Open Directory のアクセスを管理する
「ディレクトリユーティリティ」を使用して Open Directory サーバをバインドするときは、サーバの DNS 名または IP アドレスと、サーバが SSL(Secure Sockets Layer)を使用しているかどうかが分かっている必要があります。
重要:コンピュータ名にハイフンが含まれている場合は、LDAP や Active Directory などのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まないコンピュータ名を使用してください。
「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「LDAPv3」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
「新規」をクリックします。
「サーバ名または IP アドレス」フィールドに、Open Directory サーバのサーバ名または IP アドレスを入力します。
Open Directory で接続に SSL(Secure Sockets Layer)を使うようにするには、「SSL を使って暗号化」を選択します。
これを選択する前に、SSL が必要かどうかを Open Directory 管理者に確認してください。
「ディレクトリユーティリティ」が Open Directory サーバに接続できない場合は、設定のアクセス設定を調整しなければならないことがあります。詳しくは、LDAP サーバまたは Open Directory サーバの接続設定を変更するを参照してください。
「続ける」をクリックします。
リストで新しい Open Directory サーバを選択して、「編集」をクリックします。
「検索とマッピング」をクリックします。
「この LDAP v3 サーバにアクセスするときに使用」ポップアップメニューをクリックし、「Open Directory」を選択してから、検索ベースを入力します。
Mac が Open Directory サーバで情報を見つけることができるように、検索ベースのサフィックスを入力する必要があります。通常、検索ベースのサフィックスはサーバの DNS ホスト名から派生します。たとえば、server.example.com という DNS ホスト名を持つサーバの検索ベースのサフィックスは、「dc=server,dc=example,dc=com」にすることができます。
検索およびマッピングの設定について詳しくは、「LDAP 検索とマッピングを設定する」を参照してください。
ディレクトリサーバが信頼されたバインディングをサポートしている場合は、「バインド」をクリックして、ディレクトリ管理者の名前およびパスワードを入力します。
バインディングはオプションの場合もあります。
信頼されたバインディングは相互です。Mac が LDAP ディレクトリに接続するたびに、それらは互いを認証します。信頼されたバインディングが設定されているか、LDAP ディレクトリが信頼されたバインディングをサポートしていない場合、「バインド」ボタンは表示されません。正しい Mac コンピュータ名を指定していることを確認します。
コンピュータレコードがディレクトリ内に存在することを警告するメッセージが表示された場合は、別の Mac コンピュータ名を使用してやり直すか、「上書き」をクリックして既存のコンピュータレコードを置き換えます。
既存のコンピュータのレコードは、放棄されていることもあれば、名前が同一である場合には別のコンピュータに属していることもあります。
既存のコンピュータのレコードを置き換える前に、LDAP ディレクトリ管理者に通知して、レコードを置き換えることで別のコンピュータが使用不可になることがないようにしてください。このような場合、LDAP ディレクトリ管理者は、使用不可になったコンピュータに別の名前を割り当て、そのコンピュータが属していたコンピュータグループに戻す必要があります。
詳しくは、LDAP ディレクトリの認証されたバインディングを設定するを参照してください。
「セキュリティ」をクリックします。
Open Directory への接続に認証が必要な場合は、「接続時に認証を使用」を選択して、ディレクトリ内のユーザアカウントの識別名とパスワードを入力します。
認証接続は相互には行われません。LDAP サーバは Mac を認証しますが、Mac は LDAP サーバを認証しません。
識別名には、ディレクトリ内のデータを参照するアクセス権を持つ任意のユーザアカウントを指定できます。たとえば、ユーザ名が LDAP サーバの「dirauth」で、アドレスが server.example.com のユーザアカウントは、uid=dirauth,cn=users,dc=server,dc=example,dc=com という識別名を持つことになります。
詳しくは、LDAP 接続セキュリティポリシーを変更するを参照してください。
重要:識別名またはパスワードが正しくない場合は、LDAP ディレクトリのユーザアカウントを使って、Mac にログインすることはできません。
「OK」をクリックして、Open Directory 接続の作成を終了します。
「OK」をクリックして、LDAPv3 オプションの設定を終了します。
設定を作成した LDAP ディレクトリにアクセスするには、「ディレクトリユーティリティ」の「検索ポリシー」の「認証」パネルと「連絡先」パネルでそのディレクトリをカスタム検索ポリシーに追加します。検索ポリシーの作成について詳しくは、検索ポリシーを定義するを参照してください。
重要:ディレクトリサーバに接続しているときに macOS Server をインストールした Mac の IP アドレスとコンピュータ名を変更する場合は、新しいコンピュータ名と IP アドレスを使ってディレクトリをアップデートするために、ディレクトリサーバを接続解除してから再接続する必要があります。これを行わない場合は、ディレクトリはアップデートされず、以前のコンピュータ名と IP アドレスが引き続き使用されます。