Configurar o acesso a um diretório LDAP no Utilitário de Diretório no Mac
Com o Utilitário de Diretório, é possível especificar como o Mac acede a um diretório LDAPv3. É necessário saber o nome de host DNS ou o endereço IP do servidor de diretório LDAP.
Se o diretório não estiver alojado num servidor que forneça os seus próprios mapeamentos (como o macOS Server), é necessário saber a base de pesquisa e o modelo para associar dados do macOS aos dados do diretório.
Os modelos de mapeamento suportados são:
“Servidor Open Directory”, para um diretório que utilize o esquema do Server;
“Active Directory”, para um diretório alojado num servidor com o Windows 2000 ou posterior;
“RFC 2307”, para a maioria dos diretórios alojados em servidores UNIX;
O plug-in LDAPv3 suporta na íntegra a réplica e proteção contra falhas do Open Directory. Se o servidor principal do Open Directory ficar indisponível, o plug-in usa uma réplica.
Para especificar mapeamentos personalizados para os dados do diretório, siga as instruções especificadas em Configurar manualmente o acesso a um diretório LDAP, em vez das presentes instruções.
Importante: se o nome do computador incluir um hífen, poderá não ser possível ligar-se a um domínio de diretório como LDAP ou Active Directory. Para estabelecer ligação, utilize um nome de computador sem hífen.
Abrir o Utilitário de Diretório
Na aplicação Utilitário de Diretório no Mac, clique em Serviços.
Clique no ícone de cadeado.
Digite um nome e palavra‑passe de administrador e, em seguida, clique em “Modificar configuração” (ou use o Touch ID).
Selecione LDAPv3 e, depois, clique no botão “Editar as definições do serviço selecionado” .
Clique em Novo.
Introduza o nome de host DNS ou o endereço IP do servidor LDAP no campo “Servidor ou endereço IP”.
Selecione “Cifrar usando SSL”, se pretender que o Open Directory utilize SSL (Secure Sockets Layer) para efetuar ligações ao diretório LDAP.
Antes de selecionar esta opção, pergunte ao administrador do Open Directory se é necessário SSL.
Se o Utilitário de Diretório não conseguir contactar o servidor LDAP, poderá ser necessário ajustar as definições de acesso da configuração. Consulte Alterar as definições de ligação de um servidor LDAP ou Open Directory.
Clique em Continuar.
Selecione o novo servidor LDAP na lista e, depois, clique em Editar.
Clique em “Pesquisa e Mapeamentos”.
Clique no menu pop-up “Aceder a este servidor LDAPv3 usando”, selecione “Open Directory” e, em seguida, introduza uma base de pesquisa.
Normalmente, o sufixo da base de pesquisa deriva do nome de host DNS do servidor. Por exemplo, o sufixo da base de pesquisa pode ser “dc=ods,dc=example,dc=com” para um servidor cujo nome de host DNS seja ods.example.com.
Se o servidor de diretório suportar a ligação fidedigna, clique em Ligar e, depois, digite o nome do computador e o nome e palavra-passe de um administrador do diretório.
A ligação pode ser opcional.
A ligação fidedigna é mútua. Sempre que o computador se ligar ao diretório LDAP, autenticam-se um ao outro. Se a ligação fidedigna estiver configurada, ou se o diretório LDAP não suportar a ligação fidedigna, o botão Ligar não aparece. Certifique-se de que indicou o nome de computador correto.
Se surgir um aviso a indicar que um registo do computador já existe, volte a tentar utilizando um nome de computador diferente, ou clique em Substituir para substituir o registo existente.
O registo existente pode estar abandonado ou pertencer a outro computador.
Antes de substituir um registo existente, avise o administrador do diretório LDAP, para se certificar de que a substituição do registo não desativará outro computador. Neste caso, o administrador do diretório LDAP terá de dar ao computador desativado um nome diferente e adicioná-lo novamente ao grupo de computadores ao qual pertencia.
Clique em Segurança.
Se o diretório LDAP exigir autenticação para a ligação, selecione “Usar autenticação ao estabelecer ligação” e, em seguida, introduza o nome distinto e a palavra-passe de uma conta de utilizador do diretório.
Uma ligação autenticada não é mútua: o servidor LDAP autentica o cliente, mas este não autentica o servidor.
O nome distinto pode especificar qualquer conta de utilizador com permissão para ver dados no diretório. Por exemplo, uma conta de utilizador cujo nome abreviado seja dirauth num servidor LDAP e cujo endereço seja ods.example.com, teria o nome distinto uid=dirauth,cn=utilizadores,dc=ods,dc=exemplo,dc=com.
Importante: se a palavra-passe ou o nome distinto estiver incorreto, é possível iniciar sessão no computador utilizando contas de utilizador do diretório LDAP.
Clique em OK para terminar a criação da ligação LDAP.
Clique em OK para terminar a configuração das opções do LDAPv3.
Se pretender que o computador aceda a este diretório LDAP configurado, adicione o diretório a uma política de pesquisa personalizada nos painéis Autenticação e Contactos da “Política de pesquisa” no Utilitário de Diretório. Encontrará mais informações sobre a criação de políticas de pesquisa em Definir políticas de pesquisa.