MacのディレクトリユーティリティでLDAP検索とマッピングを設定する
ディレクトリユーティリティを使用すると、MacでLDAPディレクトリ内の特定のデータ項目を検索する方法を指定するマッピング、検索ベース、検索範囲などを編集できます。各LDAPディレクトリ設定では、MacでLDAPv3またはLDAPv2ディレクトリのデータにアクセスする方法が指定されます。これらの設定は、ディレクトリユーティリティにリストされた各LDAPディレクトリ設定ごとに編集できます。
以下の項目を編集できます:
LDAPオブジェクトクラスへの各macOSレコードタイプのマッピング
各レコードタイプのLDAP属性へのmacOSデータタイプまたは属性のマッピング
MacがLDAPディレクトリで特定のmacOSレコードタイプを検索する場所を決定するLDAP検索ベースと検索範囲
macOSユーザ属性を読み出し/書き込みLDAPディレクトリドメインにマッピングする場合、RealNameにマップされたLDAP属性が、RecordNameにマップされたLDAP属性リストの最初の属性と同一であってはなりません。
例えば、cn属性がRealNameにもマップされている場合は、この属性がRecordNameにマップされる最初の属性であってはなりません。
RealNameにマップされたLDAP属性がRecordNameにマップされた最初の属性と同じ場合には、「ディレクトリエディタ」でフルネーム(名前)または最初のショートネームを編集しようとするときに問題が発生します。
注記: 「サーバから読み込む」ボタンをクリックしてバインドされたサーバからすべてのレコードタイプおよび属性を表示した場合、ローカルディレクトリに存在しないレコードタイプおよび属性(AutoServerSetupやNeighborhoodsなど)は「レコードのタイプと属性」ウインドウで赤色でマークされます。
Macのディレクトリユーティリティアプリケーション
で、「サービス」をクリックします。カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(またはTouch IDを使用します)。
「LDAPv3」を選択し、選択したサービスの設定を編集するボタン
をクリックします。サーバ設定のリストが表示されていない場合は、「オプションを表示」の横の開閉用三角ボタンをクリックします。
サーバ設定を選択し、「編集」をクリックします。
「検索とマッピング」をクリックします。
「このLDAP v3サーバにアクセスするときに使用」ポップアップメニューをクリックして、テンプレートとして使用するマッピングテンプレートを選択します。定義済みのマッピングを使わずに編集を開始するときは、「カスタム」を選択します。
LDAPマッピングテンプレートを選択した場合は、検索ベースのサフィックスが表示されます。このデフォルトのサフィックスは変更できますが、そのまま使用する場合は「OK」をクリックします。
レコードのタイプを追加し、必要に応じて検索ベースを変更します。
レコードのタイプを追加する: 「レコードのタイプと属性」リストの下にある「追加」ボタン
をクリックします。表示されるダイアログで「レコードのタイプ」を選択し、リストからレコードのタイプを選択してから、「OK」をクリックします。レコードタイプの検索ベースと検索範囲を変更する: 「レコードのタイプと属性」リストでレコードタイプを選択してから、「検索ベース」フィールドを編集します。検索ベース以下のLDAPディレクトリ階層を含めるように検索範囲を設定するときは、「すべてのサブツリー」を選択します。検索ベースとLDAPディレクトリ階層の1つ下のレベルだけを含めるように検索範囲を設定するときは、「先頭レベルのみ」を選択します。
レコードのタイプを削除する: 「レコードのタイプと属性」リストでレコードタイプを選び、「削除」ボタン
をクリックします。レコードタイプのマッピングを追加する: 「レコードのタイプと属性」リストでレコードタイプを選び、「リスト内の __ の項目へのマップ」の下にある「追加」ボタン
をクリックしてから、LDAPディレクトリのオブジェクトクラスの名前を入力します。別のLDAPオブジェクトクラスを追加する: Returnキーを押してそのオブジェクトクラスの名前を入力し、リストの上のポップアップメニューを使って、リストされたLDAPオブジェクトクラスを使うかを指定します。
レコードタイプのマッピングを変更する: 「レコードのタイプと属性」リストでレコードタイプを選び、「リスト内の __ の項目へのマップ」で変更したいLDAPオブジェクトクラスをダブルクリックしてから編集します。リストの上のポップアップメニューを使って、リストされたLDAPオブジェクトクラスを使うかを指定します。
レコードタイプのマッピングを削除する: 「レコードのタイプと属性」でレコードタイプを選び、「リスト内の __ の項目へのマップ」から削除したいLDAPオブジェクトクラスを選んでから、「削除」ボタン
(「リスト内の __ の項目へのマップ」の下)をクリックします。
属性を追加し、必要に応じてそのマッピングを変更します。
レコードタイプに属性を追加する: 「レコードのタイプと属性」リストでレコードタイプを選び、「追加」ボタン
(「レコードのタイプと属性」リストの下)をクリックします。表示されるダイアログで「属性のタイプ」を選択し、属性のタイプを選択してから、「OK」をクリックします。属性のマッピングを追加する: 「レコードのタイプと属性」リストで属性を選び、「追加」ボタン
(「リスト内の __ の項目へのマップ」の下)をクリックして、LDAPディレクトリの属性の名前を入力します。別のLDAP属性を追加するには、Returnキーを押して、属性の名前を入力します。属性のマッピングを変更する: 「レコードのタイプと属性」リストで属性を選び、「リスト内の __ の項目へのマップ」で変更したい項目をダブルクリックして、項目名を編集します。
属性のマッピングを削除する: 「レコードのタイプと属性」で属性を選び、「リスト内の __ の項目へのマップ」から削除したい項目を選んでから、「削除」ボタン
(「リスト内の __ の項目へのマップ」の下)をクリックします。右側のリストに表示される属性の順序を変更する: リスト内で属性を上下にドラッグします。
マッピングをテンプレートとして保存するか、またはサーバに保存します。
マッピングをテンプレートとして保存するには、「テンプレートを保存」をクリックします。
デフォルトの場所に保存されたテンプレートは、次にディレクトリユーティリティを開いたときにLDAPマッピングテンプレートのポップアップメニューに表示されます。保存されたテンプレートのデフォルトの場所は、ホームフォルダの次のパスにあります:
~/ライブラリ/Application Support/Directory Access/LDAPv3/Templates/
LDAPディレクトリにこれらのマッピングを保存して、LDAPディレクトリからクライアントに自動的にマッピングを提供できるようにするには、「サーバへ書き込み」をクリックしてから、マッピング、管理者または検索ベースに対する書き込みアクセス権を持つその他のユーザの識別名(例えば、uid=diradmin,cn=users,dc=ods,dc=example,dc=com)、およびパスワードを保存するための検索ベースを入力します。
Open Directory LDAPサーバにマッピングを書き込む場合、正しい検索ベースはcn=config,suffixです(この場合、 suffixはdc=ods ,dc=example,dc=comのように、サーバの検索ベースのサフィックスです)。
LDAPディレクトリは、カスタム検索ポリシーにLDAPサーバからマッピングを取得するように設定されている接続が含まれるMacクライアントに対してマッピングを提供します。
また、LDAPディレクトリは、自動検索ポリシーを使用するように設定されたすべてのmacOSクライアントにマッピングを提供します。LDAPディレクトリのアクセスを設定するおよび検索ポリシーの詳細設定を参照してください。