Configurare l’accesso a directory LDAP in Utility Directory sul Mac
Utilizzando Directory Utility, puoi specificare il modo in cui Mac accede a una directory LDAPv3. Devi conoscere il nome host DNS o l’indirizzo IP del server delle directory LDAP.
Se la directory non è ospitata su un server che fornisce le proprie mappature, dovrai conoscere la base di ricerca e il modello per associare i dati di macOS ai dati della directory.
I modelli di mappatura supportati sono:
Server Open Directory, per una directory che utilizza lo schema di Server
Active Directory, per una directory che risiede su un server Windows 2000 o versione successiva.
RFC 2307, per la maggior parte delle directory che risiedono su server UNIX.
Il plugin LDAPv3 supporta in maniera completa la replica e il failover di Open Directory. Se il master di Open Directory non è disponibile, il plugin utilizza una replica vicina, se disponibile e accessibile.
Per specificare una mappatura personalizzata per i dati della directory, segui le istruzioni in Configurare manualmente l’accesso a una directory LDAP invece di queste.
Importante: se il nome del tuo computer contiene un trattino, potresti non essere in grado di vincolarlo a un dominio di directory quale LDAP o Active Directory. Per stabilire il vincolo, modifica il nome del computer e scegline uno che non contenga simboli.
Nell’app Utility Directory sul Mac, fai clic su Servizi.
Fai clic sull’icona a forma di lucchetto.
Inserisci la password e il nome utente di amministratore, quindi fai clic su “Modifica configurazione”, oppure utilizza Touch ID.
Seleziona LDAPv3, quindi fai clic sul pulsante “Modifica le impostazioni per il servizio selezionato” .
Fai clic su Novità.
Inserisci l’indirizzo IP o il nome host DNS del server LDAP nel campo “Nome server o Indirizzo IP”.
Seleziona “Crittografa usando SSL” se desideri che Open Directory utilizzi SSL (Secure Sockets Layer) per le connessioni con la directory LDAP.
Prima della selezione, verifica con l’amministratore di Open Directory se è necessario utilizzare SSL.
Se Utility Directory non riesce a contattare il server LDAP, potrebbe essere necessario regolare le impostazioni della configurazione di accesso. Consulta Modificare le impostazioni di connessione a un server LDAP o Open Directory.
Fai clic su Continua.
Seleziona il nuovo server LDAP dall’elenco, quindi fai clic su Modifica.
Fai clic su Ricerca & Assegnazione.
Fai clic sul menu a comparsa “Accedi al server LDAPv3 usando”, scegli “Open Directory”, quindi inserisci una base per la ricerca.
Tipicamente, il suffisso di base per la ricerca è derivato dal nome host DNS del server. Ad esempio, il suffisso per la base di ricerca potrebbe essere “dc=ods, dc=example, dc=com” per un server il cui nome host DNS sia ods.example.com.
Se il server di directory supporta il trusted binding, fai clic su “Attiva binding”, quindi inserisci il nome del computer e il nome e la password dell’amministratore della directory.
Il binding potrebbe essere facoltativo.
Il trusted binding è reciproco. Ogni volta che il computer si collega alla directory LDAP, viene eseguita un’autenticazione reciproca. Se il trusted binding è stato configurato o se la directory LDAP non supporta il trusted binding, il pulsante “Attiva binding” non viene visualizzato. Verifica di aver inserito correttamente il nome del computer.
Se viene visualizzato un messaggio che indica l’esistenza di un “record computer”, riprova con un altro nome del computer, oppure fai clic su Sovrascrivi per sostituire il “record computer” esistente.
Il “record computer” esistente potrebbe essere stato abbandonato o poterebbe appartenere a un altro computer.
Prima di sostituire un “record computer” esistente, dovresti avvertire l’amministratore della directory LDAP per essere sicuro che la sostituzione non disabiliti un altro computer. In questo caso, l’amministratore della directory LDAP deve assegnare al computer disabilitato un nome diverso e aggiungerlo di nuovo all’elenco di computer al quale apparteneva.
Fai clic su Sicurezza.
Se la directory LDAP richiede un’autenticazione per potersi connettere, seleziona “Usa autenticazione quando ti colleghi”, quindi digita il nome e la password di un account utente della directory.
Una connessione autenticata non è reciproca; il server LDAP autentica il client ma non viceversa.
Il nome distintivo può specificare qualsiasi account utente che possiede i privilegi per vedere i dati nella directory. Ad esempio, un account utente con nome breve “dirauth” su un server LDAP e indirizzo ods.esempio.com avrebbe il nome distintivo uid=dirauth,cn=users,dc=ods,dc=esempio,dc=com.
Importante: se il nome distintivo o la password non sono corretti, puoi effettuare l’acceso al computer utilizzando gli account utente della directory LDAP.
Fai clic su OK per terminare la creazione della connessione LDAP.
Fai clic su OK per terminare la configurazione delle opzioni LDAPv3.
Se vuoi che il computer acceda a questa directory LDAP configurata, aggiungi la directory a una ricerca personalizzata nelle opzioni Autenticazione e Contatti dei criteri di ricerca in Utility Directory. Per ulteriori informazioni sulla creazione di politiche di ricerca, consulta Definire i criteri di ricerca.