Настроювання доступу до каталогу LDAP вручну в Утиліті каталогів на Mac
Ви можете вручну створити конфігурацію, що визначає, у який спосіб комп’ютер Mac отримуватиме доступ до каталогу LDAPv3 або LDAPv2. Потрібно знати ім’я вузла DNS або IP-адресу сервера каталогу LDAP.
Якщо каталог розміщується не на сервері Mac з інстальованою системою macOS Server, необхідно знати базис пошуку та шаблон для зіставлення даних macOS з даними каталогу. Нижче наведено підтримувані шаблони співвідношення.
«З сервера» — для каталогу, що надає свої власні співвідношення та базис пошуку, наприклад macOS Server;
«Сервер Open Directory» — для каталогу, у якому використовується схема програми macOS Server для macOS;
«Active Directory» — для каталогу, розміщеному на сервері Windows 2000, Windows 2003 або пізнішої версії;
«RFC 2307» — для більшості каталогів, розміщених на серверах UNIX;
«Власний» — для каталогів, які не використовують жодне з наведених вище співвідношень.
Плагін LDAPv3 повністю підтримує реплікацію та відновлення після відмови Open Directory. Якщо головний сервер Open Directory стає недоступним, плагін повертається до найближчого підпорядкованого сервера.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, використовуйте ім’я комп’ютера без дефіса.
У програмі «Утиліта каталогів»
на Mac клацніть «Сервіси».Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3, а тоді клацніть кнопку «Змінити параметри вибраної служби»
.Натисніть «Створити»
Введіть ім’я вузла DNS сервера LDAP або IP-адресу, а потім натисніть кнопку «Продовжити».
У стовпці «Співвідношення LDAP» натисніть спливне меню та виберіть шаблон або метод співвідношення.
Якщо вибрати опцію «З сервера», суфікс базису пошуку вводити не потрібно. У такому разі як суфікс базису пошуку Open Directory використовуватиме перший рівень каталогу LDAP.
Натисніть кнопку «Зчитати з сервера», щоб отримати список усіх типів запису та атрибутів. Типи записів, які не знайдено у локальному домені каталогів macOS, наприклад AutoServerSetup або Neighborhoods, у вікні «Типи записів і атрибути» позначаються червоним.
Якщо вибрано шаблон, наприклад Open Directory або RFC2307, введіть суфікс базису пошуку для каталогу LDAP і натисніть кнопку OK. Потрібно обов’язково ввести суфікс базису пошуку, інакше комп’ютер не зможе знаходити інформацію в каталозі LDAP. Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS ods.example.com суфікс базису пошуку може бути такий: dc=ods,dc=example,dc=com.
Якщо вибрати опцію «Власний варіант», потрібно настроїти співвідношення між типами записів та атрибутами macOS і класами й атрибутами каталогу LDAP, до якого ви під’єднуєтеся. Див. Настроювання пошуків і співвідношень LDAP.
Уточніть у адміністратора Open Directory, чи потрібно використовувати протокол SSL. Якщо так, то виберіть «SSL».
Щоб змінити наведені нижче параметри для цієї конфігурації LDAP, натисніть «Редагувати», щоб відобразити відповідні опції, внесіть зміни і натисніть кнопку OK.
Натисніть «З’єднання», щоб настроїти параметри часу очікування, вказати власний порт або ігнорувати реферали сервера. Див. Змінення параметрів підключення для сервера LDAP чи Open Directory.
Натисніть «Пошук і співвідношення», щоб настроїти параметри пошуку та зіставлень для сервера LDAP. Див. Настроювання пошуків і співвідношень LDAP.
Натисніть «Тип захисту», щоб настроїти аутентифіковане підключення (замість довіреного прив’язування) та інші параметри політики безпеки. Див. Змінення політики безпеки підключення LDAP.
Натисніть «Прив’язати», щоб настроїти довірені прив’язування (якщо каталог LDAP їх підтримує). Див. Настроювання автентифікованих прив’язувань для каталогу LDAP.
Щоб завершити створення вручну конфігурації для доступу до каталогу LDAP, натисніть кнопку OK.
Якщо потрібно, щоб комп’ютер мав доступ до каталогу LDAP, для якого ви створили конфігурацію, додайте цей каталог до власної політики пошуку на панелі «Автентифікація» та на панелі «Контакти» політики пошуку в Утиліті каталогів. Див. Визначення політик пошуку.
Перш ніж використовувати macOS Server для створення користувачів на сервері LDAP не від Apple, який використовує співвідношення RFC 2307 (UNIX), необхідно відредагувати співвідношення типу запису «Користувачі». Див. Редагування співвідношення RFC 2307 для ввімкнення можливості створення користувачів.
Важливо! Якщо ви зміните IP-адресу та ім’я комп’ютера за допомогою changeip під час з’єднання із сервером каталогів, потрібно буде від’єднатися й знову приєднатися до сервера каталогів, щоб внести в каталог оновлене ім’я та IP-адресу комп’ютера. Якщо не від’єднатися й знову не приєднатися до сервера каталогів, каталог не буде оновлено й використовуватимуться старі ім’я комп’ютера та IP-адреса.