Konfigurera LDAP-katalogåtkomst i Katalogverktyg på datorn
Med Katalogverktyg kan du ange hur datorn ska komma åt en LDAPv3-katalog. Du måste känna till LDAP-katalogserverns DNS-värdnamn eller IP-adress.
Om katalogen inte finns på en server som tillhandahåller egna kopplingar (t.ex. en server med macOS Server) måste du känna till sökdatabasen och mallen för koppling av macOS-data till katalogens data.
De kopplingsmallar som stöds är:
Open Directory-server, för kataloger som använder serverschemat
Active Directory, för kataloger som finns på en Windows 2000-server eller senare
RFC 2307, för de flesta kataloger som finns på UNIX-servrar
LDAPv3-insticksfilen har fullständigt stöd för Open Directory-replikering och failover. Om en Open Directory-master slutar att vara tillgänglig använder insticksfilen en närliggande kopia.
Om du vill ange anpassade kopplingar för katalogdata följer du anvisningarna i avsnittet Konfigurera åtkomst till en LDAP-katalog manuellt istället för de här anvisningarna.
Viktigt: Om datorns namn innehåller ett bindestreck kanske du inte kan koppla till en katalogdomän som LDAP eller Active Directory. Använd ett datornamn som inte innehåller något bindestreck när du ansluter.
Klicka på Tjänster i appen Katalogverktyg
på datorn.Klicka på låssymbolen.
Ange användarnamn och lösenord för en administratör och klicka sedan på Ändra konfiguration (eller använd Touch ID).
Markera LDAPv3 och klicka sedan på knappen Redigera inställningar för den valda tjänsten
.Klicka på Ny.
Ange LDAP-serverns DNS-värdnamn eller IP-adress i fältet Servernamn eller IP-adress.
Markera Kryptera med SSL om du vill att Open Directory ska använda SSL (Secure Sockets Layer) för anslutningar till LDAP-katalogen.
Fråga Open Directory-administratören om SSL behövs innan du markerar alternativet.
Om Katalogverktyg inte kan kontakta LDAP-servern kanske du måste justera anslutningsinställningarna för konfigurationen. Se Ändra anslutningsinställningar för en LDAP- eller Open Directory-server.
Klicka på Fortsätt.
Välj den nya LDAP-servern i listan och klicka på Redigera.
Klicka på Sökning och koppling.
Välj Open Directory från popupmenyn ”Anslut till LDAPv3-servern med” och ange en sökdatabas.
Vanligtvis härleds sökdatabassuffixet från serverns DNS-värdnamn. Exempelvis så kan sökdatabassuffixet vara ”dc=ods,dc=example, dc=com” för en server vars DNS-värdnamn är ods.example.com.
Om katalogservern stöder betrodd koppling klickar du på Koppla och anger namnet på datorn och namn och lösenord för en katalogadministratör.
Kopplingen kanske är frivillig.
Betrodd koppling är ömsesidig. Varje gång datorn ansluter till LDAP-katalogen autentiserar de varandra. Om betrodd koppling är inställt eller om LDAP-katalogen inte stöder betrodd koppling visas inte knappen Koppla. Kontrollera att du angett rätt datornamn.
Om du får ett varningsmeddelande om att en datorpost finns kan du prova igen med ett annat datornamn eller klicka på Skriv över om du vill ersätta den befintliga datorposten.
Den befintliga datorposten kanske inte längre används eller så tillhör den en annan dator.
Innan du ersätter en befintlig datorpost meddelar du detta till LDAP-katalogadministratören så att du inte avaktiverar en annan dator genom att ersätta posten. I så fall måste LDAP-katalogadministratören ange ett nytt namn för den avaktiverade datorn och lägga till den igen i den datorgrupp dit den hörde.
Klicka på Säkerhet.
Om LDAP-katalogen kräver autentisering för att ansluta markerar du ”Använd autentisering vid val” och anger det distingerade namnet och lösenordet för ett användarkonto i katalogen.
En autentiserad anslutning är inte ömsesidig: LDAP-servern autentiserar klienten men klienten autentiserar inte servern.
Det distingerade namnet kan vara något av de användarkonton som har behörighet att visa data i katalogen. Ett användarkonto med kortnamn ”dirauth” på en LDAP-server vars adress ods.example.com är skulle till exempel ha det distingerade namnet uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Viktigt: Om det distingerade namnet eller lösenordet är felaktigt kan du logga in på datorn med användarkonton från LDAP-katalogen.
Slutför skapandet av LDAP-anslutningen genom att klicka på OK.
Avsluta konfigureringen av LDAPv3-alternativ genom att klicka på OK.
Om du vill att datorn ska ansluta till den här konfigurerade LDAP-katalogen lägger du till katalogen i en anpassad sökpolicy i någon av panelerna Autentisering eller Kontakter under Sökpolicy i Katalogverktyg. Läs mer om att skapa sökpolicyer i Definiera sökpolicyer.