
Información sobre el módulo Active Directory
Puede configurar Mac OS X para acceder a información básica de la cuenta de usuario en un dominio Active Directory de un servidor Windows 2000 o Windows 2003. Lo que hace que esto sea posible es un módulo Active Directory para Configuración de Directorio. Este módulo Active Directory aparece en el panel Servicios de Configuración de Directorio.
No son necesarias modificaciones del esquema del dominio de Active Directory para obtener información básica de la cuenta de usuario. Es posible que tenga que cambiar la Lista de Control de Accesos (ACL - Access Control List) de atributos específicos para que las cuentas del ordenador tengan la capacidad de leer las propiedades. El módulo Active Directory genera todos los atributos requeridos por la autenticación Mac OS X a partir de atributos estándar de las cuentas de usuario de Active Directory. También controla todas las políticas de autenticación de Active Directory, incluidos los cambios, caducidad y cambios forzados de contraseñas.
El módulo Active Directory genera dinámicamente un único ID de usuario y un ID de grupo primario basados en el ID Único Global (GUID - Globally Unique ID) de la cuenta del usuario en el dominio de Active Directory. Los ID de usuario y de grupo primario generados son siempre los mismos para cada cuenta de usuario, incluso si la cuenta se utiliza para iniciar sesión en distintos ordenadores Mac OS X. Alternativamente, se puede forzar al módulo Active Directory que asigne el ID de usuario a un atributo de Active Directory que se indique.
Cuando alguien inicia sesión en Mac OS X con una cuenta de usuario de Active Directory, el módulo crea un directorio de inicio en el volumen de arranque del ordenador Mac OS X. El módulo también hace que Mac OS X monte el directorio de inicio de Windows del usuario (según se especifica en la cuenta de usuario de Active Directory) en el escritorio como un punto compartido. Usando el Finder, el usuario puede copiar archivos entre el directorio de inicio de Windows y el directorio de inicio de Mac OS X.
Cada vez que un usuario inicia sesión en Mac OS X con un nombre y contraseña de usuario de Active Directory, el módulo puede guardar en caché en el ordenador Mac OS X las credenciales de autenticación. El usuario puede iniciar sesión de nuevo en el mismo ordenador cuando éste no está conectado a la red. Puede activar o desactivar el almacenamiento en caché de las credenciales.
Si el esquema de Active Directory se ha ampliado para incluir tipos (clases objeto) y atributos de registro Mac OS X, el módulo Active Directory los detecta y accede a ellos. Por ejemplo, el esquema de Active Directory podría modificarse utilizando las herramientas administrativas de Windows para incluir atributos de cliente gestionado de Mac OS X Server. Esta modificación del esquema haría que el módulo Active Directory admitiera ajustes de cliente gestionado introducidos en el módulo Preferencias del gestor de grupos de trabajo. Los clientes Mac OS X adoptan acceso de lectura total de los atributos que se añadan al directorio. Por consiguiente, puede ser necesario modificar el ACL de dichos atributos para que las cuentas del ordenador puedan leer estos atributos añadidos.
El módulo Active Directory detecta automáticamente todos los dominios de un dominio raíz de Active Directory. Puede configurar el módulo para permitir a los usuarios de cualquier dominio del dominio raíz autenticarse en un ordenador Mac OS X. La autenticación multidominio puede también desactivarse para permitir sólo a determinados dominios su autenticación en el cliente.
El módulo Active Directory es totalmente compatible con la replicación y la tolerancia a fallos de Active Directory. Detecta múltiples controladores de dominio y determina cuál es el más cercano. Si un controlador de dominio deja de estar disponible, el módulo recurre a otro controlador de dominio próximo.
El módulo Active Directory utiliza LDAP para acceder a las cuentas de usuario de Active Directory y Kerberos para autenticarlas. No utiliza Active Directory Services Interface (ADSI), propietario de Microsoft, para obtener servicios de autenticación o de directorio.