Настройка доступа к каталогу LDAP в Службе каталогов на Mac
С помощью Службы каталогов можно задать способ доступа компьютера Mac к каталогу LDAPv3. Вам необходимо знать DNS-имя или IP-адрес сервера каталогов LDAP.
Если этот каталог находится не на сервере, предоставляющем собственные соответствия, Вам необходимо знать базу поиска и шаблон соответствия данных macOS данным этого каталога.
Поддерживаются следующие шаблоны соответствий:
Сервер Open Directory — для каталога, который использует схему Server.
Active Directory — для каталога, который постоянно находится на сервере Windows 2000 или более новой версии.
«RFC 2307» — для большинства каталогов, постоянно находящихся на серверах UNIX.
Плагин LDAPv3 полностью поддерживает отказоустойчивость и репликацию Open Directory. Если оригинал Open Directory становится недоступным, этот плагин автоматически использует ближайший дубликат.
Чтобы задать пользовательские соответствия данных этого каталога, следуйте инструкциям из раздела Настройка доступа к каталогу LDAP вручную, а не инструкциям, приведенным ниже.
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.
В приложении «Служба каталогов»
на Mac нажмите «Службы».Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3, затем нажмите кнопку «Изменить настройки выбранной службы»
.Нажмите «Новая».
Введите DNS-имя сервера LDAP или IP-адрес в полях «Имя сервера» или «IP-адрес» соответственно.
Выберите «Шифровать с использованием SSL», если хотите, чтобы Open Directory использовал протокол защищенных сокетов (SSL) для соединений с каталогом LDAP.
Прежде чем это сделать, обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.
Если «Служба каталогов» не может связаться с сервером LDAP, попробуйте изменить настройки доступа. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Нажмите «Продолжить».
Выберите новый сервер LDAP в списке, затем нажмите «Правка».
Нажмите «Поиск и соответствия».
Нажмите всплывающее меню «Получить доступ к этому серверу LDAPv3, используя», выберите значение «Open Directory» и введите начальные данные поиска.
Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем ods.example.com начальные данные поиска могут быть следующими: «dc=ods,dc=example, dc=com».
Если сервер каталога поддерживает надежное связывание, нажмите «Связать» и введите имя компьютера и имя и пароль администратора каталога.
Связывание может быть необязательным.
Надежное связывание является обоюдным. При каждом подключении компьютера к каталогу LDAP выполняется взаимная идентификация. Если надежное связывание уже настроено или каталог LDAP не поддерживает надежное связывание, кнопка «Связать» отсутствует. Убедитесь, что Вы правильно ввели имя компьютера.
Если появилось предупреждение о том, что запись компьютера существует, попробуйте ввести другое имя компьютера или нажмите «Перезаписать», чтобы заменить имеющуюся запись компьютера.
Возможно, имеющаяся запись компьютера не используется или принадлежит другому компьютеру.
Перед заменой имеющейся записи о компьютере уведомите об этом администратора данного каталога LDAP, чтобы такая замена не привела к отключению другого компьютера. В этом случае администратор каталога LDAP должен присвоить отключенному компьютеру другое имя и добавить его снова к той группе компьютеров, к которой он принадлежал.
Нажмите «Безопасность».
Если каталог LDAP требует аутентификации, выберите «Использовать аутентификацию при подключении» и введите отличительное имя и пароль учетной записи пользователя в каталоге.
Аутентификация подключения не является обоюдной: сервер LDAP аутентифицирует клиента, а клиент не аутентифицирует сервер.
Отличительное имя может задавать любую пользовательскую учетную запись, которая обладает разрешением на просмотр данных в этом каталоге. Например, пользовательская учетная запись с коротким именем dirauth на LDAP-сервере с адресом ods.example.com будет иметь отличительное имя uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Важно! Если отличительное имя или пароль неверны, никто не сможет войти в систему, используя пользовательские учетные записи из этого каталога LDAP.
Нажмите OK, чтобы завершить создание соединения LDAP.
Нажмите OK, чтобы завершить конфигурацию параметров LDAPv3.
Если Вы хотите, чтобы компьютер имел доступ к настроенному каталогу LDAP, добавьте этот каталог в пользовательскую политику поиска в панелях «Аутентификация» и «Контакты» в разделе «Политика поиска» в Службе каталогов. О создании политик поиска см. в разделе Определение политик поиска.