Керування доступом до Open Directory
Під час прив’язування до сервера Open Directory за допомогою Служби каталогів потрібно знати ім’я або IP-адресу сервера, а також, чи використовує сервер протокол SSL.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, використовуйте ім’я комп’ютера без дефіса.
Запуск Служби каталогів для мене
Натисніть «Сервіси».
Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3 та натисніть кнопку «Редагувати» (у вигляді олівця).
Натисніть «Створити»
Введіть ім’я або IP-адресу сервера Open Directory в полі «Ім’я чи IP-адреса сервера».
Виберіть опцію «Шифрувати за допомогою SSL», якщо для підключень потрібно використовувати протокол SSL.
Перш ніж вибрати цей параметр, запитайте в адміністратора Open Directory, чи потрібно використовувати протокол SSL.
Якщо Службі каталогів не вдається підключитися до сервера Open Directory, можливо, потрібно настроїти параметри доступу до конфігурації. Докладну інформацію наведено в статті Змінення параметрів підключення для сервера LDAP чи Open Directory.
Натисніть кнопку «Продовжити».
Виберіть новий сервер Open Directory зі списку та натисніть кнопку «Редагувати».
Натисніть «Пошук і співвідношення».
У спливному меню «Співвідношення для цього сервера» виберіть пункт «Open Directory», а потім введіть базис пошуку.
Необхідно ввести суфікс базису пошуку, щоб комп’ютер Mac міг знаходити інформацію на сервері Open Directory. Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS server.example.com суфікс базису пошуку може бути такий: dc=server,dc=example,dc=com.
Щоб отримати додаткову інформацію про настроювання пошуків і співвідношень для сервера LDAP, див. статтю Настроювання пошуків і співвідношень LDAP.
Якщо сервер каталогу підтримує довірене прив’язування, натисніть кнопку «Прив’язати» та введіть ім’я й пароль адміністратора каталогу.
Прив’язування може бути необов’язковим.
Довірене прив’язування є взаємним. Під час кожного підключення комп’ютера Mac до каталогу LDAP вони аутентифікують один одного. Якщо довірене прив’язування настроєно або каталог LDAP не підтримує довірене прив’язування, кнопка «Прив’язати» не відображається. Перевірте, чи правильно введено ім’я комп’ютера Mac.
Якщо відобразиться сповіщення про те, що запис комп’ютера в каталозі вже існує, повторіть спробу, змінивши ім’я комп’ютера Mac, або натисніть «Перезаписати», щоб замінити наявний запис комп’ютера.
Наявний запис комп’ютера може бути полишеним або може належати іншому комп’ютеру з ідентичним іменем.
Якщо ви замінюєте наявний запис комп’ютера, повідомте про це адміністратору каталогу LDAP, щоб унаслідок заміни запису не вимкнувся інший комп’ютер. У такому випадку адміністратор каталогу LDAP має надати вимкненому комп’ютеру інше ім’я та знову додати його до групи комп’ютерів, до якої він належав.
Докладну інформацію наведено в статті Настроювання автентифікованих прив’язувань для каталогу LDAP.
Натисніть «Тип захисту».
Якщо для підключення Open Directory потрібна аутентифікація, виберіть «Для під’єднання застосовувати аутентифікацію» та введіть унікальне ім’я й пароль облікового запису користувача у цьому каталозі.
Підключення за допомогою аутентифікації не є взаємним; сервер LDAP аутентифікує комп’ютер Mac, але комп’ютер Mac не аутентифікує сервер.
Унікальне ім’я може визначати будь-який обліковий запис, який має привілеї перегляду даних у каталозі. Наприклад, запис, який має на сервері LDAP коротке ім’я dirauth і адресу server.example.com, матиме унікальне ім’я uid=dirauth,cn=users,dc=server,dc=example,dc=com.
Докладну інформацію наведено в статті Змінення політики безпеки підключення LDAP.
Важливо! Якщо унікальне ім’я або пароль неправильні, у систему комп’ютера Mac можна ввійти за допомогою облікових записів із каталогу LDAP.
Натисніть OK, щоб завершити створення підключення Open Directory.
Натисніть OK, щоб завершити настроювання параметрів LDAPv3.
Якщо потрібно, щоб комп’ютер Mac мав доступ до каталогу LDAP, для якого ви створили конфігурацію, додайте цей каталог до власної політики пошуку на панелі «Аутентифікація» та на панелі «Контакти» політики пошуку у Службі каталогів. Щоб отримати додаткову інформацію щодо створення політик пошуку, див. статтю Визначення політик пошуку.
Важливо! Якщо ви зміните IP-адресу та ім’я комп’ютера Mac з інстальованою системою macOS Server під час з’єднання із сервером каталогів, потрібно буде від’єднатися й знову приєднатися до сервера каталогів, щоб внести в каталог оновлене ім’я та IP-адресу комп’ютера. Якщо цього не зробити, каталог не буде оновлено й використовуватимуться старі ім’я комп’ютера та IP-адреса.