配置 LDAP 目录访问
使用“目录实用工具”,您可以指定 Mac 如何访问 LDAPv3 目录。您必须知道 LDAP 目录服务器的 DNS 主机名或 IP 地址。
如果该目录不是由提供它自己的映射的服务器(例如 macOS 服务器)托管,则必须知道将 macOS 数据映射至目录数据的搜索基准和模板。
支持的映射模板有:
Open Directory 服务器,用于使用服务器模式的目录
Active Directory,用于由 Windows 2000 或更高版本的服务器托管的目录
“RFC 2307”,用于由 UNIX 服务器托管的大多数目录
LDAPv3 插件完全支持 Open Directory 复制和故障转移。如果 Open Directory 主服务器不可用,插件会使用附近的复制服务器。
若要为目录数据指定自定映射,请按照手动配置 LDAP 目录访问中的说明操作,而不是按照此处的说明操作。
【重要事项】如果电脑名称包含连字符,您可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请使用不包含连字符的电脑名称。
点按“服务”。
点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“LDAPv3”,然后点按“编辑”按钮(外观像铅笔)。
请点按“新建”。
在“服务器名称”或“IP 地址”栏中输入 LDAP 服务器的 DNS 主机名或 IP 地址。
如果您想要 Open Directory 为与 LDAP 目录的连接使用安全套接字层 (SSL),请选择“使用 SSL 加密”。
在选择此选项之前,请询问 Open Directory 管理员是否需要 SSL。
如果“目录实用工具”不能联系到 LDAP 服务器,您可能需要调整您的配置访问设置。有关更多信息,请参阅更改 LDAP 或 Open Directory 服务器的连接设置。
点按“继续”。
在列表中选择新的 LDAP 服务器,然后点按“编辑”。
点按“搜索和映射”。
点按“访问此 LDAPv3 服务器使用”弹出式菜单,选取“Open Directory”,然后输入搜索基准。
通常,搜索基准后缀源自服务器的 DNS 主机名。例如,如果服务器的 DNS 主机名是 ods.example.com,搜索基准后缀就可能是“dc=ods,dc=example,dc=com”。
如果目录服务器支持信任绑定,请点按“绑定”,然后输入电脑的名称以及目录管理员的名称和密码。
绑定可能是可选的。
信任绑定是相互的。每次电脑连接到 LDAP 目录时,它们会相互鉴定。如果已设置信任绑定或 LDAP 目录不支持信任绑定,“绑定”按钮不会显示。确定您提供了正确的电脑名称。
如果看到一则通知,提示电脑记录已存在,请使用其他电脑名称再试一次,或者点按“覆盖”以替换现有的电脑记录。
现有的电脑记录可能被放弃,也可能属于另一电脑。
在您替换现有的电脑记录之前,请通知 LDAP 目录管理员,以确定替换该记录不会停用另一电脑。在这种情况下,LDAP 目录管理员必须为停用的电脑指定其他名称,并且将其重新添加到所属的电脑群组。
点按“安全性”。
如果 LDAP 目录需要鉴定才能连接,请选择“连接时使用鉴定”,然后输入目录中用户帐户的可分辨名称和密码。
鉴定连接不是相互的:LDAP 服务器鉴定客户端,但客户端不会鉴定服务器。
可分辨名称可以指定有权限查看目录数据的任何用户帐户。例如,LDAP 服务器上短名称是“dirauth”、地址是 ods.example.com 的用户帐户,它的可分辨名称将为“uid=dirauth,cn=users,dc=ods,dc=example,dc=com”。
【重要事项】如果可分辨名称或密码不正确,可以使用 LDAP 目录中的用户帐户登录电脑。
点按“好”完成创建 LDAP 连接。
点按“好”完成配置 LDAPv3 选项。
如果您想要电脑访问此配置的 LDAP 目录,请将该目录添加到“鉴定”和“通讯录”面板(位于“目录实用工具”中的“搜索策略”中)中的自定搜索策略。有关创建搜索策略的信息,请参阅定义搜索策略。