Konfigurowanie dostępu do usługi katalogowej LDAP za pomocą Narzędzia katalogowego na Macu
Narzędzie katalogowe pozwala określić sposób, w jaki Mac uzyskuje dostęp do usługi katalogowej LDAPv3. Potrzebna jest nazwa DNS lub adres IP serwera usługi katalogowej LDAP.
Jeśli usługa katalogowa nie jest udostępniana przez serwer dostarczający własne odwzorowania (na przykład macOS Server), potrzebna jest podstawa wyszukiwania oraz szablon odwzorowań danych macOS na dane usługi katalogowej.
Obsługiwane szablony odwzorowań to:
Serwer Open Directory: dla usługi katalogowej używającej schematu aplikacji Server
Active Directory: dla usługi katalogowej udostępnianej na serwerach Windows 2000 lub nowszych
RFC 2307: dla większości usług katalogowych z serwerów UNIX
Wtyczka LDAPv3 w pełni obsługuje powielanie i przejmowanie domeny Open Directory. Gdy serwer nadrzędny Open Directory staje się niedostępny, wtyczka używa jego repliki, znajdującej się w pobliżu.
Instrukcje określania własnych odwzorowań danych usługi katalogowej znajdują się w części Ręczne konfigurowanie dostępu do usługi katalogowej LDAP, a nie w tym dokumencie.
Ważne: Jeśli w nazwie komputera występuje dywiz (myślnik), dowiązanie do serwera usługi katalogowej LDAP lub Active Directory może być niemożliwe. Aby ustanowić dowiązanie, w nazwie komputera nie może być użyty dywiz (myślnik).
Otwieranie Narzędzia katalogowego
W aplikacji Narzędzie katalogowe
na Macu kliknij w Usługi.Kliknij w ikonę kłódki.
Wprowadź nazwę i hasło administratora (lub użyj Touch ID), a następnie kliknij w Modyfikuj konfigurację.
Zaznacz LDAPv3, a następnie kliknij w przycisk edycji ustawień wybranej usługi
.Kliknij w Nowa.
W polu Nazwa serwera lub adres IP podaj nazwę DNS serwera udostępniającego usługę katalogową LDAP lub jego adres IP.
Zaznacz pole wyboru Szyfruj używając SSL, aby usługa katalogowa Open Directory wykorzystywała bezpieczny protokół SSL podczas połączeń z usługą katalogową LDAP.
Przed zaznaczeniem tej opcji zapytaj administratora serwera Open Directory, czy SSL jest potrzebny.
Jeśli aplikacja Narzędzie katalogowe nie może skontaktować się z serwerem LDAP, należy poprawić ustawienia konfiguracji dostępu. Zobacz: Zmienianie ustawień połączenia z usługą katalogową LDAP lub serwerem Open Directory.
Kliknij w Dalej.
Zaznacz nowy serwer LDAP na liście, a następnie kliknij w Edycja.
Kliknij w Szukanie i odwzorowania.
Kliknij w menu podręczne Dostęp do serwera LDAPv3 przy użyciu, wybierz Open Directory, a następnie podaj podstawę wyszukiwania.
Na ogół sufiks podstawy wyszukiwania pochodzi od nazwy komputera z serwerem DNS. Na przykład, sufiksem podstawy wyszukiwania może być „dc=ods,dc=przyklad,dc=com” dla serwera, którego nazwą DNS jest ods.przyklad.com.
Jeśli serwer usługi katalogowej obsługuje dowiązania zaufane, kliknij w Dowiąż i podaj nazwę komputera, a także nazwę i hasło administratora usługi katalogowej.
Dowiązanie może być opcjonalne.
Dowiązanie zaufane jest dwustronne. Za każdym razem, gdy komputer łączy się z usługą katalogową LDAP, wzajemnie się uwierzytelniają. Jeśli dowiązanie zaufane jest skonfigurowane lub usługa katalogowa LDAP nie wspiera zaufanych dowiązań, przycisk Dowiąż nie pojawi się. Należy upewnić się, że podana została prawidłowa nazwa komputera.
Jeśli zobaczysz komunikat informujący, że rekord komputera już istnieje, spróbuj ponownie podając inną nazwę komputera, lub kliknij w Zastąp, aby zastąpić istniejący rekord komputera.
Istniejący rekord komputera może być nieużywany lub może należeć do innego komputera.
Przed zastąpieniem istniejącego rekordu komputera powiadom o tym administratora usługi katalogowej LDAP, aby nowy rekord nie zablokował innego komputera. W takim przypadku, administrator usługi katalogowej LDAP musi przydzielić zablokowanemu komputerowi inną nazwę i z powrotem dodać go do grupy komputerów, do której należał.
Kliknij w Zabezpieczenia.
Jeśli do połączenia z usługą katalogową LDAP wymagane jest uwierzytelnienie, zaznacz opcję Używaj uwierzytelnienia podczas łączenia, a następnie podaj unikatową nazwę i hasło konta użytkownika tej usługi katalogowej.
Połączenie uwierzytelniane nie jest obustronne: serwer LDAP uwierzytelnia klienta, ale klient nie uwierzytelnia serwera.
Unikatowa nazwa może określać dowolne konto posiadające uprawnienia przeglądania danych w usłudze katalogowej. Na przykład, konto użytkownika, którego skrócona nazwa to dirauth na serwerze LDAP, którego adres to ods.przyklad.com posiadać będzie unikatową nazwę uid=dirauth,cn=users,dc=ods,dc=przyklad,dc=com.
Ważne: Jeśli unikatowa nazwa lub hasło nie są prawidłowe, możesz zalogować się do komputera przy użyciu kont użytkowników z usługi katalogowej LDAP.
Kliknij w OK, aby zakończyć tworzenie połączenia z usługą katalogową LDAP.
Kliknij w OK, aby zakończyć konfigurowanie opcji usługi katalogowej LDAPv3.
Aby komputer miał dostęp do tej skonfigurowanej usługi katalogowej LDAP, dodaj ją do własnych zasad wyszukiwania w panelu Uwierzytelnianie oraz panelu Kontakty w Zasadach wyszukiwania w Narzędziu katalogowym. Aby uzyskać informacje na temat tworzenia zasad wyszukiwania, zobacz: Definiowanie zasad wyszukiwania.