Настройка доступа к Open Directory в Службе каталогов на Mac
При использовании программы «Служба каталогов» для связывания с сервером Open Directory необходимо знать имя или IP-адрес сервера DNS, а также знать, использует ли сервер протокол защищенных сокетов (SSL).
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.
В программе «Служба каталогов» на Mac нажмите «Службы».
Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3 и нажмите кнопку «Правка» (с изображением карандаша).
Нажмите «Новая».
Введите имя или IP-адрес сервера Open Directory в соответствующее поле.
Выберите «Шифровать с использованием SSL», если хотите, чтобы Open Directory использовал протокол защищенных сокетов (SSL) для подключений.
Прежде чем использовать эту функцию, обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.
Если «Служба каталогов» не может связаться с сервером Open Directory, попробуйте изменить настройки доступа. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Нажмите «Продолжить».
Выберите новый сервер Open Directorу из списка, затем нажмите «Правка».
Нажмите «Поиск и соответствия».
Нажмите всплывающее меню «Получить доступ к этому серверу LDAPv3, используя», выберите значение «Open Directory» и введите начальные данные поиска.
Необходимо ввести начальные данные поиска. В противном случае компьютер Mac не сможет найти информацию на сервере Open Directory. Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем server.example.com начальные данные поиска могут быть следующими: «dc=server,dc=example,dc=com».
См. раздел Настройка поиска и сопоставлений LDAP.
Если сервер каталога поддерживает надежное связывание, нажмите «Связать» и введите имя и пароль администратора каталога.
Связывание может быть необязательным.
Надежное связывание является обоюдным. При каждом подключении компьютера Mac к каталогу LDAP выполняется взаимная идентификация. Если надежное связывание уже настроено или каталог LDAP не поддерживает надежное связывание, кнопка «Связать» отсутствует. Убедитесь, что Вы правильно ввели имя компьютера Mac.
Если Вы видите предупреждение о том, что в каталоге имеется запись компьютера, попробуйте ввести другое имя компьютера Mac или нажмите «Перезаписать», чтобы заменить имеющуюся запись компьютера.
Возможно, имеющаяся запись компьютера не используется или принадлежит другому компьютеру с тем же именем.
Перед заменой имеющейся записи о компьютере уведомите об этом администратора данного каталога LDAP, чтобы такая замена не привела к отключению другого компьютера. В этом случае администратор каталога LDAP должен присвоить отключенному компьютеру другое имя и добавить его снова к той группе компьютеров, к которой он принадлежал.
См. раздел Настройка аутентифицированного связывания для каталога LDAP.
Нажмите «Безопасность».
Если Open Directory требует аутентификации, выберите «Использовать аутентификацию при подключении», затем введите отличительное имя и пароль учетной записи пользователя в каталоге.
Идентификация подключения не является обоюдной: LDAP-сервер идентифицирует компьютер Mac, а компьютер Mac не идентифицирует сервер.
Отличительное имя может задавать любую пользовательскую учетную запись, которая обладает разрешением на просмотр данных в этом каталоге. Например, пользовательская учетная запись с коротким именем dirauth на LDAP-сервере с адресом server.example.com будет иметь отличительное имя uid=dirauth,cn=users,dc=server,dc=example,dc=com.
См. раздел Изменение политики безопасности подключения LDAP.
Важно! Если отличительное имя или пароль неверны, пользователь не сможет войти в компьютер Mac, используя пользовательские учетные записи из этого каталога LDAP.
Нажмите OK, чтобы завершить создание соединения Open Directory.
Нажмите OK, чтобы завершить конфигурацию параметров LDAPv3.
Если Вы хотите, чтобы компьютер Mac получил доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в алгоритм произвольного поиска в панелях «Идентификация» и «Контакты» раздела «Алгоритм поиска» программы «Служба каталогов». См. раздел Определение политик поиска.
Важно! В случае смены IP-адреса и имени компьютера Mac с установленной программой macOS Server при активном подключении к серверу каталогов необходимо отсоединить и повторно соединить сервер каталогов, чтобы обновить каталог новым именем и IP-адресом компьютера. Если этого не сделать, каталог не будет обновлен и будет продолжать использовать старое имя компьютера и IP-адрес.