Configuración de la autenticación LDAP

Mediante autenticación LDAP, puedes permitir que los usuarios inicien sesión con sus credenciales actuales de Microsoft Active Directory (AD) o Apple Open Directory (OD).

La integración con servicios de directorio LDAP te permite:

  • Autenticar usuarios con su nombre de usuario y contraseña de AD u OD (disponible para Jamf Teacher, Jamf Parent, Inscripción Automatizada de Dispositivos (antes DEP), Inscripción con Apple Configurator 2, Inscripción de Usuarios e inscripción en el dispositivo)

  • Crear usuarios y grupos en Jamf School

  • Actualizar usuarios y grupos que ya existen en Jamf School (solo si las propiedades en Jamf School no coinciden con las propiedades en el directorio remoto)

Nota:

La autenticación LDAP no puede leer grupos anidados de AD u OD. Además, no puede sincronizar tu AD u OD completo con Jamf School. (Los usuarios y grupos solo se crean o actualizan cuando un usuario intenta autenticarse «sobre la marcha».)

Requisitos generales

Para configurar la autenticación LDAP en Jamf School, debes incluir en la lista aprobada las direcciones IP necesarias en tu firewall. Si quieres más información, consulta Puertos de firewall, direcciones IP y URL usados por Jamf School.

Se recomienda usar SSL para encriptar el tráfico intercambiado con tu servidor LDAP. Si quieres más información sobre la activación de LDAP sobre SSL para Active Directory, consulta el siguiente artículo en el sitio web de soporte de Microsoft: http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx Si quieres más información sobre la activación de LDAP sobre SSL para Open Directory, consulta Open Directory: Enabling SSL for Open Directory with Replicas (Open Directory: Activación de SSL para Open Directory con réplicas) en el sitio web de soporte de Apple.

Asociaciones de atributos para LDAP

Active Directory

Nombre de asociación de atributos de Jamf SchoolValor de asociación de atributos de proveedor de LDAP
Nombre de usuariosAMAccountName
Dirección de correomail
Nombre y apellidoscn
Pertenencia a gruposmemberOf
Notasdescription

Open Directory

Nombre de asociación de atributos de Jamf SchoolValor de asociación de atributos de proveedor de LDAP
Nombre de usuariouid
Dirección de correomail
Nombre y apellidoscn
Notasdescription
Foto de usuariojpegPhoto
Pertenencia a grupos(&(objectClass=posixGroup)(memberUid=USERNAME))

Configuración de la autenticación LDAP

  1. En Jamf School, accede a Organización > Ajustes en la barra lateral.
  2. Selecciona la carga útil Authentication (Autenticación).
  3. Selecciona LDAP(s) en el menú desplegable Método de autenticación.
  4. Si quieres que los usuarios y grupos se creen automáticamente cuando un usuario intenta iniciar sesión, selecciona la casilla Crear automáticamente usuarios que no existan localmente.
  5. Si no quieres que Jamf Parent use el servidor LDAP para autenticación, selecciona la casilla Forzar autenticación local para Jamf School Parent. Si se selecciona esta opción, Jamf Parent usará la autenticación Local.
  6. Introduce el puerto y la IP o FQDN del servidor LDAP. Por omisión, se usa 389 para LDAP, y 636 para LDAP sobre SSL.
  7. Para proteger la comunicación con SSL, selecciona la casilla Usar SSL.
  8. Selecciona el tipo de directorio en el menú desplegable Tipo de directorio. Jamf School admite Microsoft Active Directory y Apple Open Directory.
  9. Introduce el DN base del servidor LDAP en el campo DN base. Por ejemplo: «dc=micentro,dc=com».
  10. Si tu servidor admite el enlace anónimo, selecciona la casilla Enlazar con este servidor LDAP anónimamente.
    Nota:

    Active Directory no admite la autenticación al enlazar anónimamente.

    • Introduce el DN completo del usuario con el que quieres enlazar. Por ejemplo: «CN=ldap_proxy, OU=usuarios, DC=micentro, DC=com».

    • Introduce la contraseña del usuario de enlace.

  11. Haz clic en Probar conexión para probar la conexión con tu servidor LDAP.
  12. Si la conexión es correcta, haz clic en el botón Guardar.