Konfigurera åtkomsten till en LDAP-katalog manuellt i Katalogverktyg på datorn
Du kan manuellt skapa en konfiguration som anger hur en Mac-dator ansluter till en LDAPv3- eller LDAPv2-katalog. Du måste känna till LDAP-katalogserverns DNS-värdnamn eller IP-adress.
Om katalogen inte finns på en Mac med macOS Server installerat måste du känna till sökdatabasen och mallen för koppling av macOS-data till katalogens data. De kopplingsmallar som stöds är:
Från server, för kataloger som själva tillhandahåller egna kopplingar och sökdatabaser, t.ex. en macOS Server
Open Directory-server, för kataloger som använder appen macOS Server för macOS-schemat
Active Directory, för kataloger som finns på en Windows 2000-, Windows 2003-server eller senare
RFC 2307, för de flesta kataloger som finns på UNIX-servrar
Anpassad, för kataloger som inte använder någon av ovanstående kopplingar
LDAPv3-insticksfilen har fullständigt stöd för Open Directory-replikering och failover. Om en Open Directory-master blir otillgänglig byter appen till en närliggande kopia.
Viktigt: Om datorns namn innehåller ett bindestreck kanske du inte kan koppla till en katalogdomän som LDAP eller Active Directory. Använd ett datornamn som inte innehåller något bindestreck när du ansluter.
Klicka på Tjänster i appen Katalogverktyg
på datorn.Klicka på låssymbolen.
Ange användarnamn och lösenord för en administratör och klicka sedan på Ändra konfiguration (eller använd Touch ID).
Markera LDAPv3 och klicka sedan på knappen Redigera inställningar för den valda tjänsten
.Klicka på Ny.
Ange LDAP-serverns DNS-värdnamn eller IP-adress och klicka på Fortsätt.
Klicka på popupmenyn i kolumnen LDAP-kopplingar och välj en kopplingsmall eller -metod:
Om du väljer Från server behöver du inte ange något sökdatabassuffix. I det här fallet antar Open Directory att sökdatabasen finns i LDAP-katalogens första nivå.
Klicka på knappen Läs från server om du vill hämta en lista med alla posttyper och attribut. Posttyper som inte hittats i den lokala macOS-katalogdomänen, exempelvis AutoServerSetup eller Neighborhoods, markeras med rött i fönstret Posttyper och attribut.
Om du väljer en mall som Open Directory eller RFC2307 anger du sökdatabassuffixet för LDAP-katalogen och klickar på OK. Du måste ange ett sökdatabassuffix så att datorn kan hitta information i LDAP-katalogen. Vanligtvis härleds sökdatabassuffixet från serverns DNS-värdnamn. Exempelvis så kan sökdatabassuffixet vara ”dc=ods,dc=example, dc=com” för en server vars DNS-värdnamn är ods.example.com.
Om du väljer Anpassade måste du ställa in kopplingar mellan macOS-posttyper och -attribut och klasser och attribut för den LDAP-katalog du ansluter till. Se Konfigurera LDAP-sökningar och -kopplingar.
Hör efter med Open Directory-administratören om SSL behövs och aktivera sedan SSL om så är fallet.
Du ändrar de följande förvalda inställningarna för den här LDAP-konfigurationen genom att klicka på Redigera så att alternativen visas. Gör dina ändringar och klicka sedan på OK.
Klicka på Anslutning för att ange maxtidsgränser, ange en anpassad port eller ignorera serverremitteringar. Se Ändra anslutningsinställningar för en LDAP- eller Open Directory-server.
Klicka på Sökning och koppling om du vill ställa in sökningar och kopplingar för en LDAP-server. Se Konfigurera LDAP-sökningar och -kopplingar.
Klicka på Säkerhet och ställ in en autentiserad anslutning (i stället för betrodd koppling) och andra säkerhetsalternativ. Se Ändra säkerhetspolicy för LDAP-anslutningar.
Ställ in betrodda kopplingar genom att klicka på Koppla (om LDAP-katalogen har stöd för betrodd koppling). Se Ställa in en autentiserad koppling för en LDAP-katalog.
Klicka på OK och avsluta det manuella skapandet av konfigurationen för åtkomst till LDAP-katalogen.
Om du vill att datorn ska ansluta till den LDAP-katalog du skapat en konfiguration för lägger du till katalogen i en anpassad sökpolicy i panelen Autentisering och panelen Kontakter under Sökpolicy i Katalogverktyg. Se Definiera sökpolicyer.
Innan du kan använda macOS Server till att skapa användare på en icke-Apple-LDAP-katalogserver som använder RFC 2307-koppling (UNIX) måste du redigera kopplingen för posttypen Användare. Se Redigera RFC 2307-koppling så att det går att skapa användare.
Viktigt: Om du ändrar IP-adress och datornamn med changeip medan du är ansluten till en katalogserver måste du koppla från och ansluta på nytt till katalogservern för att uppdatera katalogen med det nya datornamnet och den nya IP-adressen. Om du inte kopplar från och ansluter till katalogservern igen så uppdateras inte katalogen utan det gamla användarnamnet och den gamla IP-adressen fortsätter att användas.