Canviar la política de seguretat de la connexió LDAP a la Utilitat de Directoris del Mac
Amb la Utilitat de Directoris, pots configurar una política de seguretat per a una connexió LDAPv3 que sigui més estricta que la política de seguretat del directori LDAP. Per exemple, si la política de seguretat del directori LDAP permet contrasenyes de text sense encriptar, pots configurar una connexió LDAPv3 perquè no permeti aquestes contrasenyes.
Configurar una política de seguretat més estricta protegeix l’ordinador davant dels intents d’un pirata maliciós d’utilitzar un servidor LDAP fraudulent per controlar el teu ordinador.
L’ordinador s’ha de comunicar amb el servidor LDAP per mostrar l’estat de les opcions de seguretat. Per tant, quan canvies les opcions de seguretat per a una connexió LDAPv3, cal que la política de cerca d’autenticació de l’ordinador inclogui la connexió LDAPv3.
Els paràmetres permesos per a les opcions de seguretat d’una connexió LDAPv3 estan subjectes a les capacitats i requisits de seguretat del servidor LDAP. Per exemple, si el servidor LDAP no permet l’autenticació Kerberos, es desactiven diverses opcions de seguretat de la connexió LDAPv3.
Obrir la Utilitat de Directoris
A l’app Utilitat de Directoris
del Mac, fes clic a “Política de cerca”.Comprova que el directori LDAPv3 que vols estigui inclòs a la política de cerca.
Consulta Definir les polítiques de cerca.
Fes clic a la icona del cadenat.
Introdueix el nom d‘usuari i la contrasenya d‘un administrador i fes clic a “Modifica la configuració” (o utilitza el Touch ID).
Fes clic a “Serveis”.
Selecciona “LDAPv3” i, tot seguit, fes clic al botó “Edita la configuració del servei seleccionat”
.Si la llista de configuracions de servidor no és visible, fes clic al triangle desplegable que hi ha al costat de “Mostra les opcions”.
Selecciona la configuració per al directori que vulguis i fes clic a “Edita”.
Fes clic a “Seguretat” i canvia qualsevol dels paràmetres següents.
Nota: Els paràmetres de seguretat aquí i al servidor LDAP corresponent es determinen quan es configura la connexió LDAP. Aquests paràmetres no s’actualitzen quan es canvien els paràmetres del servidor.
Si alguna de les quatre últimes opcions està seleccionada però desactivada, significa que el directori LDAP la necessita. Si alguna d’aquestes opcions està desmarcada i desactivada, significa que el servidor LDAP no les admet.
Fer servir autenticació al connectar: determina si la connexió LDAPv3 s’autentica amb el directori LDAP subministrant el nom distintiu i la contrasenya especificats. Aquesta opció no és visible si la connexió LDAPv3 utilitza una vinculació de confiança amb el directori LDAP.
Vinculat al directori com a: especifica les credencials que utilitza la connexió LDAPv3 per a la vinculació de confiança amb el directori LDAP. Aquesta opció i les credencials no es poden canviar aquí. En comptes d’això, pots desvincular-les i tornar a vincular-les amb credencials diferents. Consulta Aturar la vinculació de confiança amb un directori LDAP i Configurar la vinculació autenticada per a un directori LDAP. Aquesta opció no és visible a menys que la connexió LDAPv3 faci servir una vinculació de confiança.
Desactivar les contrasenyes de text sense encriptar: determina si la contrasenya s’ha d’enviar com a text sense encriptar si no es pot validar amb un mètode d’autenticació que l’enviï com a contrasenya encriptada.
Signar digitalment tots els paquets (requereix Kerberos): certifica que les dades del directori del servidor LDAP no han estat interceptades ni modificades per un altre ordinador mentre estaven en ruta al teu ordinador.
Encriptar tots els paquets (requereix SSL o Kerberos): requereix que el servidor LDAP encripti les dades del directori amb SSL o Kerberos abans d’enviar-les al teu ordinador. Abans de seleccionar la casella “Encripta tots els paquets (requereix SSL o Kerberos)”, pregunta a l’administrador d’Open Directory per determinar si cal SSL.
Bloquejar atacs “man-in-the-middle” (requereix Kerberos): protegeix davant d’un servidor fraudulent que fingeixi ser un servidor LDAP. Resulta més efectiva si s’utilitza amb l’opció “Signa digitalment tots els paquets”.
Fes clic a “D’acord”.