Настроювання доступу до каталогу LDAP вручну
Ви можете вручну створити конфігурацію, що визначає, у який спосіб комп’ютер Mac отримуватиме доступ до каталогу LDAPv3 або LDAPv2. Потрібно знати ім’я вузла DNS або IP-адресу сервера каталогу LDAP.
Якщо каталог розміщується не на сервері Mac з інстальованою системою macOS Server, необхідно знати базис пошуку та шаблон для зіставлення даних macOS з даними каталогу. Нижче наведено підтримувані шаблони співвідношення.
«З сервера» — для каталогу, що надає свої власні співвідношення та базис пошуку, наприклад macOS Server;
«Сервер Open Directory» — для каталогу, у якому використовується схема програми macOS Server для macOS;
«Active Directory» — для каталогу, розміщеному на сервері Windows 2000, Windows 2003 або пізнішої версії;
«RFC 2307» — для більшості каталогів, розміщених на серверах UNIX;
«Власний» — для каталогів, які не використовують жодне з наведених вище співвідношень.
Плагін LDAPv3 повністю підтримує реплікацію та відновлення після відмови Open Directory. Якщо головний сервер Open Directory стає недоступним, плагін повертається до найближчого підпорядкованого сервера.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, використовуйте ім’я комп’ютера без дефіса.
Запуск Служби каталогів для мене
Натисніть «Сервіси».
Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3 та натисніть кнопку «Редагувати» (у вигляді олівця).
Натисніть «Створити»
Введіть ім’я вузла DNS сервера LDAP або IP-адресу, а потім натисніть кнопку «Продовжити».
У стовпці «Співвідношення LDAP» натисніть спливне меню та виберіть шаблон або метод співвідношення.
Якщо вибрати опцію «З сервера», суфікс базису пошуку вводити не потрібно. У такому разі як суфікс базису пошуку Open Directory використовуватиме перший рівень каталогу LDAP.
Натисніть кнопку «Зчитати з сервера», щоб отримати список усіх типів запису та атрибутів. Типи записів, які не знайдено у локальному домені каталогів macOS, наприклад AutoServerSetup або Neighborhoods, у вікні «Типи записів і атрибути» позначаються червоним.
Якщо вибрано шаблон, наприклад Open Directory або RFC2307, введіть суфікс базису пошуку для каталогу LDAP і натисніть кнопку OK. Потрібно обов’язково ввести суфікс базису пошуку, інакше комп’ютер не зможе знаходити інформацію в каталозі LDAP. Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS ods.example.com суфікс базису пошуку може бути такий: dc=ods,dc=example,dc=com.
Якщо вибрати опцію «Власний варіант», потрібно настроїти співвідношення між типами записів та атрибутами macOS і класами й атрибутами каталогу LDAP, до якого ви під’єднуєтеся. Щоб отримати додаткову інформацію, див. статтю Настроювання пошуків і співвідношень LDAP.
Уточніть у адміністратора Open Directory, чи потрібно використовувати протокол SSL. Якщо так, то виберіть «SSL».
Щоб змінити наведені нижче параметри для цієї конфігурації LDAP, натисніть «Редагувати», щоб відобразити відповідні опції, внесіть зміни і натисніть кнопку OK.
Натисніть «З’єднання», щоб настроїти параметри часу очікування, вказати власний порт або ігнорувати реферали сервера. Докладну інформацію наведено в статті Змінення параметрів підключення для сервера LDAP чи Open Directory.
Натисніть «Пошук і співвідношення», щоб настроїти параметри пошуку та зіставлень для сервера LDAP. Докладну інформацію наведено в статті Настроювання пошуків і співвідношень LDAP.
Натисніть «Тип захисту», щоб настроїти аутентифіковане підключення (замість довіреного прив’язування) та інші параметри політики безпеки. Докладну інформацію наведено в статті Змінення політики безпеки підключення LDAP.
Натисніть «Прив’язати», щоб настроїти довірені прив’язування (якщо каталог LDAP їх підтримує). Щоб отримати додаткову інформацію, див. статтю Настроювання автентифікованих прив’язувань для каталогу LDAP.
Щоб завершити створення вручну конфігурації для доступу до каталогу LDAP, натисніть кнопку OK.
Якщо потрібно, щоб комп’ютер мав доступ до каталогу LDAP, для якого ви створили конфігурацію, додайте цей каталог до власної політики пошуку на панелі «Аутентифікація» та на панелі «Контакти» політики пошуку у Службі каталогів.
Докладну інформацію наведено в статті Визначення політик пошуку.
Перш ніж використовувати macOS Server для створення користувачів на сервері LDAP не від Apple, який використовує співвідношення RFC 2307 (UNIX), необхідно відредагувати співвідношення типу запису «Користувачі». Щоб отримати додаткову інформацію, див. статтю Редагування співвідношення RFC 2307 для ввімкнення можливості створення користувачів.
Важливо! Якщо ви зміните IP-адресу та ім’я комп’ютера за допомогою changeip
під час з’єднання із сервером каталогів, потрібно буде від’єднатися й знову приєднатися до сервера каталогів, щоб внести в каталог оновлене ім’я та IP-адресу комп’ютера. Якщо не від’єднатися й знову не приєднатися до сервера каталогів, каталог не буде оновлено й використовуватимуться старі ім’я комп’ютера та IP-адреса.