Конфігурування доступу до каталогу LDAP в Утиліті каталогів на Mac
За допомогою Утиліти каталогів можна визначити спосіб доступу комп’ютера Mac до каталогу LDAPv3. Потрібно знати ім’я вузла DNS або IP-адресу сервера каталогу LDAP.
Якщо каталог не розміщується на сервері, який надає свої власні зіставлення, необхідно знати базис пошуку та шаблон для зіставлення даних macOS із даними каталогу.
Підтримувані шаблони зіставлення:
«Сервер Open Directory» — для каталогу, у якому використовується схема Server;
«Active Directory» — для каталогу, розміщеному на сервері Windows 2000 або пізнішої версії;
«RFC 2307» — для більшості каталогів, розміщених на серверах UNIX;
Плагін LDAPv3 повністю підтримує реплікацію та відновлення після відмови Open Directory. Якщо головний сервер Open Directory стає недоступним, плагін використовує найближчий підпорядкований сервер, якщо такий є і доступний.
Щоб визначити власні співвідношення для даних каталогу, дотримуйтесь інструкцій, наведених у розділі Конфігурування доступу до каталогу LDAP вручну, а не інструкцій у цьому розділі.
Важливо! Якщо ім’я комп’ютера містить дефіс, можливо, вам не вдасться прив’язатися до домену каталогу, наприклад LDAP або Active Directory. Щоб установити прив’язування, змініть ім’я комп’ютера на ім’я без дефіса.
У програмі «Утиліта каталогів»
на Mac клацніть «Сервіси».Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Виберіть LDAPv3, а тоді клацніть кнопку «Змінити параметри вибраної служби»
.Натисніть «Створити»
Введіть ім’я вузла DNS або IP-адресу сервера LDAP в полі «Ім’я чи IP-адреса сервера».
Виберіть опцію «Шифрувати за допомогою SSL», якщо для підключень до каталогу LDAP потрібно використовувати протокол SSL.
Перш ніж вибрати цю опцію, запитайте в адміністратора Open Directory, чи потрібно використовувати протокол SSL.
Якщо Утиліті каталогів не вдається підключитися до сервера LDAP, можливо, потрібно настроїти параметри доступу до конфігурації. Див. Змінення параметрів підключення для сервера LDAP чи Open Directory.
Натисніть кнопку «Продовжити».
Виберіть новий сервер LDAP зі списку та натисніть кнопку «Редагувати».
Натисніть «Пошук і співвідношення».
У спливному меню «Співвідношення для цього сервера» виберіть пункт «Open Directory», а потім введіть базис пошуку.
Зазвичай суфікс базису пошуку походить від імені вузла DNS сервера. Наприклад, для сервера з іменем вузла DNS ods.example.com суфікс базису пошуку може бути такий: dc=ods,dc=example,dc=com.
Якщо сервер каталогу підтримує довірене прив’язування, натисніть кнопку «Прив’язати» та введіть ім’я комп’ютера, а також ім’я й пароль адміністратора каталогу.
Прив’язування може бути необов’язковим.
Довірене прив’язування є взаємним. Під час кожного підключення комп’ютера до каталогу LDAP вони автентифікують один одного. Якщо довірене прив’язування налаштовано або каталог LDAP не підтримує довірене прив’язування, кнопка «Прив’язати» не відображається. Перевірте, чи правильно введено ім’я комп’ютера.
Якщо відобразиться попередження про наявність запису комп’ютера, спробуйте використати іншу назву комп’ютера або клацніть «Перезаписати», щоб замінити наявний запис комп’ютера.
Наявний запис комп’ютера може бути залишеним або може належати іншому комп’ютеру.
Якщо ви замінюєте наявний запис комп’ютера, повідомте про це адміністратору каталогу LDAP, щоб унаслідок заміни запису не вимкнувся інший комп’ютер. У такому випадку адміністратор каталогу LDAP має надати вимкненому комп’ютеру інше ім’я та знову додати його до групи комп’ютерів, до якої він належав.
Натисніть «Тип захисту».
Якщо для підключення каталогу LDAP потрібна автентифікація, виберіть «Для під’єднання застосовувати автентифікацію» та введіть унікальне ім’я й пароль облікового запису користувача у цьому каталозі.
Підключення за допомогою автентифікації не є взаємним; сервер LDAP автентифікує клієнта, але клієнт не автентифікує сервер.
Унікальне ім’я може визначати будь-який обліковий запис, який має привілеї перегляду даних у каталозі. Наприклад, запис, який має на сервері LDAP коротке ім’я dirauth і адресу ods.example.com, матиме унікальне ім’я uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Важливо! Якщо унікальне ім’я або пароль неправильні, у систему комп’ютера можна ввійти за допомогою облікових записів із каталогу LDAP.
Натисніть OK, щоб завершити створення підключення LDAP.
Натисніть OK, щоб завершити конфігурування параметрів LDAPv3.
Якщо потрібно, щоб комп’ютер мав доступ до каталогу LDAP, додайте цей каталог до власної політики пошуку в опціях «Автентифікація» та «Контакти» політики пошуку в Утиліті каталогів. Щоб отримати додаткову інформацію щодо створення політик пошуку, див. статтю Визначення політик пошуку.