Настройка доступа к Open Directory в Службе каталогов на Mac
При связывании с сервером Open Directory с помощью Службы каталогов необходимо знать имя или IP‑адрес сервера DNS, а также знать, использует ли этот сервер протокол защищенных сокетов (SSL).
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.
В приложении «Служба каталогов» на Mac нажмите «Службы».
Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3, затем нажмите кнопку «Изменить настройки выбранной службы» .
Нажмите «Новая».
Введите имя или IP-адрес сервера Open Directory в соответствующее поле.
Выберите «Шифровать с использованием SSL», если хотите, чтобы Open Directory использовал протокол защищенных сокетов (SSL) для подключений.
Прежде чем использовать эту функцию, обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.
Если «Служба каталогов» не может связаться с сервером Open Directory, попробуйте изменить настройки доступа. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Нажмите «Продолжить».
Выберите новый сервер Open Directorу из списка, затем нажмите «Правка».
Нажмите «Поиск и соответствия».
Нажмите всплывающее меню «Получить доступ к этому серверу LDAPv3, используя», выберите значение «Open Directory» и введите начальные данные поиска.
Необходимо ввести начальные данные поиска. В противном случае компьютер Mac не сможет найти информацию на сервере Open Directory. Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем server.example.com начальные данные поиска могут быть следующими: «dc=server,dc=example,dc=com».
См. раздел Настройка поиска и сопоставлений LDAP.
Если сервер каталога поддерживает надежное связывание, нажмите «Связать» и введите имя и пароль администратора каталога.
Связывание может быть необязательным.
Надежное связывание является обоюдным. При каждом подключении компьютера Mac к каталогу LDAP выполняется взаимная идентификация. Если надежное связывание уже настроено или каталог LDAP не поддерживает надежное связывание, кнопка «Связать» отсутствует. Убедитесь, что Вы правильно ввели имя компьютера Mac.
Если Вы видите предупреждение о том, что в каталоге имеется запись компьютера, попробуйте ввести другое имя компьютера Mac или нажмите «Перезаписать», чтобы заменить имеющуюся запись компьютера.
Возможно, имеющаяся запись компьютера не используется или принадлежит другому компьютеру с тем же именем.
Перед заменой имеющейся записи о компьютере уведомите об этом администратора данного каталога LDAP, чтобы такая замена не привела к отключению другого компьютера. В этом случае администратор каталога LDAP должен присвоить отключенному компьютеру другое имя и добавить его снова к той группе компьютеров, к которой он принадлежал.
См. раздел Настройка аутентифицированного связывания для каталога LDAP.
Нажмите «Безопасность».
Если Open Directory требует аутентификации, выберите «Использовать аутентификацию при подключении», затем введите отличительное имя и пароль учетной записи пользователя в каталоге.
Идентификация подключения не является обоюдной: LDAP-сервер идентифицирует компьютер Mac, а компьютер Mac не идентифицирует сервер.
Отличительное имя может задавать любую пользовательскую учетную запись, которая обладает разрешением на просмотр данных в этом каталоге. Например, пользовательская учетная запись с коротким именем dirauth на LDAP-сервере с адресом server.example.com будет иметь отличительное имя uid=dirauth,cn=users,dc=server,dc=example,dc=com.
См. раздел Изменение политики безопасности подключения LDAP.
Важно! Если отличительное имя или пароль неверны, пользователь не сможет войти в компьютер Mac, используя пользовательские учетные записи из этого каталога LDAP.
Нажмите OK, чтобы завершить создание соединения Open Directory.
Нажмите OK, чтобы завершить конфигурацию параметров LDAPv3.
Если Вы хотите, чтобы Mac имел доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в пользовательскую политику поиска в панелях «Аутентификация» и «Контакты» в разделе «Политика поиска» в Службе каталогов. См. раздел Определение политик поиска.
Важно! Если Вы меняете IP‑адрес и имя компьютера Mac с приложением macOS Server при активном подключении к серверу каталогов, необходимо отключить и снова подключить сервер каталогов, чтобы записать каталог новое имя и новый IP‑адрес компьютера. Если этого не сделать, каталог не будет обновлен и будет продолжать использовать старое имя компьютера и IP-адрес.