Ändern der Sicherheitsrichtlinie der LDAP-Verbindung in der App „Verzeichnisdienste“ auf dem Mac
Mithilfe der App „Verzeichnisdienste“ kannst du eine Sicherheitsrichtlinie für eine LDAPv3-Verbindung konfigurieren, die restriktiver ist als die Sicherheitsrichtlinie des LDAP-Verzeichnisses. Wenn beispielsweise die Sicherheitsrichtlinie des LDAP-Verzeichnisses Passwörter in Klartext zulässt, kannst du eine LDAPv3-Verbindung so einrichten, damit Klartextpasswörter nicht akzeptiert werden.
Eine restriktivere Sicherheitsrichtlinie schützt deinen Computer besser vor Hackern, die versuchen, mittels eines illegalen LDAP-Servers (Rogue-Servers) die Kontrolle über deinen Computer zu erhalten.
Der Computer muss Daten mit dem LDAP-Server austauschen, um den Status der Sicherheitsoptionen korrekt anzeigen zu können. Wenn du die Sicherheitsoptionen für eine LDAPv3-Verbindung änderst, muss daher der Suchpfad des Computers für den Bereich „Authentifizierung“ die betreffende LDAPv3-Verbindung umfassen.
Welche Einstellungen für die Sicherheitsoptionen einer LDAPv3-Verbindung zulässig sind, hängt von den Sicherheitsfunktionen und Sicherheitsanforderungen des jeweiligen LDAP-Servers ab. So werden beispielsweise für einen LDAP-Server, der die Authentifizierung über Kerberos nicht unterstützt, verschiedene Sicherheitsoptionen für die LDAPv3-Verbindung deaktiviert.
Klicke in der App „Verzeichnisdienste“ auf deinem Mac auf „Suchpfad“.
Vergewissere dich, dass das LDAPv3-Verzeichnis ein Bestandteil des Suchpfads ist.
Weitere Informationen findest du unter Definieren von Suchpfaden.
Klicke auf das Schlosssymbol.
Gib den Benutzernamen eines Administrators und das zugehörige Passwort ein und klicke auf „Konfiguration verändern“ (oder verwende Touch ID).
Klicke auf „Dienste“.
Wähle „LDAPv3“ und klicke dann auf die Taste „Einstellungen für den ausgewählten Dienst bearbeiten“ .
Ist die Liste der Serverkonfigurationen ausgeblendet, klicke auf das Dreiecksymbol neben „Optionen einblenden“.
Wähle die Konfiguration für das gewünschte Verzeichnis aus und klicke auf „Bearbeiten“.
Klicke auf „Sicherheit“ und nimm die gewünschten Änderungen an einer oder mehreren der folgenden Einstellungen vor.
Hinweis: Die hier und auf dem korrespondierenden LDAP-Server festgelegten Sicherheitseinstellungen werden beim Konfigurieren der LDAP-Verbindung angegeben. Die Einstellungen werden nicht aktualisiert, wenn Servereinstellungen geändert werden.
Ist eine der vier letztgenannten Optionen ausgewählt, aber deaktiviert, so bedeutet dies, dass sie vom LDAP-Verzeichnis benötigt werden. Ist eine dieser Optionen nicht ausgewählt und deaktiviert, so bedeutet dies, dass sie vom betreffenden LDAP-Server nicht unterstützt wird.
Beim Verbindungsaufbau authentifizieren: Diese Option bestimmt, ob sich die LDAPv3-Verbindung durch die Bereitstellung des Namens und des Passworts eigenständig gegenüber dem LDAP-Verzeichnis authentifiziert. Diese Option wird nicht angezeigt, wenn eine LDAPv3-Verbindung eine vertrauenswürdige Bindung zum LDAP-Verzeichnis nutzt.
In das Verzeichnis eingebunden als: Diese Option legt die Anmeldedaten fest, die die LDAPv3-Verbindung für die vertrauenswürdige Bindung mit dem LDAP-Verzeichnis nutzt. Diese Option und die Anmeldedaten können an dieser Stelle nicht geändert werden. Du kannst jedoch die Bindung trennen und unter Verwendung anderer Anmeldedaten neu herstellen. Weitere Informationen findest du unter Trennen einer vertauenswürdigen Bindung zu einem LDAP-Verzeichnis und Einrichten einer authentifizierten Bindung für ein LDAP-Verzeichnis. Diese Option wird nur angezeigt, wenn die LDAPv3-Verbindung eine vertrauenswürdige Bindung verwendet.
Passwörter in Klartext deaktivieren: Diese Option bestimmt, ob das Passwort als Klartext gesendet wird, wenn es nicht möglich ist, es mithilfe einer Authentifizierungsmethode zu überprüfen, die Passwörter in verschlüsselter Form sendet.
Alle Pakete digital signieren (Kerberos erforderlich): Diese Option gewährleistet, dass die vom LDAP-Server abgerufenen Verzeichnisdaten während der Übertragung auf deinen Computer nicht von einem anderen Computer abgefangen und geändert werden.
Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich): Diese Option legt fest, dass der LDAP-Server die Verzeichnisdaten mithilfe von SSL oder Kerberos verschlüsseln muss, bevor er sie an deinen Computer sendet. Frage vor Auswahl der Option „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ deinen Open Directory-Administrator, ob eine SSL-Verschlüsselung erforderlich ist.
Man-in-the-Middle-Angriffe blockieren (Kerberos erforderlich): Diese Option verhindert, dass sich ein illegaler (Rogue-) Server als LDAP-Server ausgeben kann. Diese Option ist am effektivsten, wenn sie mit der Option „Alle Pakete digital signieren“ kombiniert wird.
Klicke auf „OK“.