Настройка доступа к каталогу LDAP вручную в Службе каталогов на Mac
Вы можете вручную создать конфигурацию, которая определяет порядок доступа компьютера Mac к каталогу LDAPv3 или LDAPv2. Вам необходимо знать DNS-имя или IP-адрес сервера каталогов LDAP.
Необходимо знать базу поиска и шаблон сопоставления данных macOS с данными этого каталога. Поддерживаются приведенные ниже шаблоны соответствий.
С сервера — для каталога, который предоставляет собственные соответствия и базу поиска.
«Active Directory» — для каталога, который постоянно находится на сервере Windows 2000, Windows 2003 или более новых версий.
«RFC 2307» — для большинства каталогов, постоянно находящихся на серверах UNIX.
«Произвольно» — для каталогов, которые не используют ни одно из приведенных выше соответствий.
Плагин LDAPv3 полностью поддерживает отказоустойчивость и репликацию Open Directory. Если оригинал Open Directory становится недоступным, этот плагин автоматически переходит на ближайший дубликат.
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, измените имя компьютера таким образом, чтобы оно не содержало дефис.
В приложении «Служба каталогов»
на Mac нажмите «Службы».Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3, затем нажмите кнопку «Изменить настройки выбранной службы»
.Нажмите «Новая».
Введите DNS-имя сервера LDAP или IP-адрес, затем нажмите «Далее».
Нажмите всплывающее меню в колонке «Адреса LDAP» и выберите шаблон или метод соответствия.
Если выбран пункт «С сервера», то вводить базу поиска не требуется. В этом случае Open Directory берет в качестве суффикса базы поиска первый уровень каталога LDAP.
Нажмите кнопку «Считать с сервера», чтобы получить список всех атрибутов и типов записей. Типы записей, не найденные в локальном домене каталогов macOS, таких как AutoServerSetup или Neighborhoods, обозначаются в окне «Типы записей и атрибуты» красным цветом.
Если выбран шаблон (такой как Open Directory или RFC2307), введите начальные данные поиска для каталога LDAP и нажмите «OK». Необходимо ввести начальные данные поиска, иначе компьютер не сможет находить информацию в каталоге LDAP. Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем ods.example.com начальные данные поиска могут быть следующими: «dc=ods,dc=example, dc=com».
Если выбран пункт «Произвольно», необходимо установить соответствия между типами записей и атрибутами macOS и классами и атрибутами каталога LDAP, к которому нужно подключиться. См. раздел Настройка поиска и сопоставлений LDAP.
Выясните у администратора Open Directory, требуется ли использование SSL, и если да, включите параметр «SSL».
Чтобы изменить следующие настройки в этой конфигурации LDAP, нажмите кнопку редактирования, чтобы отобразить параметры, внесите изменения, затем нажмите кнопку «ОК».
Нажмите «Подключение» и установите значения времени ожидания, выберите порт или включите пропуск перенаправлений сервера. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Нажмите «Поиск и соответствия», чтобы настроить поиск и соответствия LDAP-сервера. См. раздел Настройка поиска и сопоставлений LDAP.
Нажмите «Безопасность», чтобы настроить идентифицируемое подключение (вместо надежного связывания) и другие параметры политики безопасности. См. раздел Изменение политики безопасности подключения LDAP.
Нажмите кнопку «Связать», чтобы установить надежные связывания (если каталог LDAP поддерживает эту функцию). См. раздел Настройка аутентифицированного связывания для каталога LDAP.
Чтобы завершить создание вручную конфигурации для доступа к каталогу LDAP, нажмите кнопку OK.
Если Вы хотите, чтобы компьютер имел доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в пользовательскую политику поиска в панелях «Аутентификация» и «Контакты» в разделе «Политика поиска» Службы каталогов. См. раздел Определение политик поиска.
Важно! В случае смены IP-адреса и имени компьютера с помощью команды changeip при активном подключении к серверу каталогов необходимо отсоединить и повторно соединить сервер каталогов, чтобы обновить каталог новым именем компьютера и IP-адресом. Если не переподключить сервер каталогов, каталог не будет обновлен и будет продолжать использовать старое имя компьютера и IP-адрес.