设置 LDAP 以访问 Active Directory 域


使用“目录访问”,您可以设置 LDAPv3 配置,以访问 Windows 服务器上的 Active Directory 域。LDAPv3 配置让您可以充分控制如何将 Mac OS X 记录类型和属性映射到 Active Directory 对象类、搜索基准和属性。映射唯一用户 ID (UID) 等某些重要的 Mac OS X 记录类型和属性时需要扩展 Active Directory 模式。

LDAPv3 配置不具有“目录访问”中列出的 Active Directory 插件的许多功能。其中包括动态生成唯一用户 ID 和首选组别 ID;创建本地 Mac OS X 个人目录;自动装上 Windows 个人目录;缓存的鉴定证书;发现 Active Directory 林中的所有域;支持 Active Directory 复制和失效切换。您可以在另一个帮助主题中了解有关 Active Directory 插件的更多信息。

您可以使用“目录访问”创建配置,以此指定 Mac OS X 如何访问特定的 LDAPv3 或 LDAPv2 目录。

  1. 在“目录访问”中点按“服务”。
  2. 如果锁图标已锁定,点按该图标,然后键入管理员的名称和密码。
  3. 在服务列表中选取 LDAPv3,然后点按“配置…”。
  4. 如果服务器配置列表处于隐藏状态,请点按“显示选项”。
  5. 点按“新建…”并输入配置的名称。
  6. 按下 Tab 键并输入 Active Directory 服务器的 DNS 名称或 IP 地址。
  7. 点按 DNS 名称或 IP 地址旁边的弹出式菜单,然后选取“Active Directory”。
  8. 输入 Active Directory 域的搜索基准,然后点按“好”。
  9. 如果要让 Open Directory 在与 Active Directory 服务器的连接中使用安全套接字协议层 (SSL),请选取 SSL 注记格。

LDAPv3 配置的 Active Directory 映射模板将某些 Mac OS X 记录类型和属性映射到不属于标准 Active Directory 模式的对象类和属性。您可以更改该模板定义的映射,或扩展 Active Directory 模式。(或者可以通过 Active Directory 插件而不是 LDAPv3 来访问您的 Active Directory 域)。

如果要让电脑访问您刚为其创建 LDAPv3 配置的 Active Directory 域,则必须在“目录访问”的“鉴定”或“联系”面板中将目录添加在自定搜索策略中。您还必须确定 LDAPv3 已在“服务”面板中启用。其他帮助主题说明了这些任务。