← man/security_and_auth
dsconfigad — man dsconfigad — 80×24
ugur@toprak:~/man/security_and_auth$man dsconfigad
Bölüm 1 Güvenlik & Kimlik

dsconfigad

dsconfigad — macOS komut satırı aracı.

İsim

dsconfigad – Active Directory yapılandırmasını alır veya değiştirir.

Sözdizimi

     dsconfigad -help
     dsconfigad -show [-xml]
     dsconfigad -add fqdn -username username [-password password] [-computer computerid] [-ou dn]
		[-preferred server] [-force] [-localuser username] [-localpassword password]
		[-packetencrypt allow | disable | require | ssl]
     dsconfigad -leave [-localuser username] [-localpassword password]
     dsconfigad -remove -username username [-password password] [-localuser username]
		[-localpassword password]
     dsconfigad [-localuser username] [-localpassword password] [-alldomains enable | disable]
		[-localhome enable | disable] [-gid attribute | -nogid] [-ggid attribute | -noggid]
		[-groups "group1,group2,..." | -nogroups] [-mobile enable | disable]
		[-mobileconfirm enable | disable] [-namespace forest | domain]
		[-packetencrypt allow | disable | require | ssl]
		[-packetsign allow | disable | require] [-passinterval value]
		[-preferred server | -nopreferred] [-protocol afp | smb | nfs]
		[-restrictDDNS interface,interface,...] [-sharepoint enable | disable]
		[-shell value] [-uid attribute | -nouid] [-useuncpath enable | disable]

Açıklama

Bu araç, Active Directory'nin komut satırından yapılandırılmasına olanak tanır. dsconfigad, Active Directory'yi yapılandırmak için Directory Utility uygulamasıyla aynı işlevselliğe sahiptir. Değişiklik yapmak için yerel iş istasyonunda ve Directory (Dizin) üzerinde "admin" yetkileri gerektirir.

Bayrakların ve açıklamalarının bir listesi:

-add fqdn Bilgisayarı Dizin'e eklerken kullanılacak alan adının tam nitelikli DNS adı (örneğin, domain.ads.example.com).

-alldomains enable | disable Bu bayrak, eklentinin ormandaki (forest) herhangi bir etki alanından kimlik doğrulamasına izin verip vermeyeceğini belirler. Bu etkinleştirildiğinde, tek tek etki alanları görünmeyecek, yalnızca "Tüm Etki Alanları" (All Domains) görünecektir. Devre dışı bırakılırsa, bu bilgisayarda kimlik doğrulaması yapabilecek belirli etki alanlarını seçme olanağına sahip olursunuz. Varsayılan olarak etkindir.

-computer computerid Belirtilen etki alanına (Domain) eklenecek bilgisayar kimliği ("computerid").

  • -force: İşlemi zorlar (yani, mevcut hesaba katılır veya bağlamayı kaldırır).

-ggid attribute Grup GID'si için kullanılacak özniteliği belirtir. Varsayılan olarak, bir grup GID'si grubun Active Directory GUID'sinden oluşturulur.

-gid attribute Kullanıcının GID'si için kullanılacak özniteliği belirtir. Varsayılan olarak, bir GID kullanıcının primaryGroupID'sinden (genellikle Domain Users) türetilir.

-groups group1,group2,... Bu bilgisayarda kimlerin yerel yönetici yetkilerine sahip olacağını belirlemek için listelenen grupları kullanır. Güvenliğin tehlikeye atılmamasını sağlamak amacıyla gruplar etki alanına göre belirtilebilir, örneğin, "domain admins@domain.ads.demo.com".

  • -help: dsconfigad çağrısı için seçenekleri listeler.

  • -leave: Mevcut etki alanından ayrılır (bilgisayar kaydını dizinde koruyarak).

-localhome enable | disable Bu bayrak, eklentinin tüm ev dizinlerini (home directories) bilgisayara yerel olmaya zorlayıp zorlamayacağını (yani, /Users/username) belirler (varsayılan olarak etkindir).

-localpassword password Belirtilen yerel kullanıcı adı ile birlikte kullanılacak şifre. Bu belirtilmezse, giriş yapmanız istenecektir. Bu seçeneğin kullanılmasının, çalışan işlem listesinden şifrenin yakalanabileceği küçük bir pencere nedeniyle güvenlik riski taşıdığını unutmayın. Şifrelerin beklenmedik bir şekilde açığa çıkmamasını sağlamak için istem (prompt) mekanizmasını kullanmayı düşünün.

-localuser username Bu bilgisayarda yönetici yetkilerine sahip yerel bir hesabın kullanıcı adı.

-mobile enable | disable Bu bayrak, eklentinin çevrimdışı oturum açma için mobil hesap desteğini etkinleştirip etkinleştirmeyeceğini belirler (varsayılan olarak devre dışıdır). Bu bayrak bir ipucudur. Bir kullanıcı için uygun Workgroup Management ayarları mevcutsa bu ayar geçersiz kılınmaz, çünkü kullanıcının dizin ayarları önceliklidir.

-mobileconfirm enable | disable Bu bayrak, bir mobil hesap oluşturulurken eklentinin kullanıcıyı uyarıp uyarmayacağını belirler. Bu bayrak, -mobile seçeneğinde tartışıldığı gibi bir ipucudur.

-namespace forest | domain Birincil hesap kullanıcı adı adlandırma kuralını ayarlar. Varsayılan olarak, tüm etki alanları genelinde çakışan kullanıcı hesabı olmadığını varsayan "domain" adlandırmasına ayarlanmıştır. Active Directory ormanınızda çakışmalar varsa, bunu "forest" olarak ayarlamak, etki alanlar arasında benzersiz adlandırma sağlamak için tüm kullanıcı adlarının önüne "DOMAIN" ekini getirecektir (örneğin, "ADDOMAIN\user1"). Uyarı: Bu, tüm oturum açma işlemleri için kullanıcının birincil adını değiştirecektir. Mevcut bir sistemde bu ayarın değiştirilmesi, mevcut ev dizinlerinin yerel makinede kullanılmamasına neden olacaktır.

  • -noggid: Önceden eşlenmiş tüm öznitelikleri kapatır ve grup GID'sini Active Directory GUID'sinden oluşturur.

  • -nogid: Önceden eşlenmiş tüm öznitelikleri kapatır ve dizindeki GID'yi kullanır.

-nogroups Bu bilgisayarda yönetici yetkilerini belirlemek için mevcut grupların kullanılmasını devre dışı bırakır.

-nopreferred Önceden belirtilen tüm sunucuları kapatır ve dinamik sunucu keşfine geri döner.

  • -nouid: Önceden eşlenmiş tüm öznitelikleri kapatır ve UID'yi Active Directory GUID'sinden oluşturur.

  • -ou dn: Bilgisayarı eklemek için kullanılacak kapsayıcının (container) LDAP DN'si. Bu belirtilmezse, varsayılan olarak belirtilen etki alanı içindeki "CN=Computers" kapsayıcısına ayarlanacaktır (örneğin, "CN=Computers,DC=domain,DC=ads,DC=demo,DC=com").

-packetencrypt allow | disable | require | ssl Varsayılan olarak paket şifrelemesine izin verilir ancak zorunlu kılınmaz; fakat zorunlu kılınabilir veya devre dışı bırakılabilir (örneğin bir sorunun hatalarını ayıklarken). Bu, sunucuya giden/gelen verilerin şifrelenmesini ve imzalanmasını sağlayarak içeriğin tahrif edilmediğini ve ağdaki diğer bilgisayarlar tarafından görülemeyeceğini garanti eder.

-packetsign allow | disable | require Varsayılan olarak paket imzalama işlemine izin verilir ancak zorunlu kılınmaz; fakat zorunlu kılınabilir veya devre dışı bırakılabilir (örneğin bir sorunun hatalarını ayıklarken). Bu, sunucuya giden/gelen verilerin alınmadan önce başka bir bilgisayar tarafından tahrif edilmemesini sağlar.

-passinterval value Bilgisayar güven hesabı şifresinin ne sıklıkla değiştirilmesi gerektiğini ayarlar (varsayılan 14).

-password password Belirtilen kullanıcı adı ile birlikte kullanılacak şifre. Bu belirtilmezse, giriş yapmanız istenecektir. Bu seçeneğin kullanılmasının, çalışan işlem listesinden şifrenin yakalanabileceği küçük bir pencere nedeniyle güvenlik riski taşıdığını unutmayın. Şifrelerin beklenmedik bir şekilde açığa çıkmamasını sağlamak için istem (prompt) mekanizmasını kullanmayı düşünün.

-preferred server Tüm Dizin sorgulamaları ve kimlik doğrulamaları için belirtilen sunucuyu kullanır. Sunucu artık kullanılabilir değilse, diğer sunuculara yük devri (fail-over) gerçekleştirir.

-protocol afp | smb | nfs Bu bayrak, bir ev dizininin masaüstüne nasıl bağlanacağını (mount) belirler. Varsayılan olarak SMB kullanılır, ancak Mac OS X Server veya Windows Sunucularındaki 3. parti AFP çözümleriyle kullanım için AFP kullanılabilir (daha önce mountstyle olarak biliniyordu).

-restrictDDNS Dinamik DNS güncellemelerini belirli arayüzlerle (örneğin en0, en1, en2 vb.) sınırlar. Sınırlamaları devre dışı bırakmak için liste olarak "" değerini geçirin.

  • -remove: Bu bilgisayarı mevcut etki alanından kaldırır.

-sharepoint enable | disable Ağ ev dizininin bir paylaşım noktası (sharepoint) olarak bağlanmasını etkinleştirir veya devre dışı bırakır.

-shell value Bu bilgisayarda oturum açan kullanıcı için dizinde bir kabuk özniteliği yoksa belirtilen kabuğu (örneğin, "/bin/bash") kullanır. Yalnızca dizinde belirtilen değerleri koruyarak, varsayılan bir kabuk kullanımını devre dışı bırakmak için "none" kabuk değerini kullanın.

  • -show: Active Directory'nin mevcut yapılandırmasını gösterir.

-uid attribute Kullanıcının UID'si için kullanılacak özniteliği belirtir. Varsayılan olarak, bir UID Active Directory GUID'sinden oluşturulur.

-username username Bu bilgisayarı belirtilen etki alanına eklemek/etki alanından kaldırmak için yönetici yetkilerine sahip bir Ağ hesabının kullanıcı adı.

-useuncpath enable | disable Bu bayrak, eklentinin ağ ev dizinini bağlarken Active Directory'de belirtilen UNC yolunu kullanıp kullanmayacağını belirler. Bu devre dışı bırakılırsa, eklenti ev dizinini bağlamak için Apple şema uzantılarını arayacaktır.

  • -xml: Düz metin yerine XML biçiminde çıktı verir. Yalnızca -show seçeneği ile geçerlidir.

Örnekler

     Bir bilgisayarı Dizin'e ekleme:

     dsconfigad -add domain.ads.example.com -computer ThisComputer -username "administrator" -ou
     "CN=Computers,OU=Engineering,DC=ads,DC=example,DC=com"

     Bir grup kümesine yerel bilgisayara yönetici erişimi verme:

     dsconfigad -groups "DOMAIN\domain admins,FOREST\enterprise admins,DOMAIN\desktop techs"

Ayrıca Bakınız

opendirectoryd(8), odutil(1)

Darwin 28 Ağustos 2010 Darwin