在 Mac 上的“目录实用工具”中配置 LDAP 目录访问
使用“目录实用工具”,你可以指定 Mac 如何访问 LDAPv3 目录。你必须知道 LDAP 目录服务器的 DNS 主机名或 IP 地址。
如果目录并非由提供其自身映射的服务器所托管,你必须知道将 macOS 数据映射到目录数据的搜索基准和模板。
支持的映射模板有:
Open Directory 服务器,用于使用服务器模式的目录
Active Directory,用于由 Windows 2000 或更高版本的服务器托管的目录
“RFC 2307”,用于由 UNIX 服务器托管的大多数目录
LDAPv3 插件完全支持 Open Directory 复制和故障转移。如果 Open Directory 主服务器不可用,插件会使用附近的复制服务器(如果可用且可访问)。
若要为目录数据指定自定义映射,请按照手动配置 LDAP 目录访问中的说明操作,而不是按照此处的说明操作。
【重要事项】如果电脑名称包含连字符,你可能无法绑定到 LDAP 或 Active Directory 等目录域。若要建立绑定,请将电脑名称更改为不包含连字符的名称。
在 Mac 上的“目录实用工具” App
中,点按“服务”。点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“LDAPv3”,然后点按“编辑所选服务的设置”按钮
。请点按“新建”。
在“服务器名称或 IP 地址”栏中输入 LDAP 服务器的 DNS 主机名或 IP 地址。
如果希望 Open Directory 将安全套接字层 (SSL) 用于连接 LDAP 目录,请选择“使用 SSL 加密”。
在选择此选项之前,请询问 Open Directory 管理员是否需要 SSL。
如果“目录实用工具”不能联系到 LDAP 服务器,你可能需要调整你的配置访问设置。请参阅更改 LDAP 或 Open Directory 服务器的连接设置。
点按“继续”。
在列表中选择新的 LDAP 服务器,然后点按“编辑”。
点按“搜索和映射”。
点按“访问此 LDAPv3 服务器使用”弹出式菜单,选取“Open Directory”,然后输入搜索基准。
通常,搜索基准后缀源自服务器的 DNS 主机名。例如,如果服务器的 DNS 主机名是 ods.example.com,搜索基准后缀就可能是“dc=ods,dc=example,dc=com”。
如果目录服务器支持信任绑定,请点按“绑定”,然后输入电脑的名称以及目录管理员的名称和密码。
绑定可能是可选的。
信任绑定是相互的。每次电脑连接到 LDAP 目录时,它们会相互认证。如果已设置信任绑定或 LDAP 目录不支持信任绑定,“绑定”按钮不会显示。确定你提供了正确的电脑名称。
如果看到一则警告,提示电脑记录已存在,请使用其他电脑名称重试,或者点按“覆盖”以替换现有的电脑记录。
现有的电脑记录可能被放弃,也可能属于另一电脑。
在你替换现有的电脑记录之前,请通知 LDAP 目录管理员,以确定替换该记录不会停用另一电脑。在这种情况下,LDAP 目录管理员必须为停用的电脑指定其他名称,并且将其重新添加到所属的电脑群组。
点按“安全性”。
如果 LDAP 目录需要认证才能连接,请选择“连接时使用认证”,然后输入目录中用户账户的可分辨名称和密码。
认证连接不是相互的:LDAP 服务器认证客户端,但客户端不会认证服务器。
可分辨名称可以指定有权限查看目录数据的任何用户账户。例如,LDAP 服务器上短名称是“dirauth”、地址是 ods.example.com 的用户账户,它的可分辨名称将为“uid=dirauth,cn=users,dc=ods,dc=example,dc=com”。
【重要事项】如果可分辨名称或密码不正确,可以使用 LDAP 目录中的用户账户登录电脑。
点按“好”完成创建 LDAP 连接。
点按“好”完成配置 LDAPv3 选项。
如果希望电脑访问此配置的 LDAP 目录,请将该目录添加到“认证”和“通讯录”选项(位于“目录实用工具”的“搜索策略”中)中的自定义搜索策略。有关创建搜索策略的信息,请参阅定义搜索策略。