MacのディレクトリユーティリティでLDAPディレクトリのアクセスを設定する
ディレクトリユーティリティを使用して、MacからLDAPv3ディレクトリにアクセスする方法を指定できます。LDAPディレクトリサーバのDNSホスト名とIPアドレスが分かっている必要があります。
ディレクトリが独自のマッピングを提供するサーバによって運用されていない場合、macOSデータをディレクトリのデータにマッピングするための検索ベースとテンプレートが分かっている必要があります。
対応しているマッピングテンプレートは、次の通りです:
Open Directoryサーバ。 Serverのスキーマを使用するディレクトリ用
Active Directory。Windows 2000、またはそれ以降のサーバが運用するディレクトリ用
RFC 2307。 UNIXサーバが運用する大半のディレクトリ用
LDAPv3プラグインは、Open Directoryの複製とフェイルオーバーに完全に対応しています。Open Directoryのマスターが使用できなくなった場合、プラグインによってすぐ近くにある複製が使用されます(使用可能でアクセス可能な場合)。
ディレクトリデータのカスタムマッピングを指定するには、ここで示す手順ではなく、LDAPディレクトリへのアクセスを手動で設定するの手順に従ってください。
重要: コンピュータ名にハイフンが含まれている場合は、LDAPやActive Directoryなどのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まない名前にコンピュータ名を変更してください。
Macのディレクトリユーティリティアプリ
で、「サービス」をクリックします。カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(またはTouch IDを使用します)。
「LDAPv3」を選択し、選択したサービスの設定を編集するボタン
をクリックします。「新規」をクリックします。
「サーバ名またはIPアドレス」フィールドに、LDAPサーバのDNSホスト名またはIPアドレスを入力します。
Open DirectoryでLDAPディレクトリとの接続にSSL(Secure Sockets Layer)を使うようにするには、「SSLを使って暗号化」を選択します。
これを選択する前に、SSLが必要かどうかをOpen Directory管理者に確認してください。
ディレクトリユーティリティがLDAPサーバに接続できない場合は、設定のアクセス設定を調整しなければならないことがあります。LDAPサーバまたはOpen Directoryサーバの接続設定を変更するを参照してください。
「続ける」をクリックします。
リストで新しいLDAPサーバを選択して、「編集」をクリックします。
「検索とマッピング」をクリックします。
「このLDAP v3サーバにアクセスするときに使用」ポップアップメニューをクリックし、「Open Directory」を選択してから、検索ベースを入力します。
通常、検索ベースのサフィックスはサーバのDNSホスト名から派生します。例えば、ods.example.comというDNSホスト名を持つサーバの検索ベースのサフィックスは、「dc=ods, dc=example, dc=com」にすることができます。
ディレクトリサーバが信頼されたバインディングに対応している場合は、「バインド」をクリックして、コンピュータの名前とディレクトリ管理者の名前およびパスワードを入力します。
バインディングはオプションの場合もあります。
信頼されたバインディングは相互です。コンピュータがLDAPディレクトリに接続するたびに、それらは互いを認証します。信頼されたバインディングが設定されているか、LDAPディレクトリが信頼されたバインディングに対応していない場合、「バインド」ボタンは表示されません。正しいコンピュータ名を指定していることを確認します。
コンピュータレコードが存在することを示す警告が表示された場合は、別のコンピュータ名を使用してやり直すか、「上書き」をクリックして既存のコンピュータレコードを置き換えます。
既存のコンピュータのレコードは、放棄されていることもあれば、別のコンピュータに属していることもあります。
既存のコンピュータのレコードを置き換える前に、LDAPディレクトリ管理者に通知して、レコードを置き換えることで別のコンピュータが使用不可になることがないようにしてください。このような場合、LDAPディレクトリ管理者は、使用不可になったコンピュータに別の名前を割り当て、そのコンピュータが属していたコンピュータグループに戻す必要があります。
「セキュリティ」をクリックします。
LDAPディレクトリへの接続に認証が必要な場合は、「接続時に認証を使用」を選択して、ディレクトリ内のユーザアカウントの識別名とパスワードを入力します。
認証接続は相互には行われません。LDAPサーバはクライアントを認証しますが、クライアントはサーバを認証しません。
識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定できます。例えば、ユーザ名がLDAPサーバの「dirauth」で、アドレスがods.example.comのユーザアカウントは、uid=dirauth,cn=users,dc=ods,dc=example,dc=comという識別名を持つことになります。
重要: 識別名またはパスワードが正しくない場合は、LDAPディレクトリから提供されるユーザアカウントを使って、コンピュータにログインできます。
「OK」をクリックして、LDAP接続の作成を終了します。
「OK」をクリックして、LDAPv3オプションの設定を終了します。
この設定したLDAPディレクトリにアクセスするには、ディレクトリユーティリティの「検索ポリシー」の「認証」オプションと「連絡先」オプションでそのディレクトリをカスタム検索ポリシーに追加します。検索ポリシーの作成について詳しくは、検索ポリシーを定義するを参照してください。