Configurer manuellement l’accès à un annuaire LDAP
Vous avez la possibilité de créer manuellement une configuration indiquant à un Mac comment accéder à un annuaire LDAPv3 ou LDAPv2. Vous devez connaître le nom d’hôte DNS ou l’adresse IP du serveur d’annuaire LDAP.
Si l’annuaire n’est pas hébergé par un serveur Mac possédant macOS Server, vous devez connaître la base de recherche et le modèle pour le mappage des données macOS avec celles de l’annuaire. Voici les modèles de mappage pris en charge :
Du serveur, pour un annuaire qui fournit ses propres mappages et sa propre base de recherche, par exemple un serveur macOS Server
Serveur Open Directory, pour un annuaire qui utilise le schéma macOS de macOS Server
Active Directory, pour un annuaire hébergé par un serveur Windows 2000, Windows 2003 ou ultérieur
RFC 2307, pour la plupart des annuaires hébergés par des serveurs UNIX
Personnalisé, pour les annuaires qui n’utilisent aucun des mappages ci-dessus
Le module LDAPv3 prend en charge intégralement la réplication et le basculement Open Directory. Si le maître Open Directory devient indisponible, le module bascule sur une réplique proche.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir le lier à un domaine d’annuaire tel que LDAP ou Active Directory. Pour en établir une, utilisez un nom d’ordinateur ne comportant pas de trait d’union.
Cliquez sur Services.
Cliquez sur l’icône de cadenas.
Saisissez un nom d’utilisateur et un mot de passe d’administrateur, puis cliquez sur Modifier la configuration (ou utilisez Touch ID).
Sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (qui ressemble à un crayon).
Cliquez sur Nouveau.
Saisissez le nom d’hôte DNS ou l’adresse IP du serveur LDAP, puis cliquez sur Continuer.
Dans la colonne Mappages LDAP, cliquez sur le menu local puis choisissez un modèle ou une méthode de mappage :
Si vous avez choisi le modèle Du serveur, il n’est pas nécessaire d’indiquer une extension de base de recherche. Dans ce cas, Open Directory assume que le suffixe de base de recherche est le premier niveau de l’annuaire LDAP.
Cliquez sur le bouton Lire depuis le serveur pour obtenir une liste de tous les types de fiches et attributs. Les types de fiches non trouvés dans le domaine d’annuaire local macOS, tels qu’AutoServerSetup ou Neighborhoods, sont marqués en rouge dans la fenêtre Types d’enregistrement et attributs.
Si vous avez choisi un modèle tel qu’Open Directory ou RFC2307, saisissez le suffixe de la base de recherche pour l’annuaire LDAP, puis cliquez sur OK. Vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP. Le suffixe de la base de recherche provient généralement du nom d’hôte DNS du serveur. Par exemple, le suffixe de la base de recherche pourrait être « dc=ods, dc=exemple, dc=com » pour un serveur dont le nom d’hôte DNS est ods.exemple.com.
Si vous choisissez Personnalisé, vous devez configurer des mappages entre les attributs et types de fiches macOS d’une part, et les classes et attributs de l’annuaire LDAP auquel vous vous connectez d’autre part. Pour en savoir plus, consultez la rubrique Configurer des recherches et mappages LDAP.
Vérifiez auprès de votre administrateur Open Directory si SSL est requis. Si la réponse est oui, sélectionnez SSL.
Pour modifier les réglages ci-dessous pour la configuration LDAP, cliquez sur Modifier pour afficher les options, apportez vos modifications, puis cliquez sur OK.
Cliquez sur Connexion pour définir des options de délai, indiquer un port personnalisé ou ignorer les références du serveur. Pour plus d’informations, consultez la rubrique Modifier les réglages de connexion d’un annuaire LDAP ou d’un serveur Open Directory.
Cliquez sur Recherche et mappages pour configurer des options de recherche et de mappage pour un serveur LDAP. Pour en savoir plus, consultez la rubrique Configurer des recherches et mappages LDAP.
Cliquez sur Sécurité pour configurer une connexion authentifiée (au lieu d’une liaison sécurisée) et d’autres options de règle de sécurité. Pour en savoir plus, consultez la rubrique Modifier la règle de sécurité de la connexion LDAP.
Cliquez sur Liaison pour configurer des liaisons sécurisées (si l’annuaire LDAP les prend en charge). Pour en savoir plus, consultez la rubrique Configurer une liaison authentifiée pour un annuaire LDAP.
Cliquez sur OK pour terminer la création manuelle de la configuration d’accès à un annuaire LDAP.
Pour que l’ordinateur puisse accéder à l’annuaire LDAP pour laquelle vous venez de créer une configuration, ajoutez l’annuaire à une règle de recherche personnalisée dans la sous-fenêtre Authentification et la sous-fenêtre Contacts de l’onglet Règles de recherche d’Utilitaire d’annuaire.
Pour en savoir plus, consultez la rubrique Définir des règles de recherche.
Avant de pouvoir utiliser macOS Server pour créer des utilisateurs sur un serveur LDAP non Apple utilisant des mappages RFC 2307 (UNIX), vous devez modifier le mappage du type de fiche Utilisateurs. Pour en savoir plus, consultez la rubrique Modifier le mappage RFC 2307 pour activer la création d’utilisateurs.
Important : si vous modifiez vos adresse IP et nom d’ordinateur à l’aide de la commande changeip
alors que vous êtes connecté à un serveur d’annuaire, vous devez vous déconnecter puis vous reconnecter à ce serveur pour mettre à jour l’annuaire avec les nouveaux nom et adresse IP de l’ordinateur. Si vous ne vous déconnectez puis reconnectez pas au serveur d’annuaire, l’annuaire ne se met pas à jour et continue d’utiliser l’ancien nom et l’ancienne adresse IP de l’ordinateur.