在MacOS X上配置OpenLDAP身份验证

欢迎来到我们的教程,该教程如何在MacOS X上配置OpenLDAP身份验证。幸运的是,MacOS X系统附带了一个名为 目录实用程序。根据Apple支持,目录实用程序可用于添加和配置与目录服务器的高级连接。配置后,您的Mac OS可以访问目录服务器以获取用户信息和其他存储在目录服务器目录域中的管理数据。可以配置的某些目录服务器包括Open Directory,Active Directory或LDAP目录服务器。

在MacOS X上配置OpenLDAP身份验证

遵循本指南,将MacOS X系统加入OpenLDAP目录,以方便用户身份验证。

注意:本指南基于Mac OS Sierra。

配置访问OpenLDAP目录

首先,您需要使用Directory Utility应用程序在MacOS X上配置对OpenLDAP目录服务器的访问。

要打开Directory Utility应用程序,请单击右上角的搜索图标,然后键入 Directory Utility。按Enter打开应用程序。

在MacOS X上配置OpenLDAP身份验证

您还可以从以下位置访问目录实用程序 Users and Groups preferences > Login Options > Network Account Server > Join > Open Directory Utility

当应用程序打开时,单击左下角的锁,然后以管理用户身份进行身份验证,以便您能够修改目录服务配置。

在MacOS X上配置OpenLDAP身份验证

在此演示中,我们将OpenLDAP用作目录服务器。因此,从列表中选择LDAPv3,然后单击 笔之类的“编辑”按钮 配置所选插件。

在MacOS X上配置OpenLDAP身份验证

在打开的安装向导中,单击 添加新的OpenLDAP目录服务器。输入OpenLDAP服务器的可解析主机名或IP地址。

在MacOS X上配置OpenLDAP身份验证

如果您将LDAP与SSL一起使用,请确保选中SSL框。

请点击 手册 输入手动配置您的OpenLDAP服务器目录设置。下次点击 编辑 编辑连接。

在MacOS X上配置OpenLDAP身份验证

在下面 连接 选项卡,设置连接的名称,如果需要,更改地址,如果需要,选择是否使用SSL和自定义端口,还可以保留其他默认设置。

在MacOS X上配置OpenLDAP身份验证

搜索和映射, 选择 RFC2307 作为LDAPv3的映射模板,然后输入您的OpenLDAP目录 搜索基地 后缀。

在MacOS X上配置OpenLDAP身份验证

安全,单击复选框, 连接时使用身份验证,然后输入 OpenLDAP绑定DN 和它的密码。

在MacOS X上配置OpenLDAP身份验证

请点击 完成设置后。现在,您的连接设置如下所示;

在MacOS X上配置OpenLDAP身份验证

请点击 关闭配置向导。这将带您返回Directory Utility应用程序。

点击 搜索政策 标签,然后选择在何处搜索用户信息。在这种情况下,我们将选择 自订路径 然后点击 +(加号) 登录以添加您的LDAP目录域。选择域连接,然后单击

在MacOS X上配置OpenLDAP身份验证

搜索政策 选项卡现在应该看起来像;

在MacOS X上配置OpenLDAP身份验证

您可以为 联络人

验证MacOS OpenLDAP用户身份验证

您现在可以通过单击来验证用户身份验证 目录编辑器 标签上 目录实用程序 应用程式。

选择查看 用户数 在节点中 / LDAPv3 /您的LDAP地址。要验证用户身份验证,请点击挂锁(未认证)。输入LDAP用户名和密码以验证身份验证。如果身份验证成功,您现在应该可以看到您的LDAP用户及其详细信息。

在MacOS X上配置OpenLDAP身份验证

接下来,点击 服务 标签并点击 应用。如果需要,请单击锁以防止进一步更改。

您也可以使用验证用户信息 id 终端上的命令。例如,我们在LDAP目录中有用户janedoe。验证其详细信息;

id janedoe
uid=10010(janedoe) gid=10010(janedoe) groups=10010(janedoe),223(com.apple.access_loginwindow),702(com.apple.sharepoint.group.2),12(everyone),62(netaccounts),701(com.apple.sharepoint.group.1)

在MacOS上以OpenLDAP用户身份登录

在能够以LDAP用户或目录用户身份登录之前,需要使网络用户能够登录。因此;

  1. 打开用户和组首选项设置
  2. 点击挂锁进行更改
  3. 点击 登录选项
  4. 确保您的 网络帐户服务器 已连接。否则,请加入服务器。
  5. 检查 允许网络用户在登录窗口登录。请点击 选件 允许所有用户或特定网络用户在登录时登录。
  6. 完成后,单击锁以防止进一步更改。

请注意,您还需要为系统上的用户创建主目录 按照LDAP条目。以下是我们的示例LDAP用户信息。

ldapsearch -Y EXTERNAL -H ldapi:/// -b "ou=people,dc=ldapmaster,dc=kifarunix-demo,dc=com" uid=janedoe -LLL -Q
dn: uid=janedoe,ou=people,dc=ldapmaster,dc=kifarunix-demo,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: extensibleObject
uid: janedoe
cn: jane
sn: Doe
loginShell: /bin/bash
uidNumber: 10010
gidNumber: 10010
shadowMax: 60
shadowMin: 1
shadowWarning: 7
shadowInactive: 7
shadowLastChange: 0
homeDirectory: /Users/janedoe
userPassword:: e1NTSEF9Rmpjb0VzRE8rRlFBcEp1UWNFclVhWGdmNFYyNGdxdkI=

因此,我们将为用户创建主目录, janedoe,是 /Users/janedoe

mkdir /Users/janedoe
chown -R janedoe:janedoe /Users/janedoe

现在,注销并尝试以LDAP用户身份登录。

在MacOS X上配置OpenLDAP身份验证

如果登录失败,请重新启动计算机,然后重试。确保您的系统已连接到LDAP目录服务器。

身份验证成功后,完成新帐户的设置,然后通过OpenLDAP目录服务器登录Mac OSX。

在MacOS X上配置OpenLDAP身份验证

您已经在MacOS X上成功配置了OpenLDAP身份验证。要注意的一件事是,OpenLDAP目录提供的任何网络用户都可以登录到您的系统。在我们的下一个指南中,我们将学习如何将MacOS X上的OpenLDAP身份验证限制为特定用户。

这使我们结束了关于如何在MacOS X上配置OpenLDAP身份验证的教程的结尾。

参考

关于目录实用程序

Sidebar