Διαμόρφωση της πρόσβασης σε κατάλογο LDAP
Χρησιμοποιώντας το Βοήθημα καταλόγου, μπορείτε να καθορίσετε τον τρόπο πρόσβασης του Mac σε κατάλογο LDAPv3. Πρέπει να γνωρίζετε το όνομα υπολογιστή υπηρεσίας DNS ή τη διεύθυνση IP του διακομιστή καταλόγου LDAP.
Αν ο κατάλογος δεν φιλοξενείται στον διακομιστή που παρέχει τις δικές του αντιστοιχίσεις (όπως ένας διακομιστής macOS Server), πρέπει να γνωρίζετε τη βάση αναζήτησης και το πρότυπο για την αντιστοίχιση δεδομένων macOS στα δεδομένα του καταλόγου.
Τα υποστηριζόμενα πρότυπα αντιστοίχισης είναι τα εξής:
Διακομιστής Open Directory, για έναν κατάλογο που χρησιμοποιεί το σχήμα του Διακομιστή
Active Directory, για έναν κατάλογο που φιλοξενείται σε διακομιστή Windows 2000 ή μεταγενέστερο διακομιστή
RFC 2307, για τους περισσότερους καταλόγους που φιλοξενούνται σε διακομιστές UNIX
Η προσθήκη LDAPv3 υποστηρίζει πλήρως την αναπαραγωγή Open Directory και ανάκτηση από αστοχία. Αν διακοπεί η διαθεσιμότητα του κύριου διακομιστή Open Directory, η προσθήκη χρησιμοποιεί γειτονικό αντίγραφο.
Για να καθορίσετε προσαρμοσμένες αντιστοιχίσεις για τα δεδομένα του καταλόγου, ακολουθήστε τις οδηγίες στην ενότητα Χειροκίνητη διαμόρφωση της πρόσβασης σε κατάλογο LDAP αντί για τις οδηγίες που παρατίθενται εδώ.
Σημαντικό: Αν το όνομα υπολογιστή σας περιέχει παύλα, ίσως να μην έχετε τη δυνατότητα δέσμευσης σε έναν τομέα καταλόγου, όπως π.χ. LDAP ή Active Directory. Για να καθιερώσετε τη δέσμευση, χρησιμοποιήστε ένα όνομα υπολογιστή που δεν περιέχει παύλα.
Άνοιγμα του Βοηθήματος καταλόγου
Κάντε κλικ στις «Υπηρεσίες».
Κάντε κλικ στο εικονίδιο κλειδώματος.
Εισαγάγετε όνομα και συνθηματικό διαχειριστή και στη συνέχεια κάντε κλικ στην «Τροποποίηση ρύθμισης παραμέτρων» (ή χρησιμοποιήστε το Touch ID).
Επιλέξτε LDAPv3 και μετά κάντε κλικ στο κουμπί «Επεξεργασία» (μοιάζει με μολύβι).
Κάντε κλικ στη «Δημιουργία».
Εισαγάγετε το όνομα υπολογιστή υπηρεσίας DNS ή τη διεύθυνση IP του διακομιστή LDAP στο πεδίο «Όνομα διακομιστή ή διεύθυνση IP».
Επιλέξτε «Κρυπτογράφηση με χρήση SSL» αν θέλετε το Open Directory να χρησιμοποιεί SSL (Secure Sockets Layer, Επίπεδο ασφαλών υποδοχών) για συνδέσεις με τον κατάλογο LDAP.
Πριν επιλέξετε αυτήν τη ρύθμιση, ρωτήστε τον διαχειριστή σας Open Directory για να μάθετε αν απαιτείται το SSL.
Αν το Βοήθημα καταλόγου δεν μπορεί να επικοινωνήσει με τον διακομιστή LDAP, ίσως χρειαστεί να προσαρμόσετε τις ρυθμίσεις διαμόρφωσης πρόσβασης. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Αλλαγή των ρυθμίσεων σύνδεσης για διακομιστή LDAP ή Open Directory.
Κάντε κλικ στη «Συνέχεια».
Επιλέξτε το νέο διακομιστή LDAP στη λίστα και μετά κάντε κλικ στην «Επεξεργασία».
Κάντε κλικ στο κουμπί «Αναζήτηση και αντιστοιχίσεις».
Κάντε κλικ στο αναδυόμενο μενού «Πρόσβαση σε αυτόν τον διακομιστή LDAPv3 με χρήση», επιλέξτε «Open Directory» και μετά εισαγάγετε μια βάση αναζήτησης.
Συνήθως, το επίθημα βάσης αναζήτησης προκύπτει από το όνομα υπολογιστή υπηρεσίας DNS του διακομιστή. Για παράδειγμα, για έναν διακομιστή του οποίου το όνομα υπολογιστή υπηρεσίας DNS είναι ods.example.com, το επίθημα βάσης αναζήτησης μπορεί να είναι «dc=ods,dc=example,dc=com».
Αν ο διακομιστής καταλόγου υποστηρίζει αξιόπιστη δέσμευση, κάντε κλικ στο κουμπί «Δέσμευση» και μετά εισαγάγετε το όνομα του υπολογιστή και το όνομα και το συνθηματικό ενός διαχειριστή καταλόγου.
Η δέσμευση μπορεί να είναι προαιρετική.
Η αξιόπιστη δέσμευση είναι αμοιβαία. Κάθε φορά που ο υπολογιστής συνδέεται στον κατάλογο LDAP, πραγματοποιείται έλεγχος ταυτότητας μεταξύ τους. Αν έχει ήδη διαμορφωθεί η αξιόπιστη δέσμευση ή ο κατάλογος LDAP δεν υποστηρίζει αξιόπιστη δέσμευση, το κουμπί «Δέσμευση» δεν εμφανίζεται. Βεβαιωθείτε ότι έχετε δώσει το σωστό όνομα υπολογιστή.
Αν δείτε μια ειδοποίηση που σας ενημερώνει ότι υπάρχει μια εγγραφή υπολογιστή, δοκιμάστε ξανά χρησιμοποιώντας διαφορετικό όνομα υπολογιστή ή κάντε κλικ στην «Αντικατάσταση» για να αντικαταστήσετε την υπάρχουσα εγγραφή υπολογιστή.
Η υπάρχουσα εγγραφή υπολογιστή μπορεί να έχει «ξεμείνει» ή να ανήκει σε άλλο υπολογιστή.
Προτού αντικαταστήσετε μια υπάρχουσα εγγραφή υπολογιστή, ειδοποιήστε τον διαχειριστή καταλόγου LDAP ώστε να διασφαλίσει ότι με την αντικατάσταση της εγγραφής δεν θα απενεργοποιηθεί κάποιος άλλος υπολογιστής. Σε αυτήν την περίπτωση, ο διαχειριστής καταλόγου LDAP πρέπει να δώσει στον απενεργοποιημένο υπολογιστή ένα διαφορετικό όνομα και να τον προσθέσει πάλι στην ομάδα υπολογιστών όπου ανήκε.
Κάντε κλικ στην «Ασφάλεια».
Αν ο κατάλογος LDAP απαιτεί έλεγχο ταυτότητας για τη σύνδεση, επιλέξτε «Χρήση ελέγχου ταυτότητας κατά τη σύνδεση» και μετά εισαγάγετε το αποκλειστικό όνομα και συνθηματικό ενός λογαριασμού χρήστη στον κατάλογο.
Μια σύνδεση ελέγχου ταυτότητας δεν είναι αμοιβαία: ο διακομιστής LDAP πραγματοποιεί έλεγχο ταυτότητας για τον πελάτη όμως ο πελάτης δεν πραγματοποιεί έλεγχο ταυτότητας για τον διακομιστή.
Το αποκλειστικό όνομα μπορεί να προσδιορίζει οποιονδήποτε λογαριασμό χρήστη που έχει το δικαίωμα προβολής δεδομένων στον κατάλογο. Για παράδειγμα, ένας λογαριασμός χρήστη του οποίου το σύντομο όνομα είναι «dirauth» σε έναν διακομιστή LDAP και του οποίου η διεύθυνση είναι ods.example.com θα έχει το αποκλειστικό όνομα uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Σημαντικό: Αν το αποκλειστικό όνομα ή το συνθηματικό είναι λανθασμένο, μπορείτε να συνδέεστε στον υπολογιστή χρησιμοποιώντας λογαριασμούς χρηστών από τον κατάλογο LDAP.
Κάντε κλικ στο OK για να ολοκληρώσετε τη δημιουργία της σύνδεσης LDAP.
Κάντε κλικ στο OK για να ολοκληρώσετε τη διαμόρφωση επιλογών LDAPv3.
Αν θέλετε ο υπολογιστής να προσπελάζει αυτόν τον διαμορφωμένο κατάλογο LDAP, προσθέστε τον κατάλογο σε μια προσαρμοσμένη πολιτική αναζήτησης στα τμήματα «Έλεγχος ταυτότητας» και «Επαφές» της Πολιτικής αναζήτησης στο Βοήθημα καταλόγου. Για πληροφορίες σχετικά με τη δημιουργία πολιτικών αναζήτησης, δείτε Καθορισμός πολιτικών αναζήτησης.