Konfigurer tilgang til en LDAP-katalog manuelt i Katalogverktøy på Macen
Du kan opprette en konfigurasjon manuelt som angir hvordan en Mac får tilgang til en LDAPv3- eller LDAPv2-katalog. Du må kjenne DNS-vertsnavnet eller IP-adressen til LDAP-katalogtjeneren.
Hvis katalogen ikke finnes på en Mac med macOS Server installert, må du kjenne søkebasen og malen for tilordning av macOS-data til katalogens data. Støttede tilordningsmaler er:
Fra tjener, for en katalog som oppgir egne tilordninger og en egen søkebase, for eksempel macOS Server
Open Directory-tjener, for en katalog som bruker macOS Server for macOS-oppsettet
Active Directory, for en katalog på en Windows 2000-tjener, Windows 2003-tjener eller nyere
RFC 2307, for de fleste kataloger på UNIX-tjenere
Tilpasset, for kataloger som ikke bruker noen av de nevnte tilordningene
LDAPv3-programtillegget har full støtte for Open Directory-replikering og «failover». Hvis Open Directory-masteren blir utilgjengelig, bytter programtillegget til en annen replika i nærheten.
Viktig: Hvis maskinnavnet inneholder en bindestrek, kan du få problemer med å binde datamaskinen til et katalogdomene som LDAP eller Active Directory. Bruk et maskinnavn uten bindestrek for å etablere binding.
Klikk på Tjenester i Katalogverktøy-programmet på Macen.
Klikk på låsesymbolet.
Skriv inn brukernavnet og passordet til en administrator og klikk på Endre konfigurasjon (eller bruk Touch ID).
Marker LDAPv3 og klikk på Rediger-knappen (den ser ut som en blyant).
Klikk på Nytt.
Oppgi LDAP-tjenerens DNS-vertsnavn eller IP-adresse, og klikk deretter på Fortsett.
I kolonnen LDAP-tjenertilordninger, klikker du på lokalmenyen og velger en tilordningsmal eller -metode:
Hvis du velger Fra tjener, er det ikke nødvendig med en søkebaseendelse. I dette tilfellet vil Open Directory anta at søkebaseendelsen er første nivå i LDAP-katalogen.
Klikk på Les fra tjeneren-knappen for å vise en liste med alle oppføringstypene og attributtene. Oppføringstyper som ikke finnes i det lokale macOS-katalogdomenet, som AutoServerSetup eller Neighborhoods, er merket med rødt i «Oppføringstyper og -attributter»-vinduet.
Hvis du velger en mal, for eksempel Open Directory eller RFC2307, oppgir du søkebaseendelsen for LDAP-katalogen og klikker på OK. Du må angi en søkebaseendelse slik at datamaskinen kan finne informasjon i LDAP-katalogen. Vanligvis avledes søkebaseendelsen fra tjenerens DNS-vertsnavn. For eksempel kan søkebaseendelsen være «dc=ods, dc=eksempel, dc=com» for en tjener som har DNS-vertsnavnet ods.eksempel.com.
Hvis du velger Tilpasset, må du legge inn tilordninger mellom macOS-oppføringstyper og -attributter, og klassene og attributtene til LDAP-katalogen du kobler til. Les Konfigurer LDAP-søk og -tilordninger.
Spør Open Directory-administratoren om SSL er påkrevd. I så tilfelle skal SSL markeres.
Hvis du vil endre innstillingene under for denne LDAP-konfigurasjonen, klikker du på Rediger for å vise alternativene, gjør endringene og klikker deretter på OK.
Klikk på Forbindelse for å angi innstillinger for tidsavbrudd, angi en egendefinert port eller ignorere tjenerhenvisninger. Les Endre tilkoblingsinnstillingene for en LDAP- eller Open Directory-katalog.
Klikk på Søk og tilordninger for å konfigurere søk og tilordninger for en LDAP-tjener. Les Konfigurer LDAP-søk og -tilordninger.
Klikk på Sikkerhet for å stille inn en autentiseringsforbindelse (i stedet for godkjent binding) og andre sikkerhetsinnstillinger. Les Endre sikkerhetsinnstillingene for LDAP-forbindelsen.
Klikk på Bind for å konfigurere godkjente bindinger (hvis LDAP-katalogen støtter det). Les Konfigurer autentisert binding for en LDAP-katalog.
Klikk på OK for å fullføre den manuelle konfigurasjonen for tilgang til en LDAP-katalog.
Hvis du vil at datamaskinen skal få tilgang til LDAP-katalogen du opprettet en konfigurasjon for, legger du til katalogen i et egendefinert søkekriterium i Autentisering-panelet og Kontakter-panelet i Søkekriterier i Katalogverktøy.
Før du kan bruke macOS Server-programmet til å opprette brukere på en ikke-Apple-LDAP-tjener som bruker RFC 2307 (UNIX)-tilordning, må du redigere tilordningen for brukerens oppføringstype. Les Rediger RFC 2307-tilordningen for å muliggjøre oppretting av brukere.
Viktig: Hvis du endrer IP-adressen og maskinnavnet ved hjelp av changeip
mens du er koblet til en katalogtjener, må du koble datamaskinen fra katalogtjeneren og koble den til igjen for å oppdatere katalogen med det nye maskinnavnet og den nye IP-adressen. Hvis du ikke kobler datamaskinen fra katalogtjeneren og kobler den til igjen, oppdateres ikke katalogen, men fortsetter å bruke det gamle maskinnavnet og den gamle IP-adressen.