LDAP ディレクトリへのアクセスを手動で設定する
Mac が LDAPv3 または LDAPv2 ディレクトリにどのようにアクセスするかを指定する設定を手動で作成できます。LDAP ディレクトリサーバの DNS ホスト名と IP アドレスが分かっている必要があります。
ディレクトリが macOS Server がインストールされた Mac によって運用されていない場合は、検索ベースと、macOS データをディレクトリのデータにマッピングするためのテンプレートが分かっている必要があります。サポートされているマッピングテンプレートは、次の通りです:
サーバから。macOS Server などの、独自のマッピングと検索ベースを提供するディレクトリ用
Open Directory サーバ。macOS 用 macOS Server のスキーマを使用するディレクトリ用
Active Directory。 Windows 2000、Windows 2003、またはそれ以降のサーバが運用するディレクトリ用
RFC 2307。 UNIX サーバが運用する大半のディレクトリ用
カスタム。 上記のどのマッピングも使用しないディレクトリ用
LDAPv3 プラグインは、Open Directory の複製とフェイルオーバーを完全にサポートしています。Open Directory のマスターが使用できなくなった場合、プラグインによってすぐ近くにある複製に切り替えられます。
重要:コンピュータ名にハイフンが含まれている場合は、LDAP や Active Directory などのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まないコンピュータ名を使用してください。
「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「LDAPv3」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
「新規」をクリックします。
LDAP サーバの DNS ホスト名または IP アドレスを入力して、「続ける」をクリックします。
「LDAP マッピング」列で、ポップアップメニューをクリックし、マッピングテンプレートまたは方法を選びます:
「サーバから」を選ぶ場合は、検索ベースのサフィックスは必要ありません。この場合、Open Directory によって、LDAP ディレクトリの最初のレベルが検索ベースのサフィックスであると見なされます。
「サーバから読み込む」ボタンをクリックして、すべてのレコードタイプおよび属性のリストを取得します。ローカル macOS ディレクトリドメインで見つからないレコードタイプ(AutoServerSetup や Neighborhoods など)は「レコードのタイプと属性」ウインドウで赤色でマークされます。
「Open Directory」や「RFC2307」などのテンプレートを選ぶ場合は、LDAP ディレクトリ用の検索ベースのサフィックスを入力して、「OK」をクリックします。検索ベースのサフィックスを入力する必要があります。これを怠ると、コンピュータは LDAP ディレクトリで情報を見つけることができません。通常、検索ベースのサフィックスはサーバの DNS ホスト名から派生します。たとえば、ods.example.com という DNS ホスト名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」にすることができます。
「カスタム」を選ぶ場合は、macOS レコードタイプおよび属性と、接続中の LDAP ディレクトリのクラスおよび属性との間のマッピングを設定する必要があります。詳しくは、LDAP 検索とマッピングを設定するを参照してください。
Open Directory 管理者に確認して SSL が必要かどうかを決定し、必要な場合は SSL を選択します。
この LDAP 設定に関する以下の設定を変更する場合は、「編集」をクリックしてオプションを表示し、変更を行ってから「OK」をクリックします。
「接続」をクリックして、タイムアウトオプションを設定するか、カスタムポートを指定するか、サーバの紹介を無視します。詳しくは、LDAP サーバまたは Open Directory サーバの接続設定を変更するを参照してください。
「検索とマッピング」をクリックして、LDAP サーバの検索とマッピングを設定します。詳しくは、LDAP 検索とマッピングを設定するを参照してください。
「セキュリティ」をクリックして認証済み接続(信頼されたバインディングではなく)とその他のセキュリティポリシーのオプションを設定します。詳しくは、LDAP 接続セキュリティポリシーを変更するを参照してください。
「バインド」をクリックして、信頼されたバインディングを設定します(LDAP ディレクトリが信頼されたバインディングをサポートしている場合)。詳しくは、LDAP ディレクトリの認証されたバインディングを設定するを参照してください。
「OK」をクリックすると、LDAP ディレクトリにアクセスする設定の手動作成が終了します。
設定を作成した LDAP ディレクトリにアクセスするには、「ディレクトリユーティリティ」の「検索ポリシー」の「認証」パネルと「連絡先」パネルでそのディレクトリをカスタム検索ポリシーに追加します。
詳しくは、検索ポリシーを定義するを参照してください。
macOS Server を使って RFC 2307(UNIX)マッピングを使用する Apple 以外の LDAP サーバ上にユーザを作成する前に、ユーザのレコードタイプのマッピングをあらかじめ編集しておく必要があります。詳しくは、RFC 2307 マッピングを編集してユーザの作成を可能にするを参照してください。
重要:ディレクトリサーバに接続しているときに changeip
を使って IP アドレスとコンピュータ名を変更する場合は、新しいコンピュータ名と IP アドレスを使ってディレクトリをアップデートするために、ディレクトリサーバを接続解除してから再接続する必要があります。ディレクトリサーバを接続解除して再接続しない場合は、ディレクトリはアップデートされず、以前のコンピュータ名と IP アドレスが引き続き使用されます。