Настройка доступа к каталогу LDAP в Службе каталогов на Mac
С помощью Службы каталогов можно задать способ доступа компьютера Mac к каталогу LDAPv3. Вам необходимо знать DNS-имя или IP-адрес сервера каталогов LDAP.
Если этот каталог находится не на сервере, предоставляющем собственные соответствия (например, macOS Server), Вам необходимо знать базу поиска и шаблон соответствия данных macOS данным этого каталога.
Поддерживаются следующие шаблоны соответствий:
Сервер Open Directory — для каталога, который использует схему Server.
Active Directory — для каталога, который постоянно находится на сервере Windows 2000 или более новой версии.
«RFC 2307» — для большинства каталогов, постоянно находящихся на серверах UNIX.
Плагин LDAPv3 полностью поддерживает отказоустойчивость и репликацию Open Directory. Если оригинал Open Directory становится недоступным, этот плагин автоматически использует ближайший дубликат.
Чтобы задать пользовательские соответствия данных этого каталога, следуйте инструкциям из раздела Настройка доступа к каталогу LDAP вручную, а не инструкциям, приведенным ниже.
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.
В программе «Служба каталогов» на Mac нажмите «Службы».
Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3 и нажмите кнопку «Правка» (с изображением карандаша).
Введите DNS-имя сервера LDAP или IP-адрес в полях «Имя сервера» или «IP-адрес» соответственно.
Выберите «Шифровать с использованием SSL», если хотите, чтобы Open Directory использовал протокол защищенных сокетов (SSL) для соединений с каталогом LDAP.
Прежде чем это сделать, обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.
Если «Служба каталогов» не может связаться с сервером LDAP, попробуйте изменить настройки доступа. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Выберите новый сервер LDAP в списке, затем нажмите «Правка».
Нажмите «Поиск и соответствия».
Нажмите всплывающее меню «Получить доступ к этому серверу LDAPv3, используя», выберите значение «Open Directory» и введите начальные данные поиска.
Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем ods.example.com начальные данные поиска могут быть следующими: «dc=ods,dc=example, dc=com».
Если сервер каталога поддерживает надежное связывание, нажмите «Связать» и введите имя компьютера и имя и пароль администратора каталога.
Связывание может быть необязательным.
Надежное связывание является обоюдным. При каждом подключении компьютера к каталогу LDAP выполняется взаимная идентификация. Если надежное связывание уже настроено или каталог LDAP не поддерживает надежное связывание, кнопка «Связать» отсутствует. Убедитесь, что Вы правильно ввели имя компьютера.
Если Вы видите предупреждение о том, что имеется запись компьютера, попробуйте ввести другое имя компьютера или нажмите «Перезаписать», чтобы заменить имеющуюся запись компьютера.
Возможно, имеющаяся запись компьютера не используется или принадлежит другому компьютеру.
Перед заменой имеющейся записи о компьютере уведомите об этом администратора данного каталога LDAP, чтобы такая замена не привела к отключению другого компьютера. В этом случае администратор каталога LDAP должен присвоить отключенному компьютеру другое имя и добавить его снова к той группе компьютеров, к которой он принадлежал.
Если каталог LDAP требует аутентификации, выберите «Использовать аутентификацию при подключении» и введите отличительное имя и пароль учетной записи пользователя в каталоге.
Аутентификация подключения не является обоюдной: сервер LDAP аутентифицирует клиента, а клиент не аутентифицирует сервер.
Отличительное имя может задавать любую пользовательскую учетную запись, которая обладает разрешением на просмотр данных в этом каталоге. Например, пользовательская учетная запись с коротким именем dirauth на LDAP-сервере с адресом ods.example.com будет иметь отличительное имя uid=dirauth,cn=users,dc=ods,dc=example,dc=com.
Важно! Если отличительное имя или пароль неверны, никто не сможет войти в систему, используя пользовательские учетные записи из этого каталога LDAP.
Нажмите OK, чтобы завершить создание соединения LDAP.
Нажмите OK, чтобы завершить конфигурацию параметров LDAPv3.
Если Вы хотите, чтобы компьютер получил доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в алгоритм произвольного поиска в панелях «Идентификация» и «Контакты» раздела «Алгоритм поиска» программы «Служба каталогов». О создании политик поиска см. в разделе Определение политик поиска.
LDAP Admin Tool, a ldap and active directory browser and editor is a graphical tool designed to provide a user friendly environment in which to connect to any ldap aware directory server, modify data , run queries, export and print data. LDAP Admin Tool works directly with OpenLDAP, Netscape/iPlanet, Novell eDirectory, Oracle Internet Directory, IBM Tivoli Directory, Lotus Domino, Microsoft Active Directory, Sun One Directory or any other LDAP v2 or LDAPv3 directory server. It is a comprehensive administration tools for ldap configuration, user administration, and much more. With LDAP Admin Tool users can perform one click switching from one connection to another and one click schema browsing.
LDAP Admin Tool For MAC Features:
Supported MAC Platforms:
Mac Os x (Intel & PPC 64 bit architecture)
Installation Instructions: MAC OSx version is supplied as an installer executable. To perform the installation, simply launch the installer once the download is completed.
Ldap Admin Tool has been tested on Mountain Lion on Intel Core i7 processor.
2.
Easy Active Directory/ADAM Management and Administration
3.
Connect to directories locally, remotely or using SSL
4.
Easy SSL
5.
Export data in excel, csv and ldif formats
6.
Import data from ldif files
7.
Create/Edit Password using SHA, SSHA, MD5, SMD5 and CRYPT
8.
Tabbed Browsing
9.
Drag and Drop
10.
Simple and Advanced Search
11.
Multiple LDAP Bind
12.
SQL Syntax Search
13.
Mass Update using sql like syntax
14.
Powerful attribute editors
15.
Access multiple directories
16.
Browse Large directories
17.
View all available attributes
18.
Customization according to your needs
19.
Multiple entries/directory sizing
20.
Windows, linux & Mac versions available
21.
Schedule SQLDAP Select to LDIF, CSV and Excel ‡
22.
Run LDIF, CSV and Excel Export from command line
23.
Schedule Exports to File System and/or send them through Email
24.
Schedule LDIF, CSV and Excel Export using MAC cron or other scheduler
LDAP Admin Tool v6.10 has been released!
Access multiple directory servers
LDAP Admin Tool allows you to access OpenLDAP, Netscape/iPlanet, Novell eDirectory, Oracle Internet Directory, IBM Tivoli Directory, Lotus Domino, Microsoft Active Directory or any other LDAP v2 or LDAPv3 directory server. You can also connect to multiple directory servers simultaneously and copy data across servers.
Welcome to the Cutting Edge
LDAP Admin Tool sets the pace with dozens of new features, including the search tool bar, attribute editors, tabbed browsing, sqlldap search, server monitor and fast performance.
LDAP Admin Tool allows you to connect to the ldap server using SSL/TLS. You can add certificate to your store using Manage Certificates or it will prompt you to add the certificate to your store (Like any html browser.. Would you like to continue any way).
Query LDAP like Database
LDAP Admin Tool allows you to search the LDAP using SQL like syntax. It provides two powerful tools which allow you either to edit query text directly with syntax highlighting or to build a query visually with a drag and drop of keywords and attributes.
‡ Scheduling and command line features are only available in professional edition compare editions
Настройка доступа к каталогу LDAP вручную в Службе каталогов на Mac
Вы можете вручную создать конфигурацию, которая определяет порядок доступа компьютера Mac к каталогу LDAPv3 или LDAPv2. Вам необходимо знать DNS-имя или IP-адрес сервера каталогов LDAP.
Если этот каталог находится не на сервере Mac с программой macOS Server, необходимо знать базу поиска и шаблон соответствия данных macOS данным этого каталога. Поддерживаются приведенные ниже шаблоны соответствий:
С сервера: для каталога, который предоставляет собственные соответствия и начальные данные поиска, например сервера macOS Server.
Сервер Open Directory: для каталога, который использует схему программы macOS Server для macOS.
«Active Directory» — для каталога, который постоянно находится на сервере Windows 2000, Windows 2003 или более новых версий.
«RFC 2307» — для большинства каталогов, постоянно находящихся на серверах UNIX.
«Произвольно» — для каталогов, которые не используют ни одно из приведенных выше соответствий.
Плагин LDAPv3 полностью поддерживает отказоустойчивость и репликацию Open Directory. Если оригинал Open Directory становится недоступным, этот плагин автоматически переходит на ближайший дубликат.
Важно! Если в имени компьютера содержится дефис (-), Вам, возможно, не удастся установить связь с доменом каталогов (например, LDAP или Active Directory). Чтобы установить связь, используйте имя компьютера, которое не содержит дефис.
В программе «Служба каталогов» на Mac нажмите «Службы».
Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Выберите LDAPv3 и нажмите кнопку «Правка» (с изображением карандаша).
Введите DNS-имя сервера LDAP или IP-адрес, затем нажмите «Далее».
Нажмите всплывающее меню в колонке «Адреса LDAP» и выберите шаблон или метод соответствия.
Если выбран пункт «С сервера», то вводить базу поиска не требуется. В этом случае Open Directory берет в качестве суффикса базы поиска первый уровень каталога LDAP.
Нажмите кнопку «Считать с сервера», чтобы получить список всех атрибутов и типов записей. Типы записей, не найденные в локальном домене каталогов macOS, таких как AutoServerSetup или Neighborhoods, обозначаются в окне «Типы записей и атрибуты» красным цветом.
Если выбран шаблон (такой как Open Directory или RFC2307), введите начальные данные поиска для каталога LDAP и нажмите «OK». Необходимо ввести начальные данные поиска, иначе компьютер не сможет находить информацию в каталоге LDAP. Обычно начальные данные поиска основаны на DNS-имени сервера. Например, для сервера с DNS-именем ods.example.com начальные данные поиска могут быть следующими: «dc=ods,dc=example, dc=com».
Если выбран пункт «Произвольно», необходимо установить соответствия между типами записей и атрибутами macOS и классами и атрибутами каталога LDAP, к которому нужно подключиться. См. раздел Настройка поиска и сопоставлений LDAP.
Выясните у администратора Open Directory, требуется ли использование SSL, и если да, включите параметр «SSL».
Чтобы изменить следующие настройки в этой конфигурации LDAP, нажмите кнопку редактирования, чтобы отобразить параметры, внесите изменения, затем нажмите кнопку «ОК».
Нажмите «Подключение» и установите значения времени ожидания, выберите порт или включите пропуск перенаправлений сервера. См. раздел Изменение настроек подключения для сервера LDAP или Open Directory.
Нажмите «Поиск и соответствия», чтобы настроить поиск и соответствия LDAP-сервера. См. раздел Настройка поиска и сопоставлений LDAP.
Нажмите «Безопасность», чтобы настроить идентифицируемое подключение (вместо надежного связывания) и другие параметры политики безопасности. См. раздел Изменение политики безопасности подключения LDAP.
Нажмите кнопку «Связать», чтобы установить надежные связывания (если каталог LDAP поддерживает эту функцию). См. раздел Настройка аутентифицированного связывания для каталога LDAP.
Чтобы завершить создание вручную конфигурации для доступа к каталогу LDAP, нажмите кнопку OK.
Если Вы хотите, чтобы компьютер получил доступ к каталогу LDAP, конфигурацию для которого Вы создали, добавьте этот каталог в алгоритм произвольного поиска в панелях «Идентификация» и «Контакты» раздела «Алгоритм поиска» программы «Служба каталогов».
Прежде чем использовать macOS Server для создания пользователей на сервере каталогов LDAP стороннего производителя, работающем по стандарту RFC 2307 (UNIX), необходимо отредактировать соответствие типа записи «Users». См. раздел Редактирование сопоставления RFC 2307 для создания пользователей.
Важно! В случае смены IP-адреса и имени компьютера с помощью команды changeip при активном подключении к серверу каталогов необходимо отсоединить и повторно соединить сервер каталогов, чтобы обновить каталог новым именем компьютера и IP-адресом. Если не переподключить сервер каталогов, каталог не будет обновлен и будет продолжать использовать старое имя компьютера и IP-адрес.
на Mac нажмите «Службы».
