在 Mac 上的“目录实用工具”中配置 LDAP 搜索和映射
使用“目录实用工具”,可以编辑映射、搜索基准和搜索范围,它们指定 Mac 如何在 LDAP 目录中查找特定数据项。每个 LDAP 目录配置都会指定 Mac 如何访问 LDAPv3 或 LDAPv2 目录中的数据。对于“目录实用工具”中列出的每个 LDAP 目录配置,可以分别编辑它们的这些设置。
可以编辑以下内容:
每个 macOS 记录类型到 LDAP 对象类的映射
macOS 数据类型或属性到每个记录类型的 LDAP 属性的映射
LDAP 搜索基准和搜索范围,它们确定 Mac 在 LDAP 目录中查找特定 macOS 记录类型的位置
将 macOS 用户属性映射至读/写 LDAP 目录域时,映射至 RealName 的 LDAP 属性一定不能与映射至 RecordName 的 LDAP 属性列表中的第一个属性相同。
例如,如果 cn 也被映射至 RealName,则属性 cn 一定不能是映射至 RecordName 的第一个属性。
如果映射至 RealName 的 LDAP 属性与映射至 RecordName 的第一个属性相同,则当您在 macOS 服务器或“目录编辑器”中尝试编辑全(长)名称或第一个短名称时会出现问题。
【注】如果您点按了“从服务器读取”按钮以查看绑定服务器中的所有记录类型和属性,则未在本地 OS X 目录域中显示的记录类型或属性(如 AutoServerSetup 或 Neighborhoods)会在“记录类型和属性”窗口标记为红色。
在 Mac 上的“目录实用工具” App 中,点按“服务”。
点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
选择“LDAPv3”,然后点按“编辑所选服务的设置”按钮 。
如果未看到服务器配置列表,请点按“显示选项”旁边的显示三角形。
选择服务器配置,然后点按“编辑”。
点按“搜索和映射”。
点按“访问此 LDAPv3 服务器使用”弹出式菜单,选取一个映射模板用作起点;选取“自定”则以没有预定义的映射为起点。
如果您选取一个 LDAP 映射模板,就会出现一个可以更改的搜索基准后缀,或者您也可以通过点按“好”接受默认的搜索基准后缀。
根据需要添加记录类型并更改其搜索基准。
添加记录类型:点按“记录类型和属性”列表下方的添加按钮 。在显示的对话框中,选择“记录类型”,在列表中选择记录类型,然后点按“好”。
更改记录类型的搜索基准和搜索范围:在“记录类型和属性”列表中选择它,然后编辑“搜索基准”栏。从搜索基准下拉列表中选择“所有子树”设置搜索范围包括 LDAP 目录层次,或选择“仅第一级”设置搜索范围仅包括该搜索基准以及在 LDAP 目录层次中较之低一级的层。
移除记录类型:在“记录类型和属性”列表中选择它,然后点按“删除”按钮 。
添加记录类型的映射:在“记录类型和属性”列表中选择该记录类型,点按“映射至列表中的__项”下方的添加按钮 ,然后根据 LDAP 目录输入对象类的名称。
添加另一个 LDAP 对象类:按下 Return 键,然后输入对象类的名称并通过使用列表上方的弹出式菜单指定是否使用列出的 LDAP 对象类。
更改记录类型的映射:在“记录类型和属性”列表中选择该记录类型,在“映射至列表中的__项”中连按您想要更改的 LDAP 对象类,然后编辑它。使用列表上方的弹出式菜单指定是否使用列出的 LDAP 对象类。
移除记录类型的映射:在“记录类型和属性”列表中选择该记录类型,选择您想要从“映射至列表中的__项”中移除的 LDAP 对象类,然后点按“删除”按钮 (在“映射至列表中的__项”下面)。
根据需要添加属性并更改它们的映射。
将属性添加到记录类型:在“记录类型和属性”列表中选择该记录类型,然后点按添加按钮 (位于“记录类型和属性”列表下方)。在显示的对话框中,选择“属性类型”,选择一种属性类型,然后点按“好”。
添加属性的映射:在“记录类型和属性”列表中选择该属性,点按添加按钮 (位于“映射至列表中的__项”下方),然后根据 LDAP 目录输入属性的名称。若要添加另一个 LDAP 属性,请按下 Return 键,然后输入属性的名称。
更改属性的映射:在“记录类型和属性”列表中选择该属性,在“映射至列表中的__项”中连按您想要更改的项,然后编辑项名称。
移除属性的映射:在“记录类型和属性”列表中选择该属性,选择您想要从“映射至列表中的__项”中移除的项,然后点按“删除”按钮 (在“映射至列表中的__项”下面)。
更改出现在右侧列表中属性的顺序:在列表中将属性向上或向下拖移。
将映射存储为模板或将其储存到服务器。
若要将您的映射存储为模板,请点按“存储模板”。
当您下一次打开“目录实用工具”时,存储在默认位置的模板将在 LDAP 映射模板的弹出式菜单中列出。已存储模板的默认位置位于您的个人文件夹,路径如下:
~/资源库/Application Support/Directory Access/LDAPv3/Templates/
若要在 LDAP 目录中储存映射,使 LDAP 目录能够自动向客户端提供这些映射,请点按“写入服务器”,然后输入用于储存映射的搜索基准、对搜索基准拥有写权限的管理员或其他用户的可分辨名称(例如“uid=diradmin,cn=users,dc=ods,dc=example,dc=com”)和密码。
如果要将映射写入到 Open Directory LDAP 服务器,则正确的搜索基准为“cn=config,suffix”(其中 suffix 是服务器的搜索基准后缀,例如“dc=ods,dc=example,dc=com”)。
如果 Mac 客户端的自定搜索策略包括配置为从 LDAP 服务器获得映射的连接,LDAP 目录将为该客户端提供其映射。
LDAP 目录还会将其映射提供给所有使用自动搜索策略的 macOS 客户端。请参阅配置 LDAP 目录访问和高级搜索策略设置。