在 Mac 上的“目录实用工具”中手动配置 LDAP 目录访问
您可以手动创建一个配置来指定 Mac 如何访问 LDAPv3 或 LDAPv2 目录。您必须知道 LDAP 目录服务器的 DNS 主机名或 IP 地址。
如果该目录不是由安装了 macOS 服务器的 Mac 托管,那么您必须知道将 macOS 数据映射至目录数据的搜索基准和模板。支持的映射模板有:
“来自服务器”,用于提供自己的映射和搜索基准的目录,例如 macOS 服务器
“Open Directory 服务器”,用于使用 macOS 的 macOS 服务器模式的目录
“Active Directory”,用于由 Windows 2000、Windows 2003 或更高版本的服务器托管的目录
“RFC 2307”,用于由 UNIX 服务器托管的大多数目录
“自定”,用于不使用以上任何映射的目录
LDAPv3 插件完全支持 Open Directory 复制和故障转移。如果 Open Directory 主服务器不可用,插件会退回到附近的复制服务器。
【重要事项】如果电脑名称包含连字符,您可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请使用不包含连字符的电脑名称。
在 Mac 上的“目录实用工具” App 中,点按“服务”。
点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“LDAPv3”,然后点按“编辑”按钮(外观像铅笔)。
请点按“新建”。
输入 LDAP 服务器的 DNS 主机名或 IP 地址,然后点按“继续”。
在“LDAP 映射”栏中,点按弹出式菜单,然后选取映射模板或方法:
如果选取“来自服务器”,则不需要搜索基准后缀。在这种情况下,Open Directory 假设搜索基准后缀是 LDAP 目录的第一级。
点按“从服务器读取”按钮,以获取包含所有记录类型和属性的列表。未在本地 macOS 目录域中找到的记录类型(如 AutoServerSetup 或 Neighborhoods)会在“记录类型和属性”窗口标记为红色。
如果您选取一个模板(如 Open Directory 或 RFC2307),请输入 LDAP 目录的搜索基准后缀,然后点按“好”。您必须输入搜索基准后缀,否则电脑不能在 LDAP 目录中找到信息。通常,搜索基准后缀源自服务器的 DNS 主机名。例如,如果服务器的 DNS 主机名是 ods.example.com,搜索基准后缀就可能是“dc=ods,dc=example,dc=com”。
如果您选取“自定”,则必须在 macOS 记录类型和属性与您要连接到的 LDAP 目录的类和属性之间设置映射。请参阅配置 LDAP 搜索和映射。
请与 Open directory 管理员核实是否需要 SSL;如果需要,请选择“SSL”。
若要更改此 LDAP 配置的以下设置,请点按“编辑”以显示选项,进行更改,然后点按“好”。
点按“连接”以设定超时选项,指定自定端口或者忽略服务器推荐。请参阅更改 LDAP 或 Open Directory 服务器的连接设置。
点按“搜索与映射”设置 LDAP 服务器的搜索和映射。请参阅配置 LDAP 搜索和映射。
点按“安全性”以建立认证连接(不是信任绑定)和其他安全策略选项。请参阅更改 LDAP 连接安全策略。
点按“绑定”以建立信任绑定(如果 LDAP 目录支持)。请参阅建立与 LDAP 目录的认证绑定。
点按“好”完成手动创建访问 LDAP 目录的配置。
如果您想要电脑访问您为其创建了配置的 LDAP 目录,请将该目录添加到“认证”面板和“通讯录”面板(位于“目录实用工具”中的“搜索策略”中)中的自定搜索策略。
请参阅定义搜索策略。
您必须先编辑“用户”记录类型的映射,才能使用 macOS 服务器以在使用 RFC 2307 (UNIX) 映射的非 Apple LDAP 服务器上创建用户。请参阅编辑 RFC 2307 映射以启用创建用户功能。
【重要事项】在您连接到目录服务器时,如果要使用 changeip
更改您的 IP 地址和电脑名称,必须断开连接后重新连接目录服务器,使用新的电脑名称和 IP 地址更新目录。如果您不断开连接并重新连接目录服务器,则该目录不会更新并继续使用旧的电脑名称和 IP 地址。