Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis in der App „Verzeichnisdienste“ auf dem Mac
Mit der App „Verzeichnisdienste“ kannst du festlegen, wie dein Mac auf ein LDAPv3-Verzeichnis zugreift. Dir muss dazu der DNS-Hostname oder die IP-Adresse des LDAP-Verzeichnisservers bekannt sein.
Wenn sich das Verzeichnis nicht auf einem Hostserver befindet, der eigene Zuordnungen bereitstellt (wie dies z. B. die Server-App tut), müssen der Suchbereich und die Vorlage zum Zuordnen von macOS-Daten zu den Daten des Verzeichnisses bekannt sein.
Die folgenden Zuordnungsvorlagen werden unterstützt:
Open Directory-Server - für ein Verzeichnis, das das Serverschema verwendet
Active Directory - für ein von einem Server unter Windows 2000 (oder neuer) bereitgestelltes Verzeichnis
RFC 2307 - für die meisten von UNIX-Servern bereitgestellten Verzeichnisse
Das Plug-In (Zusatzmodul) „LDAPv3“ unterstützt die Open Directory-Replikation und Ausfallumschaltung (Failover) in vollem Umfang. Sollte der Open Directory-Master ausfallen, verwendet das Plug-in automatisch ein Replikat in der Nähe, sofern verfügbar und im Zugriff.
Du kannst eigene Zuordnungen für die Verzeichnisdaten vornehmen. Befolge in diesem Fall die Anleitungen unter Manuelles Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis anstelle der hier beschriebenen Schritte die Anleitung.
Wichtig: Falls der Name eines Computers einen Bindestrich (-) enthält, besteht die Gefahr, dass der Versuch scheitert, einer Verzeichnis-Domain wie LDAP oder Active Directory beizutreten und die Verbindung herzustellen. Für die Einbindung ändere den Computernamen, sodass der Bindestrich aus dem Namen des betreffenden Computers entfernt ist.
Klicke in der App „Verzeichnisdienste“ auf deinem Mac auf „Dienste“.
Klicke auf das Schlosssymbol.
Gib den Benutzernamen eines Administrators und das zugehörige Passwort ein und klicke auf „Konfiguration verändern“ (oder verwende Touch ID).
Wähle „LDAPv3“ und klicke dann auf die Taste „Einstellungen für den ausgewählten Dienst bearbeiten“ .
Klicke auf „Neu“.
Gib in das Feld „Servername oder IP-Adresse“ den DNS-Hostnamen oder die IP-Adresse des LDAP-Servers ein.
Wähle „Verschlüsselung mit SSL“, wenn Open Directory SSL (Secure Sockets Layer) für Verbindungen mit dem LDAP-Verzeichnis verwenden soll.
Frage vor Auswahl dieser Option deinen Open Directory-Administrator, ob eine SSL-Verschlüsselung erforderlich ist.
Wenn die App „Verzeichnisdienste“ den Kontakt mit dem LDAP-Server nicht herstellen kann, musst du möglicherweise deine konfigurierten Zugriffseinstellungen anpassen. Weitere Informationen findest du unter Ändern der Verbindungseinstellungen für einen LDAP- oder Open Directory-Server.
Klicke auf „Fortfahren“.
Wähle den neuen LDAP-Server aus der Liste aus und klicke auf „Bearbeiten“.
Klicke auf „Suche & Pfade“.
Klicke auf das Einblendmenü „Zugriff auf diesen LDAPv3-Server über“, wähle „Open Directory“ und gib einen Suchbeginn ein.
Im Normalfall wird das Suffix für den Suchbeginn vom DNS-Hostnamen des Servers abgeleitet. Für einen Server mit dem DNS-Hostnamen „ods.example.com“ könnte das Suffix beispielsweise „dc=ods,dc=example, dc=com“ lauten.
Wenn der Verzeichnisserver vertrauenswürdige Bindungen unterstützt, kannst du auf „Einbinden“ klicken und den Namen des Computers sowie den Benutzernamen und das Passwort eines Verzeichnisadministrators eingeben.
Die Bindung ist nicht in allen Fällen erforderlich.
Eine vertrauenswürdige Bindung ist wechselseitig. Sobald der Computer die Verbindung zum LDAP-Verzeichnis herstellt, authentifizieren sich die Systeme gegenseitig. Wenn bereits eine vertrauenswürdige Bindung eingerichtet wurde oder das LDAP-Verzeichnis eine solche Verbindung nicht unterstützt, wird die Taste „Einbinden“ nicht angezeigt. Vergewissere dich, dass der von dir eingegebene Computername richtig ist.
Wenn du informiert wirst, dass bereits ein Eintrag für den eingegebenen Computernamen existiert, kannst du den Versuch unter Verwendung eines anderen Computernamens wiederholen. Klicke auf „Überschreiben“, wenn der vorhandene Computereintrag überschrieben werden soll.
Bei einem vorhandenen Computereintrag besteht die Möglichkeit, dass er nicht mehr verwendet wird; es kann aber auch sein, dass er Bezug auf einen anderen Computer nimmt.
Du solltest daher stets den Administrator des LDAP-Verzeichnisses entsprechend informieren, bevor du einen vorhandenen Computereintrag ersetzt, damit durch das Ersetzen kein anderer Computer deaktiviert wird. In diesem Fall muss der für das LDAP-Verzeichnis zuständige Administrator dem betroffenen Computer einen anderen Namen zuweisen und diesen Computer wieder der Gruppe hinzufügen, der er ursprünglich angehörte.
Klicke auf „Sicherheit“.
Wenn für die LDAP-Verbindung die Authentifizierung erforderlich ist, kannst du „Beim Verbindungsaufbau authentifizieren“ auswählen und den Namen und das Passwort eines Benutzeraccounts im betreffenden Verzeichnis eingeben.
Eine authentifizierte Verbindung ist nicht wechselseitig: der LDAP-Server authentifiziert den Client, der Client umgekehrt aber nicht den Server.
Der Name kann Bezug auf jeden Benutzeraccount nehmen, der die Berechtigung zum Lesen/Anzeigen der Daten im Verzeichnis hat. Für den Benutzeraccount mit dem Kurznamen „dirauth“ auf dem LDAP-Server „ods.example.com“ lautet beispielsweise der Name „uid=dirauth,cn=users,dc=ods,dc=example,dc=com“.
Wichtig: Falls der Name oder das Passwort ungültig ist, kannst du einen der Benutzeraccounts im LDAP-Verzeichnis verwenden, um sich am betreffenden Computer anzumelden.
Klicke auf „OK“, um das Erstellen der LDAP-Verbindung abzuschließen.
Klicke auf „OK“, um das Konfigurieren der LDAPv3-Optionen abzuschließen.
Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, für das du eine Konfiguration erstellt hast, musst du das betreffende Verzeichnis dem Suchpfad in den Optionen „Authentifizierung“ und „Kontakte“ der App „Verzeichnisdienste“ hinzufügen. Weitere Informationen über das Erstellen von Suchpfaden findest du unter Definieren von Suchpfaden.