Mac のディレクトリユーティリティで LDAP ディレクトリのアクセスを設定する
「ディレクトリユーティリティ」を使用して、Mac から LDAPv3 ディレクトリにアクセスする方法を指定できます。LDAP ディレクトリサーバの DNS ホスト名と IP アドレスが分かっている必要があります。
ディレクトリが macOS Server のような独自のマッピングを提供するサーバによって運用されていない場合、macOS データをディレクトリのデータにマッピングするための検索ベースとテンプレートが分かっている必要があります。
サポートされているマッピングテンプレートは、次の通りです:
Open Directory サーバ。 Server のスキーマを使用するディレクトリ用
Active Directory。Windows 2000、またはそれ以降のサーバが運用するディレクトリ用
RFC 2307。 UNIX サーバが運用する大半のディレクトリ用
LDAPv3 プラグインは、Open Directory の複製とフェイルオーバーを完全にサポートしています。Open Directory のマスターが使用できなくなった場合、プラグインによってすぐ近くにある複製が使用されます。
ディレクトリデータのカスタムマッピングを指定するには、ここで示す手順ではなく、LDAP ディレクトリへのアクセスを手動で設定するの手順に従ってください。
重要:コンピュータ名にハイフンが含まれている場合は、LDAP や Active Directory などのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まないコンピュータ名を使用してください。
Mac の「ディレクトリユーティリティ」アプリケーション で、「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「LDAPv3」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
「新規」をクリックします。
「サーバ名または IP アドレス」フィールドに、LDAP サーバの DNS ホスト名または IP アドレスを入力します。
Open Directory で LDAP ディレクトリとの接続に SSL(Secure Sockets Layer)を使うようにするには、「SSL を使って暗号化」を選択します。
これを選択する前に、SSL が必要かどうかを Open Directory 管理者に確認してください。
「ディレクトリユーティリティ」が LDAP サーバに接続できない場合は、設定のアクセス設定を調整しなければならないことがあります。LDAP サーバまたは Open Directory サーバの接続設定を変更するを参照してください。
「続ける」をクリックします。
リストで新しい LDAP サーバを選択して、「編集」をクリックします。
「検索とマッピング」をクリックします。
「この LDAP v3 サーバにアクセスするときに使用」ポップアップメニューをクリックし、「Open Directory」を選択してから、検索ベースを入力します。
通常、検索ベースのサフィックスはサーバの DNS ホスト名から派生します。たとえば、ods.example.com という DNS ホスト名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」にすることができます。
ディレクトリサーバが信頼されたバインディングをサポートしている場合は、「バインド」をクリックして、コンピュータの名前とディレクトリ管理者の名前およびパスワードを入力します。
バインディングはオプションの場合もあります。
信頼されたバインディングは相互です。コンピュータが LDAP ディレクトリに接続するたびに、それらは互いを認証します。信頼されたバインディングが設定されているか、LDAP ディレクトリが信頼されたバインディングをサポートしていない場合、「バインド」ボタンは表示されません。正しいコンピュータ名を指定していることを確認します。
コンピュータレコードが存在することを警告するメッセージが表示された場合は、別のコンピュータ名を使用してやり直すか、「上書き」をクリックして既存のコンピュータレコードを置き換えます。
既存のコンピュータのレコードは、放棄されていることもあれば、別のコンピュータに属していることもあります。
既存のコンピュータのレコードを置き換える前に、LDAP ディレクトリ管理者に通知して、レコードを置き換えることで別のコンピュータが使用不可になることがないようにしてください。このような場合、LDAP ディレクトリ管理者は、使用不可になったコンピュータに別の名前を割り当て、そのコンピュータが属していたコンピュータグループに戻す必要があります。
「セキュリティ」をクリックします。
LDAP ディレクトリへの接続に認証が必要な場合は、「接続時に認証を使用」を選択して、ディレクトリ内のユーザアカウントの識別名とパスワードを入力します。
認証接続は相互には行われません。LDAP サーバはクライアントを認証しますが、クライアントはサーバを認証しません。
識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定できます。たとえば、ユーザ名が LDAP サーバの「dirauth」で、アドレスが ods.example.com のユーザアカウントは、uid=dirauth,cn=users,dc=ods,dc=example,dc=com という識別名を持つことになります。
重要:識別名またはパスワードが正しくない場合は、LDAP ディレクトリから提供されるユーザアカウントを使って、コンピュータにログインできます。
「OK」をクリックして、LDAP 接続の作成を終了します。
「OK」をクリックして、LDAPv3 オプションの設定を終了します。
この設定した LDAP ディレクトリにアクセスするには、「ディレクトリユーティリティ」の「検索ポリシー」の「認証」および「連絡先」パネルでそのディレクトリをカスタム検索ポリシーに追加します。検索ポリシーの作成について詳しくは、検索ポリシーを定義するを参照してください。