Canviar la política de seguretat de la connexió LDAP a la Utilitat de Directoris del Mac
Amb la Utilitat de Directoris, pots configurar una política de seguretat per a una connexió LDAPv3 que sigui més estricta que la política de seguretat del directori LDAP. Per exemple, si la política de seguretat del directori LDAP permet contrasenyes de text sense encriptar, pots configurar una connexió LDAPv3 perquè no permeti aquestes contrasenyes.
Configurar una política de seguretat més estricta protegeix l’ordinador davant dels intents d’un pirata maliciós d’utilitzar un servidor fraudulent per controlar el teu ordinador.
L’ordinador s’ha de comunicar amb el servidor LDAP per mostrar l’estat de les opcions de seguretat. Per tant, quan canvies les opcions de seguretat per a una connexió LDAPv3, cal que la política de recerca d’autenticació de l’ordinador inclogui la connexió LDAPv3.
Els paràmetres permesos per a les opcions de seguretat d’una connexió LDAPv3 estan subjectes a les capacitats i requisits de seguretat del servidor LDAP. Per exemple, si el servidor LDAP no permet l’autenticació Kerberos, es desactiven diverses opcions de seguretat de la connexió LDAPv3.
Obrir la Utilitat de Directoris
A l’app Utilitat de Directoris
del Mac, fes clic a “Política de recerca”.Comprova que el directori LDAPv3 que vols estigui inclòs a la política de recerca.
Consulta Definir les polítiques de recerca.
Fes clic a la icona de bloqueig.
Introdueix el nom d‘usuari i la contrasenya d‘un administrador i fes clic a “Modificar la configuració” (o utilitza el Touch ID).
Fes clic a Serveis.
Selecciona LDAPv3 i, tot seguit, fes clic al botó “Editar la configuració del servei seleccionat”
.Si la llista de configuracions de servidor no és visible, fes clic al triangle desplegable que hi ha al costat de “Mostrar opcions”.
Selecciona la configuració per al directori que vulguis i fes clic a Editar.
Fes clic a Seguretat i canvia qualsevol dels paràmetres següents.
Nota: Els paràmetres de seguretat aquí i al servidor LDAP corresponent es determinen quan es configura la connexió LDAP. Aquests paràmetres no s’actualitzen quan es canvien els paràmetres del servidor.
Si alguna de les últimes quatre opcions està seleccionada però desactivada, el directori LDAP les exigeix. Si alguna d’aquestes opcions està desmarcada i desactivada, el servidor LDAP no les permet.
Fer servir autenticació al connectar: determina si la connexió LDAPv3 s’autentica amb el directori LDAP subministrant el nom distintiu i la contrasenya especificats. Aquesta opció no és visible si la connexió LDAPv3 utilitza una vinculació de confiança amb el directori LDAP.
Vinculat al directori com a: especifica les credencials que utilitza la connexió LDAPv3 per a la vinculació de confiança amb el directori LDAP. Aquesta opció i les credencials no es poden canviar aquí. En comptes d’això, pots desvincular-les i tornar a vincular-les amb credencials diferents. Consulta Aturar la vinculació de confiança amb un directori LDAP i Configurar la vinculació autenticada per a un directori LDAP. Aquesta opció no és visible a menys que la connexió LDAPv3 faci servir una vinculació de confiança.
Desactivar les contrasenyes de text sense encriptar: determina si la contrasenya s’ha d’enviar com a text sense encriptar si no es pot validar amb un mètode d’autenticació que l’enviï com a contrasenya encriptada.
Signar digitalment tots els paquets (requereix Kerberos): certifica que les dades del directori del servidor LDAP no han estat interceptades ni modificades per un altre ordinador mentre estaven en ruta al teu ordinador.
Encriptar tots els paquets (requereix SSL o Kerberos): requereix que el servidor LDAP encripti les dades del directori amb SSL o Kerberos abans d’enviar-les al teu ordinador. Abans de seleccionar la casella “Encriptar tots els paquets (requereix SSL o Kerberos)”, pregunta a l’administrador d’Open Directory per determinar si cal SSL.
Bloquejar atacs “man-in-the-middle” (requereix Kerberos): protegeix davant d’un servidor fraudulent que fingeixi ser un servidor LDAP. Resulta més efectiva si s’utilitza amb l’opció “Signar digitalment tots els paquets”.
Fes clic a D’acord.