Mediante el comando dsconfigad(8), puedes permitir, deshabilitar o requerir la encriptación de paquetes entre servidores y clientes de Active Directory.
Cuando se utiliza la encriptación de paquetes, los paquetes entre un servidor y un cliente de Active Directory se encriptan y se firman mediante Kerberos por omisión. Para utilizar SSL en su lugar, envía este comando a Terminal como usuario administrador:
dsconfigad -packetencrypt ssl
Si el servidor utiliza un certificado que no es de confianza, tendrás que añadir la raíz y todos los certificados intermedios necesarios al llavero del sistema del cliente mediante Acceso a Llaveros. Si deseas deshabilitar la verificación del certificado (algo que solo deberías hacer para realizar pruebas), puedes cambiar esta línea:
TLS_REQCERT demand
por lo siguiente:
TLS_REQCERT never
en /etc/openldap/ldap.conf, en el cliente.
Más información
Para obtener más información, puedes consultar la página dsconfigad(8) del manual escribiendo man dsconfigad en Terminal.