MacのディレクトリユーティリティでOpen Directoryのアクセスを設定する

Macのディレクトリユーティリティアプリケーション で、「サービス」をクリックします。

カギのアイコンをクリックします。

管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします（またはTouch IDを使用します）。

「LDAPv3」を選択し、選択したサービスの設定を編集するボタン をクリックします。

「新規」をクリックします。

「サーバ名またはIPアドレス」フィールドに、Open Directoryサーバのサーバ名またはIPアドレスを入力します。

Open Directoryで接続にSSL（Secure Sockets Layer）を使うようにするには、「SSLを使って暗号化」を選択します。

これを選択する前に、SSLが必要かどうかをOpen Directory管理者に確認してください。

ディレクトリユーティリティがOpen Directoryサーバに接続できない場合は、設定のアクセス設定を調整しなければならないことがあります。LDAPサーバまたはOpen Directoryサーバの接続設定を変更するを参照してください。

「続ける」をクリックします。

リストで新しいOpen Directoryサーバを選択して、「編集」をクリックします。

「検索とマッピング」をクリックします。

「このLDAP v3サーバにアクセスするときに使用」ポップアップメニューをクリックし、「Open Directory」を選択してから、検索ベースを入力します。

MacがOpen Directoryサーバで情報を見つけることができるように、検索ベースのサフィックスを入力する必要があります。通常、検索ベースのサフィックスはサーバのDNSホスト名から派生します。たとえば、server.example.comというDNSホスト名を持つサーバの検索ベースのサフィックスは、「dc=server,dc=example,dc=com」にすることができます。

LDAP検索とマッピングを設定するを参照してください。

ディレクトリサーバが信頼されたバインディングをサポートしている場合は、「バインド」をクリックして、ディレクトリ管理者の名前およびパスワードを入力します。

バインディングはオプションの場合もあります。

信頼されたバインディングは相互です。MacがLDAPディレクトリに接続するたびに、それらは互いを認証します。信頼されたバインディングが設定されているか、LDAPディレクトリが信頼されたバインディングをサポートしていない場合、「バインド」ボタンは表示されません。正しいMacコンピュータ名を指定していることを確認します。

コンピュータレコードがディレクトリ内に存在することを示す警告が表示された場合は、別のMacコンピュータ名を使用してやり直すか、「上書き」をクリックして既存のコンピュータレコードを置き換えます。

既存のコンピュータのレコードは、放棄されていることもあれば、名前が同一である場合には別のコンピュータに属していることもあります。

既存のコンピュータのレコードを置き換える前に、LDAPディレクトリ管理者に通知して、レコードを置き換えることで別のコンピュータが使用不可になることがないようにしてください。このような場合、LDAPディレクトリ管理者は、使用不可になったコンピュータに別の名前を割り当て、そのコンピュータが属していたコンピュータグループに戻す必要があります。

LDAPディレクトリの認証されたバインディングを設定するを参照してください。

「セキュリティ」をクリックします。

Open Directoryへの接続に認証が必要な場合は、「接続時に認証を使用」を選択して、ディレクトリ内のユーザアカウントの識別名とパスワードを入力します。

認証接続は相互には行われません。LDAPサーバはMacを認証しますが、MacはLDAPサーバを認証しません。

識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定できます。たとえば、ユーザ名がLDAPサーバの「dirauth」で、アドレスがserver.example.comのユーザアカウントは、uid=dirauth,cn=users,dc=server,dc=example,dc=comという識別名を持つことになります。

LDAP接続セキュリティポリシーを変更するを参照してください。

「OK」をクリックして、Open Directory接続の作成を終了します。

「OK」をクリックして、LDAPv3オプションの設定を終了します。