ああもうサイト毎のユーザ管理とか超メンドクサイ．せっかくのディレクトリサービスを活かしたい．楽したい．

その辺，Continuumはよく判っているソフトウェアで，ver1.1という，比較的早い時期からLDAPでのユーザ管理をサポートしている．さすがApache．
けれども，1.3.2のドキュメントを見ても1.1の頃と記述が変わっていない気もする．この辺り，大丈夫なのかしら．

もひとつおまけに，OpenDirectory は，一般的な LDAP の運用とは微妙に異なるので，微妙に混乱する．ただでさえ LDAP の管理はクエリの出し方が微妙に混乱しがち．
ここはひとつ，上手くいった security.properties を晒してしまおう．(あっさり)

ser.manager.impl=ldap
ldap.bind.authenticator.enabled=true
redback.default.admin=diradmin
redback.default.guest=nobody
security.policy.password.expiration.enabled=false
ldap.config.hostname=directory.example.com
ldap.config.port=389
ldap.config.base.dn=cn=users,dc=directory,dc=example,dc=com
ldap.config.context.factory=com.sun.jndi.ldap.LdapCtxFactory
ldap.config.bind.dn=uid=root,cn=users,dc=directory,dc=example,dc=com
ldap.config.password=Geheim
#ldap.config.authentication.method=

ldap.config.mapper.attribute.user.id=uid
ldap.config.mapper.attribute.fullname=cn
ldap.config.mapper.attribute.email=mail

とは言っても，もちろん自社のセキュリティに関わる部分は替えてある．通常のOSX Serverインストールであれば，そう大きく変わるはずはない．大抵の環境で diradmin と nobody は居るだろう．

その他，主な注意点は下記の通り．

• バインド用のパスワード(ldap.config.password)は平文になるので，パーミッションの管理は厳重に．
• SSLだとポート番号以外にも何か加えなければいけないかもしれないけれど，試していない．
• ユーザ一覧で，mailが見えない時は，ワークグループマネージャで[情報]-[メール]に書くと有効になる．
• LDAPで有効になったユーザには，初期状態で何のroleも与えられていないので，そこは手作業で与える必要がある．

私が気づいていない注意点もあるかもしれない．