NoMAD-LaunchAgent.pkg
技术上来说,这个安装设置包将会在/Library/LaunchAgent下创建一个plist文件,从而达到开机自动运行应用的目的。 -
创建NoMAD自动填充plist文件,以下为范例 (设置方法可参: https://nomad.menu/help/preferences-and-what-they-do/)
文件名为com.trusourcelabs.NoMAD.plist(这个文件将安放在用户目录下,~/Library/Preferences )
-
设置并部署NoMAD登录的描述文件设置并部署NoMAD登录的描述文件
a. 创建一个plist文件,命名为menu.nomad.login.ad.plist,以下提供一个基本的样例:
另外,关于登录界面Logo的定制,可以把图片通过以下网站转化为系列码:https://www.base64-image.de/
关于NoMAD的所有设定,可以查看: