Adresářové služby poskytují centrální místo pro ukládání uživatelů a hesel pro podnikové a podnikové uživatele. Zde je návod, jak jej používat v systému macOS.
Mnoho podniků dnes potřebuje centrální místo pro ukládání informací o uživatelích, heslech, skupinách, počítačích a dalších síťových entitách.
Ve většině organizací je tato potřeba naplněna použitím buď serverů LDAP (Lightweight Directory Access Protocol), nebo v případě Windows Serveru adresářových služeb společnosti Microsoft založených na LDAP, Active Directory.
Když Apple v roce 1997 koupil NeXT a v roce 2000 vydal Mac OS X, nabídl své vlastní adresářové služby zahrnuté v OS X s názvem NetInfo.
Spolu s NetInfo Apple dodal aplikaci s názvem NetInfo Manager, která byla později přejmenována na Adresářová utilita. To uživatelům umožnilo přístup k serverům NetInfo pro informace o uživatelích a skupinách.
Souhrnně jsou tyto služby známé jako Adresářové služby. Myšlenkou adresářových služeb je konsolidace všech informací o uživatelích a zařízeních na jednom místě a použití těchto služeb k autorizaci uživatelů pro přístup k síťovým prostředkům.
NetInfo nebylo mezi uživateli ani správci oblíbené a bylo odstraněno z Mac OS X ve verzi 10.4 Tiger. Místo toho Apple začal migrovat na LDAP, protože se stal standardem pro adresářové služby.
Server Mac OS X
Poté, co Apple odeslal Server Mac OS X, který zahrnoval server LDAP a další služby, byl Mac OS X Server později konsolidován do doplňkové aplikace jednoduše nazvané „Server“. Aplikaci je možné stáhnout z Mac App Store a přidat do maloobchodní verze macOS.
OS X Server umožnil organizacím provozovat vlastní LDAP server pro ukládání informací o uživatelích a autorizaci uživatelů. Server byl později ukončen v roce 2022.
Apple Open Directory
Implementace LDAP od společnosti Apple se nazývá Apple Open Directory a je forkem projektu OpenLDAP.
Apple Open Directory také obsahuje implementaci autentizačního serveru Kerberos založeného na lístcích.
V macOS je Apple Open Directory spravován na pozadí démon s názvem opendirectoryd.
Microsoft Active Directory
Během toho všeho Microsoft vyvinul svůj vlastní server adresářových služeb s názvem Aktivní adresář (AD), který představil s Windows Server 2000.
Active Directory je jednou z nejpoužívanějších adresářových služeb v podnikových a organizačních sítích.
AD poskytuje řadu služeb včetně LDAP, Windows Domain Services, skupinových zásad, šifrování, certifikátů a Federation Services. Dnes Microsoft také poskytuje cloudovou adresářovou a uživatelskou informační službu s názvem Microsoft Entra ID.
Všechny tyto adresářové služby společně lze použít k dotazování a ověřování uživatelů a informací o uživatelích pro použití síťových prostředků a k vyhledávání kontaktních informací konkrétních uživatelů.
V adresářových službách se databáze uložených objektů uživatele nebo zařízení nazývá a Doména.
Rámce a vývoj
Pro vývoj poskytuje Apple dva rámce, které lze přidat do libovolného projektu Xcode a propojit s vytvořenou aplikací pro Mac: DirectoryServices.framework a OpenDirectory.framework.
Chcete-li přidat tyto rámce do svého projektu Xcode, přejděte na cíl v projektu Xcode a klikněte na „+“ tlačítko v podokně Rámce, knihovny a vložený obsah v Všeobecné tab. V zobrazeném listu přidejte DirectoryServices.frameworka OpenDirectory.framework
Chcete-li získat další přístup k adresářovým službám UNIX, přidejte také libcodedirectory.tbd statická knihovna.
Apple Open Directory API je překvapivě jednoduché: pouhých 9 tříd a jeden protokol (QDQueryDelegate
). Za použití ODNode
, QDQuery
, QDRecord
a ODSession
objektů, můžete spustit relaci OD, nakonfigurovat ji (ODConfiguration
), poté se dotazujte na server adresářových služeb, abyste mohli manipulovat se záznamy OD.
Po odeslání dotazu na OD se výsledky vrátí prostřednictvím QDQueryDelegate
protokol, který se skládá z jediné metody:
func query(ODQuery!, foundResults: (Any)!, error: (any Error)!)
- query:foundResults:error:
Chcete-li do své aplikace přidat tuto funkci, deklarujte třídu, která odpovídá QDQueryDelegate
protokol, poté implementujte metodu query:foundResults:error. Uvnitř metody může váš kód rozhodnout, jak zpracovat všechna data a vrácené chyby.
Po dokončení dotazu OD bude tato metoda obsahovat původní objekt dotazu, všechny výsledky pro tento dotaz a vrácenou chybu, pokud existuje.
Adresářová utilita
Apple původně dodával aplikaci Directory Utility ve složce /Utilities, která je součástí macOS.
Dnes je však aplikace skryta v /System/Library/Core Services/Applications – s největší pravděpodobností kvůli tlaku na přesun organizací do cloudu.
Chcete-li použít nástroj Directory Utility, nepokoušejte se jej zkopírovat nebo přesunout na jiné místo, protože žádné zkopírované verze nebudou fungovat.
Místo toho vytvořte alias aplikace buď přetažením do doku ve Finderu Mac. Můžete také vytvořit alias do aplikace podržením Příkaz-Možnost a přetažením aplikace na místo na disku.
Pokud používáte služby Kerberos, ve stejné složce je další aplikace s názvem Prohlížeč vstupenek. Prohlížeč lístků je jednoduchý a poskytuje pouze možnost přidávat a odebírat identity, nastavit jednu identitu jako výchozí a měnit heslo.
Použití Directory Utility
Directory Utility poskytuje několik služeb. Můžete se připojit přímo k libovolnému podporovanému serveru adresářových služeb pomocí Soubor->Připojit nebo můžete použít jednu ze tří karet v horní části hlavního okna:
- Služby
- Zásady vyhledávání
- Editor adresářů
Pro funkce Editoru adresářů musíte mít heslo správce ke službám, které chcete upravovat.
The Služby nabízí dvě jednoduché možnosti: Active Directory nebo LDAPv3.
Klikněte na Zámek ikonu ve spodní části okna a poté vyberte buď pro přístup ke konkrétnímu typu serveru. Kliknutím na malé Tužka ikona v dolní části okna zobrazí list pro adresářové služby na dostupných serverech.
Kliknutím na ikonu můžete také vytvořit novou konfiguraci adresářových služeb Nový tlačítko v listu.
V Zásady vyhledávání můžete zobrazit informace o ověřování a kontaktech pomocí cesty automatického, místního nebo vlastního vyhledávání. Karta Zásady vyhledávání umožňuje zobrazit informace o uživatelích v různých doménách adresáře.
The Editor adresářů umožňuje přímo upravovat informace o adresářových službách, i když, jak již bylo zmíněno, k tomu budete potřebovat heslo správce. Buďte opatrní s kartou Directory Editor, protože je snadné upravit důležité informace.
Na kartě Editor můžete zobrazit téměř jakékoli informace o adresářových službách, včetně nastavení pro desítky různých démonů, služeb a sítí. Pokud si nedáte pozor, můžete provést změny ve službách, které mohou způsobit nefunkčnost částí vašeho Macu nebo serveru.
LDAP je poměrně složité téma a jeho zvládnutí může nějakou dobu trvat. Pro poněkud stručný přehled se podívejte na LDAPWiki.
Zdroj: appleinsider.com