Nakonfigurování přístupu k adresáři LDAP v Adresářové utilitě na Macu
Pomocí Adresářové utility můžete určit, jakým způsobem má počítač Mac přistupovat do adresáře LDAPv3. Při tom je nutné znát název hostitele DNS nebo IP adresu adresářového LDAP serveru.
Pokud hostitelem adresáře není server, který poskytuje vlastní mapování (například macOS Server), musíte znát bázi hledání a šablonu pro namapování dat systému macOS na data adresáře.
Podporovány jsou následující šablony přiřazení:
Open Directory server – pro adresář, který používá schéma Serveru
Active Directory – pro adresář, jehož hostitelem je server Windows 2000 nebo novější
RFC 2307 – pro většinu adresářů, jejichž hostitelem jsou servery UNIX
Modul plug-in LDAPv3 plně podporuje replikaci a zotavení při selhání v rámci služby Open Directory. Přestane-li být hlavní server Open Directory dostupný, modul plug-in použije nejbližší repliku.
Chcete-li pro adresářová data definovat vlastní přiřazení, použijte místo těchto pokynů postup uvedený v tématu Manuální nakonfigurování přístupu k adresáři LDAP.
Důležité: Obsahuje-li název vašeho počítače spojovník, je možné, že nebudete moci k adresářové doméně (jako je LDAP nebo Active Directory) vytvořit vazbu. K vytvoření vazby použijte název počítače, který pomlčku neobsahuje.
V aplikaci Adresářová utilita
na Macu klikněte na ikonu Služby.Klikněte na ikonu zámku.
Zadejte uživatelské jméno a heslo správce a klikněte na volbu Změnit konfiguraci (případně použijte Touch ID).
Vyberte volbu LDAPv3 a pak klikněte na tlačítko „Upravit nastavení vybrané služby“
.Klikněte na Nové.
Do pole Název serveru nebo IP adresa zadejte název hostitele DNS nebo IP adresu pro LDAP server.
Má-li služba Open Directory pro připojení s použitím adresáře LDAP používat zabezpečení SSL (Secure Sockets Layer), zaškrtněte políčko „Šifrovat pomocí SSL“.
Před zaškrtnutím tohoto políčka se zeptejte příslušného správce služby Open Directory, zda je SSL zabezpečení potřebné.
Nemůže-li Adresářová utilita navázat kontakt s LDAP serverem, je pravděpodobně nutné upravit přístupové parametry v konfiguraci. Informace naleznete v tématu Změna nastavení připojení pro LDAP nebo Open Directory server.
Klikněte na tlačítko Pokračovat.
Vyberte v seznamu nový LDAP server a poté klikněte na Úpravy.
Klikněte na volbu Hledání a přiřazení.
V místní nabídce klikněte na příkaz „K tomuto LDAPv3 serveru přistoupit pomocí“, vyberte položku Open Directory a zadejte bázi hledání.
Přípona báze hledání je obvykle odvozena z hostitelského názvu DNS serveru. Příklad: Pro server, jehož název hostitele DNS serveru je ods.example.com, by přípona báze hledání mohla vypadat takto: „dc=ods,dc=example,dc=com“.
Pokud adresářový server podporuje důvěryhodné vazby, klikněte na Vytvořit vazbu a poté zadejte název počítače a jméno a heslo správce adresářové služby.
Vazba může být volitelná.
Důvěryhodná vazba je vzájemná. Při každém připojení počítače k adresáři LDAP dojde ke vzájemnému ověření totožnosti. Je-li důvěryhodná vazba již nakonfigurována nebo pokud naopak adresář LDAP důvěryhodnou vazbu nepodporuje, tlačítko Vytvořit vazbu se nezobrazí. Zkontrolujte, že jste zadali správný název počítače.
Zobrazí-li se upozornění, že záznam počítače již existuje, zkuste úkon zopakovat s použitím jiného názvu počítače nebo kliknutím na volbu Přepsat existující záznam počítače nahraďte.
Je možné, že existující záznam počítače je opuštěným záznamem nebo může náležet k jinému počítači.
Než nahradíte existující záznam počítače, upozorněte správce adresáře LDAP, aby se předešlo tomu, že nahrazení záznamu způsobí zablokování jiného počítače. V takovém případě musí správce adresáře LDAP přiřadit zablokovanému počítači jiný název a poté jej znovu přidat do skupiny počítačů, do níž náležel.
Klikněte na Zabezpečení.
Pokud adresářová služba LDAP při připojení vyžaduje ověření totožnosti, vyberte „Při připojování použít ověření totožnosti“ a poté zadejte jedinečné jméno a heslo některého uživatelského účtu v adresáři.
Ověření totožnosti při připojení není vzájemné: LDAP server ověřuje totožnost klienta, avšak klient neověřuje totožnost serveru.
Jedinečný název může odkazovat na libovolný uživatelský účet, který má oprávnění k zobrazení dat v adresáři. Příklad: Uživatelský účet, jehož krátký název na LDAP serveru by byl dirauth a adresa by byla ods.example.com, by měl jedinečný název uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Důležité: Jsou-li jedinečný název nebo heslo nesprávné, můžete se k počítači přihlásit prostřednictvím uživatelských účtů z adresáře LDAP.
Kliknutím na tlačítko OK dokončete vytvoření LDAP připojení.
Kliknutím na tlačítko OK dokončete konfiguraci voleb LDAPv3.
Chcete-li počítači umožnit přístup do tohoto nakonfigurovaného adresáře LDAP, přidejte adresář do vlastní zásady hledání na panelech Ověření totožnosti a Kontakty v okně Zásady hledání Adresářové utility. Informace o vytváření zásad hledání najdete v části Definování zásad pro hledání.