Manuelles Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis in der App „Verzeichnisdienste“ auf dem Mac
Du kannst die Konfiguration, die den Zugriff eines Mac-Computers auf ein bestimmtes LDAPv3- oder LDAPv2-Verzeichnis bestimmt, manuell erstellen. Dir muss dazu der DNS-Hostname oder die IP-Adresse des LDAP-Verzeichnisservers bekannt sein.
Wird das Verzeichnis nicht von einem Mac mit macOS Server bereitgestellt, musst du zusätzlich den Suchbeginn sowie die Vorlage für die Zuordnung der macOS-Daten zu den Verzeichnisdaten kennen. Die folgenden Zuordnungsvorlagen werden unterstützt:
Vom Server - für ein Verzeichnis, das seine eigenen Zuordnungen vornimmt und selbst den Suchbeginn bereitstellt (zum Beispiel ein macOS Server)
Open Directory-Server - für ein Verzeichnis, das die macOS Server-App für das macOS-Schema verwendet
Active Directory - für ein von einem Server unter Windows 2000, Windows 2003 (oder neuer) bereitgestelltes Verzeichnis
RFC 2307 - für die meisten von UNIX-Servern bereitgestellten Verzeichnisse
Eigene - für Verzeichnisse, die keine der oben genannten Zuordnungen verwenden
Das Plug-In (Zusatzmodul) „LDAPv3“ unterstützt die Open Directory-Replikation und Ausfallumschaltung (Failover) in vollem Umfang. Sollte der Open Directory-Master ausfallen, schaltet das Plug-In automatisch zu einem verfügbaren Replikat um.
Wichtig: Falls der Name eines Computers einen Bindestrich (-) enthält, besteht die Gefahr, dass der Versuch scheitert, einer Verzeichnis-Domain wie LDAP oder Active Directory beizutreten und die Verbindung herzustellen. Für den Beitritt musst du gegebenenfalls den Bindestrich aus dem Namen des betreffenden Computers entfernen.
Klicke in der App „Verzeichnisdienste“ auf deinem Mac auf „Dienste“.
Klicke auf das Schlosssymbol.
Gib den Benutzernamen eines Administrators und das zugehörige Passwort ein und klicke auf „Konfiguration verändern“ (oder verwende Touch ID).
Wähle „LDAPv3“ und klicke auf die Taste „Bearbeiten“ (sieht aus wie ein Stift).
Klicke auf „Neu“.
Gib den DNS-Hostnamen oder die IP-Adresse des LDAP-Servers ein und klicke auf „Fortfahren“.
Klicke auf das Einblendmenü in der Spalte „LDAP-Pfade“ und wähle eine Zuordnungsvorlage oder eine Zuordnungsmethode aus:
Wenn du „Vom Server“ auswählst, ist kein Suffix für den Suchbeginn erforderlich. In diesem Fall geht Open Directory davon aus, dass das Suchbeginnsuffix der ersten Ebene des LDAP-Verzeichnisses entspricht.
Klicke auf die Taste „Vom Server lesen“, um eine Liste aller Datensatztypen und Attribute anzuzeigen. Datensatztypen, die in der lokalen macOS-Verzeichnisdomain nicht vorhanden sind, etwa AutoServerSetup oder Neighborhoods, werden im Fenster „Datensatztypen und Attribute“ rot markiert.
Wenn du dich für eine Vorlage wie Open Directory oder RFC2307 entscheidest, musst du das Suchbeginnsuffix für das LDAP-Verzeichnis eingeben und danach auf „OK“ klicken. Ohne das Suchbeginnsuffix ist der Computer nicht in der Lage, Informationen im LDAP-Verzeichnis zu finden. Im Normalfall wird das Suffix für den Suchbeginn vom DNS-Hostnamen des Servers abgeleitet. Für einen Server mit dem DNS-Hostnamen „ods.example.com“ könnte das Suffix beispielsweise „dc=ods,dc=example, dc=com“ lauten.
Wenn du dich für „Eigene“ entscheidest, musst du die Zuordnungen zwischen den Datensatztypen und Attributen von macOS auf der einen Seite und den Klassen und Attributen des LDAP-Verzeichnisses, zu dem du die Verbindung herstellst, auf der anderen Seite festlegen. Weitere Informationen findest du unter Konfigurieren von LDAP-Suchen und -Zuordnungen.
Wende dich an deinen Open Directory-Administrator, um festzustellen, ob SSL erforderlich ist. Wenn ja, aktiviere SSL.
Klicke zum Ändern der folgenden Einstellungen für die LDAP-Konfiguration auf „Bearbeiten“, um die Optionen für die ausgewählte LDAP-Konfiguration einzublenden, nimm die Änderungen vor und klicke dann auf „OK“.
Klicke auf „Verbindung“, um die Zeitlimitwerte einzugeben und die Einstellungen der Optionen „Eigenen Port verwenden“ und „Verweise des Servers ignorieren“ festzulegen. Weitere Informationen findest du unter Ändern der Verbindungseinstellungen für einen LDAP- oder Open Directory-Server.
Klicke auf „Suche & Pfade“, um die Such- und Zuordnungseinstellungen für einen LDAP-Server festzulegen. Weitere Informationen findest du unter Konfigurieren von LDAP-Suchen und -Zuordnungen.
Klicke auf „Sicherheit“, um (anstelle einer vertrauenswürdigen Bindung) eine authentifizierte Verbindung und andere für die Sicherheitsrichtlinien relevante Optionen einzurichten. Weitere Informationen findest du unter Ändern der LDAP-Verbindungsrichtlinie.
Klicke auf „Einbinden“, um eine vertrauenswürdige Bindung einzurichten (sofern eine solche Verbindung vom LDAP-Verzeichnis unterstützt wird). Weitere Informationen findest du unter Einrichten einer authentifizierten Bindung für ein LDAP-Verzeichnis.
Klicke auf „OK“, um die manuelle Erstellung der Konfiguration für den Zugriff auf ein LDAP-Verzeichnis abzuschließen.
Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, für das du eine Konfiguration erstellt hast, musst du das betreffende Verzeichnis dem Suchpfad in den Bereichen „Authentifizierung“ und „Kontakte“ der App „Verzeichnisdienste“ hinzufügen.
Weitere Informationen findest du unter Definieren von Suchpfaden.
Damit du Benutzer mit macOS Server auf einem nicht von Apple stammenden Verzeichnisserver erstellen kannst, der RFC 2307-Zuordnungen (UNIX) verwendet, musst du die Zuordnung des Datensatztyps „Users“ bearbeiten. Weitere Informationen findest du unter Bearbeiten der RFC 2307-Zuordnung für die Erstellung von Benutzern.
Wichtig: Wenn du die IP-Adresse und den Computernamen mithilfe des Befehls changeip
änderst, während du bei einem Verzeichnisserver angemeldet bist, musst du die Verbindung trennen und erneut herstellen, damit das Verzeichnis mit dem neuen Computernamen und der neuen IP-Adresse aktualisiert wird. Wenn du die Verbindung zum Verzeichnisserver nicht trennst und wiederherstellst, wird das Verzeichnis nicht aktualisiert und verwendet weiterhin den alten Computernamen und die alte IP-Adresse.