Změna zásad zabezpečení pro LDAP připojení v Adresářové utilitě na Macu
Pomocí Adresářové utility můžete nakonfigurovat přísnější zásady zabezpečení pro LDAPv3 připojení, než jsou zásady zabezpečení adresáře LDAP. Pokud například zásady zabezpečení adresáře LDAP povolují použití hesel ve formátu prostého textu, můžete nakonfigurovat připojení LDAPv3 tak, že hesla ve formátu prostého textu nebudou povolena.
Nastavením přísnějších zásad zabezpečení chráníte svůj počítač před útoky hackerů se zlými úmysly, kteří by se mohli pokusit získat vládu nad vaším počítačem prostřednictvím podvodného LDAP serveru.
Má-li být zobrazen stav voleb zabezpečení, musí počítač komunikovat s LDAP serverem. Pokud tedy chcete změnit volby zabezpečení pro LDAPv3 připojení, zásady zabezpečení pro ověření totožnosti počítače musí zahrnovat LDAPv3 připojení.
Přípustné parametry pro volby zabezpečení připojení LDAPv3 se řídí podle funkcí a požadavků zabezpečení serveru LDAP. Pokud například server LDAP nepodporuje ověřování totožnosti Kerberos, budou deaktivovány některé volby zabezpečení LDAPv3 připojení.
V aplikaci Adresářová utilita na Macu klikněte na Zásady hledání.
Zkontrolujte, zda je v seznamu zásad hledání uveden požadovaný adresář LDAPv3.
Informace naleznete v tématu Definování zásad pro hledání.
Klikněte na ikonu zámku.
Zadejte uživatelské jméno a heslo správce a klikněte na volbu Změnit konfiguraci (případně použijte Touch ID).
Klikněte na ikonu Služby.
Vyberte volbu LDAPv3 a pak klikněte na tlačítko „Upravit nastavení vybrané služby“ .
Je‑li seznam konfigurací serveru skrytý, klikněte na rozbalovací trojúhelníček u položky Zobrazit volby.
Vyberte konfiguraci pro požadovaný adresář a klikněte na tlačítko Úpravy.
Klikněte na Zabezpečení a poté změňte kterékoli z následujících parametrů.
Poznámka: Parametry zabezpečení uvedené na tomto místě a na odpovídajícím LDAP serveru se určují při konfiguraci LDAP připojení. Při změně parametrů na serveru není nastavení na tomto místě aktualizováno.
Jsou-li některé z posledních čtyř voleb zaškrtnuté, ale přitom znepřístupněné, znamená to, že adresář LDAP je vyžaduje. Jsou-li naopak některé z nich nezaškrtnuté a přitom znepřístupněné, znamená to, že je server LDAP nepodporuje.
Při připojování použít ověření totožnosti: Určuje, zda LDAPv3 připojení umožňuje ověření totožnosti vůči adresáři LDAP předáním určeného jedinečného jména a hesla. Pokud LDAPv3 připojení používá pro adresář LDAP důvěryhodnou vazbu, není tato volba zobrazena.
Vazba k adresáři jako: Určuje přihlašovací údaje, které LDAPv3 připojení používá pro důvěryhodnou vazbu s adresářem LDAP. Tuto volbu ani přihlašovací údaje nelze na tomto místě změnit. Namísto toho je nutné vazbu zrušit a vytvořit ji znovu s použitím jiných přihlašovacích údajů . Viz Deaktivování důvěryhodných vazeb pro adresář LDAP a Nastavení vazeb s ověřenou totožností pro adresář LDAP. Pokud LDAPv3 připojení nepoužívá důvěryhodnou vazbu, není tato volba zobrazena.
Zakázat prostá textová hesla: Určuje, zda v případě, že heslo nelze ověřit pomocí některé metody ověření totožnosti odesílající zašifrovaná hesla, má být toto heslo odesláno jako prostý text, či nikoli.
Digitálně podepisovat všechny pakety (vyžaduje Kerberos): Ověřuje, že adresářová data z LDAP serveru nebyla na trase do vašeho počítače zadržena a upravena jiným počítačem.
Šifrovat všechny pakety (vyžaduje SSL nebo Kerberos): Požaduje, aby LDAP server před odesláním adresářových dat do vašeho počítače tato data zašifroval metodou SSL nebo Kerberos. Před zaškrtnutím políčka „Šifrovat všechny pakety (vyžaduje SSL nebo Kerberos)“ zjistěte u správce služby Open Directory, zda je nutné použít SSL zabezpečení.
Blokovat útoky prostředníka (vyžaduje Kerberos): Ochrana před podvodným serverem, který by se vydával za LDAP server. Optimálně použijte spolu s volbou „Digitálně podepisovat všechny pakety“.
Klikněte na tlačítko OK.