LDAP 検索とマッピングを設定する
「ディレクトリユーティリティ」を使用すると、Mac で LDAP ディレクトリ内の特定のデータ項目を検索する方法を指定するマッピング、検索ベース、検索範囲などを編集できます。各 LDAP ディレクトリ設定では、Mac で LDAPv3 または LDAPv2 ディレクトリのデータにアクセスする方法が指定されます。これらの設定は、「ディレクトリユーティリティ」にリストされた各 LDAP ディレクトリ設定ごとに編集できます。
以下の項目を編集できます:
LDAP オブジェクトクラスへの各 macOS レコードタイプのマッピング
各レコードタイプの LDAP 属性への macOS データ・タイプまたは属性のマッピング
Mac が LDAP ディレクトリで特定の macOS レコードタイプを検索する場所を決定する LDAP 検索ベースと検索範囲
macOS ユーザ属性を読み出し/書き込み LDAP ディレクトリドメインにマッピングする場合、RealName にマップされた LDAP 属性が、RecordName にマップされた LDAP 属性リストの最初の属性と同一であってはなりません。
たとえば、cn 属性が RealName にもマップされている場合は、この属性が RecordName にマップされる最初の属性であってはなりません。
RealName にマップされた LDAP 属性が RecordName にマップされた最初の属性と同じ場合には、macOS Server または「ディレクトリエディタ」でフルネーム(名前)または最初のショートネームを編集しようとするときに問題が発生します。
注記:「サーバから読み込む」ボタンをクリックしてバインドされたサーバからすべてのレコードタイプおよび属性を表示した場合、ローカルディレクトリに存在しないレコードタイプおよび属性(AutoServerSetup や Neighborhoods など)は「レコードのタイプと属性」ウインドウで赤色でマークされます。
「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「LDAPv3」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。
サーバ設定を選択し、「編集」をクリックします。
「検索とマッピング」をクリックします。
テンプレートとして使いたいマッピングを選択します。定義済みのマッピングを使わずに編集を開始するときは、「カスタム」を選択します。
LDAP マッピングテンプレートを選択した場合は、検索ベースのサフィックスが表示されます。このデフォルトのサフィックスは変更できますが、そのまま使用する場合は「OK」をクリックします。
「この LDAP v3 サーバにアクセスするときに使用」ポップアップメニューをクリックして、テンプレートとして使用するマッピングテンプレートを選択します。
レコードのタイプを追加し、必要に応じて検索ベースを変更します。
レコードのタイプを追加する:「レコードのタイプと属性」リストの下にある「追加」ボタン をクリックします。表示されるダイアログで「レコードのタイプ」を選択し、リストからレコードのタイプを選択してから、「OK」をクリックします。
レコードタイプの検索ベースと検索範囲を変更する:「レコードのタイプと属性」リストでレコードタイプを選択してから、「検索ベース」フィールドを編集します。検索ベース以下の LDAP ディレクトリ階層を含めるように検索範囲を設定するときは、「すべてのサブツリー」を選択します。検索ベースと LDAP ディレクトリ階層の 1 つ下のレベルだけを含めるように検索範囲を設定するときは、「先頭レベルのみ」を選択します。
レコードのタイプを削除する:「レコードのタイプと属性」リストでレコードタイプを選び、「削除」をクリックします。
レコードタイプのマッピングを追加する:「レコードのタイプと属性」リストでレコードタイプを選び、「リスト内の __ の項目へのマップ」の下にある「追加」ボタン をクリックしてから、LDAP ディレクトリのオブジェクトクラスの名前を入力します。
別の LDAP オブジェクトクラスを追加する:Return キーを押してそのオブジェクトクラスの名前を入力し、リストの上のポップアップメニューを使って、リストされた LDAP オブジェクトクラスを使うかを指定します。
レコードタイプのマッピングを変更する:「レコードのタイプと属性」リストでレコードタイプを選び、「リスト内の __ の項目へのマップ」で変更したい LDAP オブジェクトクラスをダブルクリックしてから編集します。リストの上のポップアップメニューを使って、リストされた LDAP オブジェクトクラスを使うかを指定します。
レコードタイプのマッピングを削除する:「レコードのタイプと属性」でレコードタイプを選び、「リスト内の __ の項目へのマップ」から削除したい LDAP オブジェクトクラスを選んでから、「削除」(「リスト内の __ の項目へのマップ」の下)をクリックします。
属性を追加し、必要に応じてそのマッピングを変更します。
レコードタイプに属性を追加する:「レコードのタイプと属性」リストでレコードタイプを選び、「追加」ボタン (「レコードのタイプと属性」リストの下)をクリックします。表示されるダイアログで「属性のタイプ」を選択し、属性のタイプを選択してから、「OK」をクリックします。
属性のマッピングを追加する:「レコードのタイプと属性」リストで属性を選び、「追加」ボタン (「リスト内の __ の項目へのマップ」の下)をクリックして、LDAP ディレクトリの属性の名前を入力します。別の LDAP 属性を追加するには、Return キーを押して、属性の名前を入力します。
属性のマッピングを変更する:「レコードのタイプと属性」リストで属性を選び、「リスト内の __ の項目へのマップ」で変更したい項目をダブルクリックして、項目名を編集します。
属性のマッピングを削除する:「レコードのタイプと属性」で属性を選び、「リスト内の __ の項目へのマップ」から削除したい項目を選んでから、「削除」(「リスト内の __ の項目へのマップ」の下)をクリックします。
右側のリストに表示される属性の順序を変更する:リスト内で属性を上下にドラッグします。
マッピングをテンプレートとして保存するか、またはサーバに保存します。
マッピングをテンプレートとして保存するには、「テンプレートを保存」をクリックします。
デフォルトの場所に保存されたテンプレートは、次に「ディレクトリユーティリティ」を開いたときに LDAP マッピングテンプレートのポップアップメニューに表示されます。保存されたテンプレートのデフォルトの場所は、ホームフォルダの次のパスにあります:
~/ライブラリ/Application Support/Directory Access/LDAPv3/Templates/
LDAP ディレクトリにこれらのマッピングを保存して、LDAP ディレクトリからクライアントに自動的にマッピングを提供できるようにするには、「サーバへ書き込み」をクリックしてから、マッピング、管理者または検索ベースに対する書き込みアクセス権を持つその他のユーザの識別名(たとえば、uid=diradmin,cn=users,dc=ods,dc=example,dc=com)、およびパスワードを保存するための検索ベースを入力します。
Open Directory LDAP サーバにマッピングを書き込む場合、正しい検索ベースは cn=config,suffix です(この場合、 suffix は dc=ods ,dc=example,dc=com のように、サーバの検索ベースのサフィックスです)。
LDAP ディレクトリは、カスタム検索ポリシーに LDAP サーバからマッピングを取得するように設定されている接続が含まれる Mac クライアントに対してマッピングを提供します。
また、LDAP ディレクトリは、自動検索ポリシーを使用するように設定されたすべての macOS クライアントにマッピングを提供します。詳しくは、LDAP ディレクトリのアクセスを設定するおよび検索ポリシーの詳細設定を参照してください。