在 Mac 上的“目录实用工具”中配置 Open Directory 访问
在使用“目录实用工具”来绑定到 Open Directory 服务器时,您必须知道服务器的 DNS 名称或 IP 地址以及服务器是否使用安全套接字层 (SSL)。
【重要事项】如果电脑名称包含连字符,您可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请使用不包含连字符的电脑名称。
在 Mac 上的“目录实用工具” App
中,点按“服务”。点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“LDAPv3”,然后点按“编辑所选服务的设置”按钮
。请点按“新建”。
在“服务器名称或 IP 地址”栏中输入 Open Directory 服务器的服务器名称或 IP 地址。
如果您希望 Open Directory 将安全套接字层 (SSL) 用于连接,请选择“使用 SSL 加密”。
在选择此项之前,请询问 Open Directory 管理员是否需要 SSL。
如果“目录实用工具”不能联系到 Open Directory 服务器,您可能需要调整您的配置访问设置。请参阅更改 LDAP 或 Open Directory 服务器的连接设置。
点按“继续”。
在列表中选择新的 Open Directory 服务器,然后点按“编辑”。
点按“搜索和映射”。
点按“访问此 LDAPv3 服务器使用”弹出式菜单,选取“Open Directory”,然后输入搜索基准。
您必须输入一个搜索基准后缀,以便 Mac 可以在 Open Directory 服务器上查找信息。通常,搜索基准后缀源自服务器的 DNS 主机名。例如,如果服务器的 DNS 主机名是 server.example.com,搜索基准后缀就可能是“dc=server,dc=example,dc=com”。
请参阅配置 LDAP 搜索和映射。
如果目录服务器支持信任绑定,请点按“绑定”,然后输入目录管理员的名称和密码。
绑定可能是可选的。
信任绑定是相互的。每次 Mac 连接到 LDAP 目录时,它们会相互认证。如果已设置信任绑定或 LDAP 目录不支持信任绑定,“绑定”按钮不会显示。确定您提供了正确的 Mac 电脑名称。
如果看到一则通知,提示电脑记录已存在于目录中,请使用其他 Mac 电脑名称再试一次,或者点按“覆盖”以替换现有的电脑记录。
现有的电脑记录可能被放弃,或者属于另一台电脑(如果名称相同)。
在您替换现有的电脑记录之前,请通知 LDAP 目录管理员,以确定替换该记录不会停用另一电脑。在这种情况下,LDAP 目录管理员必须为停用的电脑指定其他名称,并且将其重新添加到所属的电脑群组。
请参阅建立与 LDAP 目录的认证绑定。
点按“安全性”。
如果 Open Directory 需要认证才能连接,请选择“连接时使用认证”,然后输入目录中用户帐户的可分辨名称和密码。
认证连接不是相互的:LDAP 服务器认证 Mac,但 Mac 不会认证 LDAP 服务器。
可分辨名称可以指定有权限查看目录数据的任何用户帐户。例如,LDAP 服务器上短名称是“dirauth”、地址是 server.example.com 的用户帐户,它的可分辨名称将为“uid=dirauth,cn=users,dc=server,dc=example,dc=com”。
请参阅更改 LDAP 连接安全策略。
【重要事项】如果可分辨名称或密码不正确,则不能使用 LDAP 目录用户帐户登录 Mac。
点按“好”完成创建 Open Directory 连接。
点按“好”完成配置 LDAPv3 选项。
如果您想要 Mac 访问您为其创建了配置的 LDAP 目录,请将该目录添加到“认证”和“通讯录”面板(位于“目录实用工具”中的“搜索策略”中)中的自定搜索策略。请参阅定义搜索策略。
【重要事项】在您连接到目录服务器时,如果要更改安装了macOS 服务器的 Mac 的 IP 地址和电脑名称,必须断开连接后重新连接目录服务器,以使用新的电脑名称和 IP 地址更新目录。如果您不这样做,则该目录不会更新并继续使用旧的电脑名称和 IP 地址。