Konfigurer LDAP-katalogtilgang i Katalogverktøy på Macen
Du kan bruke Katalogverktøy til å angi hvordan Macen får tilgang til en LDAPv3-katalog. Du må kjenne DNS-vertsnavnet eller IP-adressen til LDAP-katalogtjeneren.
Hvis katalogen ikke finnes på en tjener som oppgir egne tilordninger (for eksempel macOS Server), må du kjenne søkebasen og malen for tilordning av macOS-data til katalogens data.
Støttede tilordningsmaler er:
Open Directory-tjener, for en katalog som bruker oppsettet for Server
Active Directory, for en katalog på en Windows 2000-tjener eller nyere
RFC 2307, for de fleste kataloger på UNIX-tjenere
LDAPv3-programtillegget har full støtte for Open Directory-replikering og «failover». Hvis Open Directory-masteren blir utilgjengelig, bruker programtillegget en annen replika i nærheten.
Hvis du vil angi egendefinerte tilordninger for katalogdataene, følger du veiledningen under Konfigurer tilgang til en LDAP-katalog manuelt i stedet for instruksjonene her.
Viktig: Hvis maskinnavnet inneholder en bindestrek, kan du få problemer med å binde datamaskinen til et katalogdomene som LDAP eller Active Directory. Bruk et maskinnavn uten bindestrek for å etablere binding.
Klikk på Tjenester i Katalogverktøy-programmet på Macen.
Klikk på låsesymbolet.
Skriv inn brukernavnet og passordet til en administrator og klikk på Endre konfigurasjon (eller bruk Touch ID).
Marker LDAPv3 og klikk på Rediger-knappen (den ser ut som en blyant).
Klikk på Nytt.
Skriv inn LDAP-tjenerens DNS-vertsnavn eller IP-adresse i feltet Tjenernavn eller -IP-adresse.
Velg Krypter med SSL hvis du vil at Open Directory skal bruke SSL (Secure Socket Layer) for forbindelser med LDAP-katalogen.
Før du velger dette, tar du kontakt med Open Directory-administratoren for å finne ut om SSL skal brukes.
Hvis Katalogverktøy ikke kan kontakte LDAP-tjeneren, må du muligens justere konfigurasjonen av tilgangsinnstillingene. Les Endre tilkoblingsinnstillingene for en LDAP- eller Open Directory-tjener.
Klikk på Fortsett.
Marker den nye LDAP-tjeneren i listen, og klikk deretter på Rediger.
Klikk på Søk og tilordninger.
Klikk på «Tilkobling til LDAPv3-tjeneren»-lokalmenyen, velg Open Directory, og skriv inn en søkebase.
Vanligvis avledes søkebaseendelsen fra tjenerens DNS-vertsnavn. For eksempel kan søkebaseendelsen være «dc=ods, dc=eksempel, dc=com» for en tjener som har DNS-vertsnavnet ods.eksempel.com.
Hvis katalogtjeneren støtter godkjente bindinger, klikker du på bind og oppgir maskinnavnet og navn og passord til en katalogadministrator.
Binding kan være valgfritt.
Godkjent binding er gjensidig. Hver gang datamaskinen kobler til LDAP-katalogen, autentiserer de hverandre. Hvis godkjent binding er konfigurert, eller hvis LDAP-katalogen ikke støtter godkjent binding, vises ikke Bind-knappen. Forsikre deg om at du har oppgitt riktig maskinnavn.
Hvis det vises en varselmelding om at det finnes en maskinoppføring, kan du prøve på nytt med et annet maskinnavn, eller klikke på Overskriv for å erstatte den eksisterende maskinoppføringen.
Det er mulig at den eksisterende maskinoppføringen ikke er i bruk, eller at den tilhører en annen datamaskin.
Før du erstatter en eksisterende maskinoppføring, bør du varsle LDAP-katalogadministratoren for å sikre at det ikke fører til at en annen datamaskin deaktiveres. Hvis det skjer, må LDAP-katalogadministratoren gi den deaktiverte datamaskinen et nytt navn og legge den til igjen i den maskingruppen den tilhørte.
Klikk på Sikkerhet.
Hvis LDAP-katalogen krever autentisering for å koble til, markerer du «Bruk autentisering ved tilkobling» og oppgir deretter navnet og passordet for en brukerkonto i katalogen.
En autentisert tilkobling er ikke gjensidig; LDAP-tjeneren autentiserer klienten, men klienten autentiserer ikke tjeneren.
Brukernavnet kan angi en hvilken som helst brukerkonto som har tillatelse til å lese data i katalogen. For eksempel vil en brukerkonto der kortnavnet er «dirauth» på en LDAP-tjener der adressen er ods.example.com ha brukernavnet deruid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Viktig: Hvis brukernavnet eller passordet er feil, kan du logge på datamaskinen ved hjelp av brukerkontoer fra LDAP-katalogen.
Klikk på OK for å fullføre opprettingen av LDAP-forbindelsen.
Klikk på OK for å fullføre konfigureringen av LDAPv3-alternativene.
Hvis du vil at datamaskinen skal få tilgang til denne konfigurerte LDAP-katalogen, legger du til katalogen i et egendefinert søkekriterium i Autentisering- og Kontakter-panelene i Søkekriterier i Katalogverktøy. Du finner mer informasjon om oppretting av søkekriterier under Definer søkekriterier.