Định cấu hình quyền truy cập vào thư mục LDAP theo cách thủ công trong Tiện ích thư mục trên máy Mac
Bạn có thể tạo thủ công cấu hình chỉ định cách máy Mac truy cập vào thư mục LDAPv3 hoặc LDAPv2. Bạn phải biết tên máy chủ DNS hoặc địa chỉ IP của máy chủ thư mục LDAP.
Nếu thư mục không được lưu trữ trên máy Mac được cài đặt macOS Server thì bạn phải biết cơ sở tìm kiếm và mẫu để ánh xạ dữ liệu macOS đến dữ liệu của thư mục. Các mẫu ánh xạ được hỗ trợ là:
Từ Máy chủ, dành cho thư mục cung cấp ánh xạ và cơ sở tìm kiếm riêng, chẳng hạn như macOS Server
Máy chủ Open Directory, dành cho thư mục sử dụng macOS Server cho hệ thống macOS
Active Directory, dành cho thư mục được máy chủ Windows 2000, Windows 2003 hoặc mới hơn lưu trữ
RFC 2307, dành cho hầu hết các thư mục do máy chủ UNIX lưu trữ
Tùy chỉnh, dành cho các thư mục không sử dụng bất kỳ ánh xạ nào nêu trên
Trình cắm LDAPv3 hỗ trợ đầy đủ việc sao chép và dự phòng Open Directory. Nếu Open Directory chính không khả dụng, trình cắm sẽ dự phòng sang bản sao gần đó.
Quan trọng: Nếu tên máy tính của bạn chứa dấu gạch nối, bạn có thể không liên kết được vào miền thư mục như LDAP hoặc Active Directory. Để thiết lập liên kết, hãy sử dụng tên máy tính không có dấu gạch nối.
Trong ứng dụng Tiện ích thư mục
trên máy Mac của bạn, hãy bấm vào Dịch vụ.Bấm vào biểu tượng khóa.
Nhập tên và mật khẩu của quản trị viên, sau đó bấm vào Sửa đổi cấu hình (hoặc sử dụng Touch ID).
Chọn LDAPv3, sau đó bấm vào nút “Sửa cài đặt cho dịch vụ đã chọn”
.Bấm Mới.
Nhập tên máy chủ DNS hoặc địa chỉ IP của máy chủ LDAP, sau đó bấm Tiếp tục.
Trong cột Ánh xạ LDAP, bấm vào menu bật lên, rồi chọn mẫu hoặc phương thức ánh xạ:
Nếu bạn chọn Từ Máy, tiếp tố cơ sở tìm kiếm sẽ không cần thiết. Trong trường hợp này, Open Directory giả sử rằng tiếp tố cơ sở tìm kiếm là mức đầu tiên của thư mục LDAP.
Bấm vào nút Đọc từ Máy chủ để lấy danh sách tất cả các thuộc tính và loại bản ghi. Các loại bản ghi không tìm thấy trong miền thư mục macOS cục bộ, như AutoServerSetup hoặc Neighborhoods, được đánh dấu bằng màu đỏ trong cửa sổ Thuộc tính và Loại Bản ghi.
Nếu bạn chọn mẫu, như Open Directory hoặc RFC2307, hãy nhập tiếp tố cơ sở tìm kiếm cho thư mục LDAP, sau đó bấm vào OK. Bạn phải nhập tiếp tố cơ sở tìm kiếm hoặc máy tính không thể tìm thấy thông tin trong thư mục LDAP. Thông thường, tiếp tố cơ sở tìm kiếm được suy ra từ tên máy chủ DNS của máy chủ. Ví dụ: tiếp tố cơ sở tìm kiếm có thể là “dc=ods,dc=example,dc=com” cho máy chủ có tên máy chủ DNS là ods.example.com.
Nếu bạn chọn Tùy chỉnh, bạn phải thiết lập ánh xạ giữa loại bản ghi và thuộc tính của macOS với lớp và thuộc tính của thư mục LDAP mà bạn đang kết nối đến. Xem Định cấu hình Tìm kiếm & Ánh xạ LDAP.
Hỏi quản trị viên Open Directory của bạn xem SSL có phải là tùy chọn bắt buộc không và nếu có, hãy chọn SSL.
Để thay đổi các cài đặt sau cho cấu hình LDAP này, hãy bấm vào Sửa để hiển thị các tùy chọn, thực hiện thay đổi, sau đó bấm vào OK.
Bấm Kết nối để đặt tùy chọn hết thời gian, chỉ định cổng tùy chỉnh hoặc bỏ qua giới thiệu máy chủ. Xem Thay đổi cài đặt kết nối cho máy chủ LDAP hoặc Open Directory.
Bấm Tìm kiếm & Ánh xạ để thiết lập tìm kiếm và ánh xạ cho máy chủ LDAP. Xem Định cấu hình Tìm kiếm & Ánh xạ LDAP.
Bấm Bảo mật để thiết lập kết nối được xác thực (thay vì liên kết được tin cậy) và các tùy chọn chính sách bảo mật khác. Xem Thay đổi chính sách bảo mật kết nối LDAP.
Bấm Liên kết để thiết lập liên kết được tin cậy (nếu thư mục LDAP hỗ trợ). Xem Thiết lập liên kết được xác thực cho thư mục LDAP.
Bấm OK để hoàn tất tạo thủ công cấu hình truy cập thư mục LDAP.
Nếu bạn muốn máy tính truy cập thư mục LDAP mà bạn đã tạo cấu hình, hãy thêm thư mục vào chính sách tìm kiếm tùy chỉnh trong các ngăn Xác thực và ngăn Danh bạ của Chính sách Tìm kiếm trong Tiện ích Thư mục. Xem Xác định chính sách tìm kiếm.
Trước khi bạn có thể sử dụng macOS Server để tạo người dùng trên máy chủ LDAP không phải của Apple bằng ánh xạ RFC 2307 (UNIX), bạn phải sửa ánh xạ của loại bản ghi Người dùng. Xem Sửa ánh xạ RFC 2307 để cho phép tạo người dùng.
Quan trọng: Nếu bạn thay đổi địa chỉ IP và tên máy tính bằng changeip trong khi bạn được kết nối vào thư mục máy chủ, bạn phải ngắt kết nối và kết nối lại vào máy chủ thư mục để cập nhật thư mục với tên máy tính và địa chỉ IP mới. Nếu bạn không ngắt kết nối và kết nối lại vào máy chủ thư mục, thư mục không cập nhật và tiếp tục sử dụng tên máy tính và địa chỉ IP cũ.