Configurar o acesso a um diretório LDAP
Com o Utilitário de Diretório, é possível especificar como o Mac acede a um diretório LDAPv3. É necessário saber o nome de host DNS ou o endereço IP do servidor de diretório LDAP.
Se o diretório não estiver alojado num servidor que forneça os seus próprios mapeamentos (como o macOS Server), é necessário saber a base de pesquisa e o modelo para associar dados do macOS aos dados do diretório.
Os modelos de mapeamento suportados são:
“Servidor Open Directory”, para um diretório que utilize o esquema do Server;
“Active Directory”, para um diretório alojado num servidor com o Windows 2000 ou posterior;
“RFC 2307”, para a maioria dos diretórios alojados em servidores UNIX.
O plug-in LDAPv3 suporta na íntegra a réplica e proteção contra falhas do Open Directory. Se o servidor principal do Open Directory ficar indisponível, o plug-in usa uma réplica.
Para especificar mapeamentos personalizados para os dados do diretório, siga as instruções especificadas em Configurar manualmente o acesso a um diretório LDAP, em vez das presentes instruções.
Importante: se o nome do computador incluir um hífen, poderá não ser possível ligar-se a um domínio de diretório como LDAP ou Active Directory. Para estabelecer ligação, utilize um nome de computador sem hífen.
Abrir o Utilitário de Diretório
Clique em Serviços.
Clique no ícone de cadeado.
Digite um nome e palavra‑passe de administrador e, em seguida, clique em “Modificar configuração” (ou use o Touch ID).
Selecione LDAPv3 e clique no botão Editar (o botão em forma de lápis).
Clique em Novo.
Introduza o nome de host DNS ou o endereço IP do servidor LDAP no campo “Servidor ou endereço IP”.
Selecione “Cifrar usando SSL”, se pretender que o Open Directory utilize SSL (Secure Sockets Layer) para efetuar ligações ao diretório LDAP.
Antes de selecionar esta opção, pergunte ao administrador do Open Directory se é necessário SSL.
Se o Utilitário de Diretório não conseguir contactar o servidor LDAP, poderá ser necessário ajustar as definições de acesso da configuração. Encontrará mais informação em Alterar as definições de ligação de um diretório LDAP ou Open Directory.
Clique em Continuar.
Selecione o novo servidor LDAP na lista e, depois, clique em Editar.
Clique em “Pesquisa e Mapeamentos”.
Clique no menu pop-up “Aceder a este servidor LDAPv3 usando”, selecione “Open Directory” e, depois, introduza uma base de pesquisa.
Normalmente, o sufixo da base de pesquisa deriva do nome de host DNS do servidor. Por exemplo, o sufixo da base de pesquisa pode ser “dc=ods,dc=exemplo,dc=com” para um servidor cujo nome de host DNS seja ods.example.com.
Se o servidor de diretório suportar a ligação fidedigna, clique em Ligar e, depois, digite o nome do computador e o nome e palavra-passe de um administrador do diretório.
A ligação pode ser opcional.
A ligação fidedigna é mútua. Sempre que o computador se ligar ao diretório LDAP, autenticam-se um ao outro. Se a ligação fidedigna estiver configurada, ou se o diretório LDAP não suportar a ligação fidedigna, o botão Ligar não aparece. Certifique-se de que indicou o nome de computador correto.
Se surgir um aviso a indicar que um registo do computador já existe, volte a tentar utilizando um nome de computador diferente, ou clique em Substituir para substituir o registo existente.
O registo existente pode estar abandonado ou pertencer a outro computador.
Antes de substituir um registo existente, avise o administrador do diretório LDAP, para se certificar de que a substituição do registo não desativará outro computador. Neste caso, o administrador do diretório LDAP terá de dar ao computador desativado um nome diferente e adicioná-lo novamente ao grupo de computadores ao qual pertencia.
Clique em Segurança.
Se o diretório LDAP exigir autenticação para a ligação, selecione “Usar autenticação ao estabelecer ligação” e, em seguida, introduza o nome distinto e a palavra-passe de uma conta de utilizador do diretório.
Uma ligação autenticada não é mútua: o servidor LDAP autentica o cliente, mas este não autentica o servidor.
O nome distinto pode especificar qualquer conta de utilizador com permissão para ver dados no diretório. Por exemplo, uma conta de utilizador cujo nome abreviado seja dirauth num servidor LDAP e cujo endereço seja ods.example.com, teria o nome distinto uid=dirauth,cn=utilizadores,dc=ods,dc=exemplo,dc=com.
Importante: se a palavra-passe ou o nome distinto estiver incorreto, é possível iniciar sessão no computador utilizando contas de utilizador do diretório LDAP.
Clique em OK para terminar a criação da ligação LDAP.
Clique em OK para terminar a configuração das opções do LDAPv3.
Se pretender que o computador aceda a este diretório LDAP configurado, adicione o diretório a uma política de pesquisa personalizada nos painéis Autenticação e Contactos da “Política de pesquisa” no Utilitário de Diretório. Encontrará mais informações sobre a criação de políticas de pesquisa em Definir políticas de pesquisa.