Конфігурування доступу до каталогу LDAP вручну в Утиліті каталогів на Mac
Ви можете вручну створити конфігурацію, що визначає, у який спосіб комп’ютер Mac отримуватиме доступ до каталогу LDAPv3 або LDAPv2. Потрібно знати ім’я вузла DNS або IP-адресу сервера каталогу LDAP.
Необхідно знати базис пошуку та шаблон для зіставлення даних macOS з даними каталогу. Нижче наведено підтримувані шаблони співвідношення.
«З сервера» — для каталогу, що надає свої власні співвідношення та базис пошуку;
«Active Directory» — для каталогу, розміщеному на сервері Windows 2000, Windows 2003 або пізнішої версії;
«RFC 2307» — для більшості каталогів, розміщених на серверах UNIX;
«Власний» — для каталогів, які не використовують жодне з наведених вище співвідношень.
Плагін LDAPv3 повністю підтримує реплікацію та відновлення після відмови Open Directory. Якщо головний сервер Open Directory стає недоступним, плагін повертається до найближчого підпорядкованого сервера.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, змініть ім’я комп’ютера на ім’я без дефіса.
У програмі «Утиліта каталогів»
на Mac клацніть «Сервіси».Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3, а тоді клацніть кнопку «Змінити параметри вибраної служби»
.Натисніть «Створити»
Введіть ім’я вузла DNS сервера LDAP або IP-адресу, а потім натисніть кнопку «Продовжити».
У стовпці «Співвідношення LDAP» натисніть спливне меню та виберіть шаблон або метод співвідношення.
Якщо вибрати опцію «З сервера», суфікс базису пошуку вводити не потрібно. У такому разі як суфікс базису пошуку Open Directory використовуватиме перший рівень каталогу LDAP.
Натисніть кнопку «Зчитати з сервера», щоб отримати список усіх типів запису та атрибутів. Типи записів, які не знайдено у локальному домені каталогів macOS, наприклад AutoServerSetup або Neighborhoods, у вікні «Типи записів і атрибути» позначаються червоним.
Якщо вибрано шаблон, наприклад Open Directory або RFC2307, введіть суфікс базису пошуку для каталогу LDAP і натисніть кнопку OK. Потрібно обов’язково ввести суфікс базису пошуку, інакше комп’ютер не зможе знаходити інформацію в каталозі LDAP. Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS ods.example.com суфікс базису пошуку може бути такий: dc=ods,dc=example,dc=com.
Якщо вибрати опцію «Власний варіант», потрібно налаштувати співвідношення між типами записів та атрибутами macOS і класами й атрибутами каталогу LDAP, до якого ви під’єднуєтеся. Перегляньте розділ Конфігурування пошуків і співвідношень LDAP.
Уточніть у адміністратора Open Directory, чи потрібно використовувати протокол SSL. Якщо так, то виберіть «SSL».
Щоб змінити наведені нижче параметри для цієї конфігурації LDAP, натисніть «Редагувати», щоб відобразити відповідні опції, внесіть зміни і натисніть кнопку OK.
Натисніть «З’єднання», щоб настроїти параметри часу очікування, вказати власний порт або ігнорувати реферали сервера. Див. Змінення параметрів під’єднання для сервера LDAP чи Open Directory.
Натисніть «Пошук і співвідношення», щоб налаштувати параметри пошуку та зіставлень для сервера LDAP. Перегляньте розділ Конфігурування пошуків і співвідношень LDAP.
Натисніть «Тип захисту», щоб налаштувати автентифіковане під’єднання (замість довіреного прив’язування) та інші параметри політики безпеки. Див. Змінення політики безпеки під’єднання LDAP.
Натисніть «Прив’язати», щоб налаштувати довірені прив’язування (якщо каталог LDAP їх підтримує). Перегляньте розділ Налаштування автентифікованих прив’язувань для каталогу LDAP.
Щоб завершити створення вручну конфігурації для доступу до каталогу LDAP, натисніть кнопку OK.
Якщо потрібно, щоб комп’ютер мав доступ до каталогу LDAP, для якого ви створили конфігурацію, додайте цей каталог до власної політики пошуку в опціях «Автентифікація» та «Контакти» політики пошуку в Утиліті каталогів. Див. Визначення політик пошуку.
Важливо! Якщо ви зміните IP-адресу та ім’я комп’ютера за допомогою changeip під час з’єднання із сервером каталогів, потрібно буде від’єднатися й знову приєднатися до сервера каталогів, щоб внести в каталог оновлене ім’я та IP-адресу комп’ютера. Якщо не від’єднатися й знову не приєднатися до сервера каталогів, каталог не буде оновлено й використовуватимуться старі ім’я комп’ютера та IP-адреса.