Configurer l’accès à un annuaire LDAP dans l’Utilitaire de répertoire sur Mac
Utilitaire de répertoire vous permet de définir comment votre Mac accède à un annuaire LDAPv3. Vous devez connaître le nom d’hôte DNS ou l’adresse IP du serveur d’annuaire LDAP.
Si l’annuaire n’est pas hébergé sur un serveur qui fournit ses propres mappages, tel qu’un serveur macOS Server, vous devez connaître la base de recherche et le modèle pour le mappage des données macOS avec celles de l’annuaire.
Voici les modèles de mappage pris en charge :
Serveur Open Directory, pour un annuaire qui utilise le schéma de Server
Active Directory, pour un annuaire hébergé par un serveur Windows 2000 ou ultérieur
RFC 2307, pour la plupart des annuaires hébergés par des serveurs UNIX
Le module LDAPv3 prend en charge intégralement la réplication et le basculement Open Directory. Si le maître Open Directory devient indisponible, le module utilise une réplique proche.
Pour spécifier des mappages personnalisés pour les données d’annuaire, suivez les instructions de la rubrique Configurer manuellement l’accès à un annuaire LDAP à la place de celles indiquées ici.
Important : Si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir le lier à un domaine d’annuaire tel que LDAP ou Active Directory. Pour établir un lien, utilisez un nom d’ordinateur ne comportant pas de trait d’union.
Ouvrir Utilitaire de répertoire
Dans l’app Utilitaire de répertoire sur votre Mac, cliquez sur Services.
Cliquez sur l’icône de cadenas.
Saisissez un nom d’utilisateur et un mot de passe d’administrateur, puis cliquez sur Modifier la configuration (ou utilisez Touch ID).
Sélectionnez LDAPv3, puis cliquez sur le bouton « Changer les réglages pour le service sélectionné » .
Cliquez sur Nouveau.
Saisissez le nom d’hôte DNS du serveur LDAP ou l’adresse IP correspondante dans le champ Nom du serveur ou Adresse IP.
Sélectionnez Chiffrer via SSL si vous désirez qu’Open Directory utilise le protocole SSL (Secure Sockets Layer) pour les connexions avec l’annuaire LDAP.
Avant de sélectionner cette option, demandez à votre administrateur Open Directory de déterminer si SSL est nécessaire.
Si Utilitaire de répertoire ne parvient pas à contacter le serveur LDAP, il vous faudra peut-être modifier les réglages d’accès à la configuration. Consultez la rubrique Modifier les réglages de connexion d’un serveur LDAP ou Open Directory.
Cliquez sur Continuer.
Sélectionnez le nouveau serveur LDAP dans la liste, puis cliquez sur Modifier.
Cliquez sur Recherche et mappages.
Cliquez sur le menu local « Accéder à ce serveur LDAPv3 via », choisissez Open Directory et saisissez une base de recherche.
Le suffixe de la base de recherche provient généralement du nom d’hôte DNS du serveur. Par exemple, le suffixe de la base de recherche pourrait être « dc=ods, dc=exemple, dc=com » pour un serveur dont le nom d’hôte DNS est ods.exemple.com.
Si le serveur d’annuaire gère la liaison sécurisée, cliquez sur Liaison et saisissez le nom de l’ordinateur ainsi que le nom d’utilisateur et le mot de passe d’un administrateur de l’annuaire.
La liaison peut être facultative.
La liaison sécurisée est mutuelle. Chaque fois que l’ordinateur se connecte à l’annuaire LDAP, chacun authentifie l’autre. Si la liaison sécurisée est configurée ou si l’annuaire LDAP ne prend pas en charge la liaison sécurisée, le bouton Liaison ne s’affiche pas. Vérifiez que vous avez bien indiqué le nom de l’ordinateur.
Si un avertissement s’affiche pour indiquer qu’une fiche d’ordinateur existe, réessayez avec un autre nom d’ordinateur, ou cliquez sur Écraser pour remplacer la fiche d’ordinateur existante.
Il est possible que la fiche d’ordinateur existante ne soit plus d’usage ou qu’elle appartienne à un autre ordinateur.
Avant de remplacer une fiche d’ordinateur, prévenez l’administrateur de l’annuaire LDAP pour vous assurer que le remplacement de la fiche ne désactive pas un autre ordinateur. Dans ce cas, l’administrateur de l’annuaire LDAP doit attribuer un autre nom à l’ordinateur désactivé et l’ajouter à nouveau au groupe d’ordinateurs auquel il appartenait.
Cliquez sur Sécurité.
Si l’annuaire LDAP nécessite une authentification pour la connexion, sélectionnez « Utiliser l’authentification lors de la connexion », puis saisissez le nom absolu et le mot de passe d’un compte utilisateur dans l’annuaire.
Une connexion d’authentification n’est pas mutuelle : le serveur LDAP authentifie le client, mais le client n’authentifie pas le serveur.
Ce nom peut correspondre à n’importe quel compte utilisateur autorisé à consulter des données dans l’annuaire. Par exemple, un compte utilisateur dont le nom abrégé est dirauth sur un serveur LDAP et dont l’adresse est ods.example.com porterait le nom absolu uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Important : Si le nom absolu ou le mot de passe est incorrect, vous pouvez vous connecter sur l’ordinateur à l’aide de comptes utilisateur provenant de l’annuaire LDAP.
Cliquez sur OK pour finir de créer la connexion LDAP.
Cliquez sur OK pour finir de configurer les options LDAPv3.
Pour que l’ordinateur puisse accéder à cet annuaire LDAP configuré, ajoutez l’annuaire à une règle de recherche personnalisée dans les sous-fenêtres Authentification et Contacts de l’onglet Règles de recherche d’Utilitaire de répertoire. Pour en savoir plus sur la création de règles de recherche, consultez la rubrique Définir des règles de recherche.