Настроювання доступу до каталогу LDAP в Службі каталогів на Mac
За допомогою Служби каталогів можна визначити спосіб доступу комп’ютера Mac до каталогу LDAPv3. Потрібно знати ім’я вузла DNS або IP-адресу сервера каталогу LDAP.
Якщо каталог не розміщується на сервері, який надає свої власні співвідношення (наприклад, macOS Server), необхідно знати базис пошуку та шаблон для зіставлення даних macOS із даними каталогу.
Підтримувані шаблони зіставлення:
«Сервер Open Directory» — для каталогу, у якому використовується схема Server;
«Active Directory» — для каталогу, розміщеному на сервері Windows 2000 або пізнішої версії;
«RFC 2307» — для більшості каталогів, розміщених на серверах UNIX;
Плагін LDAPv3 повністю підтримує реплікацію та відновлення після відмови Open Directory. Якщо головний сервер Open Directory стає недоступним, плагін використовує найближчий підпорядкований сервер.
Щоб визначити власні співвідношення для даних каталогу, дотримуйтесь інструкцій, наведених у розділі Настроювання доступу до каталогу LDAP вручну, а не інструкцій у цьому розділі.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, використовуйте ім’я комп’ютера без дефіса.
Запуск Служби каталогів для мене
У програмі «Служба каталогів»
на Mac клацніть «Сервіси».Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3 та клацніть кнопку редагування (у вигляді олівця).
Натисніть «Створити»
Введіть ім’я вузла DNS або IP-адресу сервера LDAP в полі «Ім’я чи IP-адреса сервера».
Виберіть опцію «Шифрувати за допомогою SSL», якщо для підключень до каталогу LDAP потрібно використовувати протокол SSL.
Перш ніж вибрати цю опцію, запитайте в адміністратора Open Directory, чи потрібно використовувати протокол SSL.
Якщо Службі каталогів не вдається підключитися до сервера LDAP, можливо, потрібно настроїти параметри доступу до конфігурації. Див. Змінення параметрів підключення для сервера LDAP чи Open Directory.
Натисніть кнопку «Продовжити».
Виберіть новий сервер LDAP зі списку та натисніть кнопку «Редагувати».
Натисніть «Пошук і співвідношення».
У спливному меню «Співвідношення для цього сервера» виберіть пункт «Open Directory», а потім введіть базис пошуку.
Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS ods.example.com суфікс базису пошуку може бути такий: dc=ods,dc=example,dc=com.
Якщо сервер каталогу підтримує довірене прив’язування, натисніть кнопку «Прив’язати» та введіть ім’я комп’ютера, а також ім’я й пароль адміністратора каталогу.
Прив’язування може бути необов’язковим.
Довірене прив’язування є взаємним. Під час кожного підключення комп’ютера до каталогу LDAP вони аутентифікують один одного. Якщо довірене прив’язування настроєно або каталог LDAP не підтримує довірене прив’язування, кнопка «Прив’язати» не відображається. Перевірте, чи правильно введено ім’я комп’ютера.
Якщо відобразиться сповіщення про те, що запис комп’ютера вже існує, повторіть спробу, змінивши ім’я комп’ютера, або натисніть «Перезаписати», щоб замінити наявний запис комп’ютера.
Наявний запис комп’ютера може бути залишеним або може належати іншому комп’ютеру.
Якщо ви замінюєте наявний запис комп’ютера, повідомте про це адміністратору каталогу LDAP, щоб унаслідок заміни запису не вимкнувся інший комп’ютер. У такому випадку адміністратор каталогу LDAP має надати вимкненому комп’ютеру інше ім’я та знову додати його до групи комп’ютерів, до якої він належав.
Натисніть «Тип захисту».
Якщо для підключення каталогу LDAP потрібна аутентифікація, виберіть «Для під’єднання застосовувати аутентифікацію» та введіть унікальне ім’я й пароль облікового запису користувача у цьому каталозі.
Підключення за допомогою аутентифікації не є взаємним; сервер LDAP аутентифікує клієнта, але клієнт не аутентифікує сервер.
Унікальне ім’я може визначати будь-який обліковий запис, який має привілеї перегляду даних у каталозі. Наприклад, запис, який має на сервері LDAP коротке ім’я dirauth і адресу ods.example.com, матиме унікальне ім’я uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Важливо! Якщо унікальне ім’я або пароль неправильні, у систему комп’ютера можна ввійти за допомогою облікових записів із каталогу LDAP.
Натисніть OK, щоб завершити створення підключення LDAP.
Натисніть OK, щоб завершити настроювання параметрів LDAPv3.
Якщо потрібно, щоб комп’ютер мав доступ до каталогу LDAP, додайте цей каталог до власної політики пошуку на панелі «Аутентифікація» та на панелі «Контакти» політики пошуку у Службі каталогів. Щоб отримати додаткову інформацію щодо створення політик пошуку, див. статтю Визначення політик пошуку.