Modificación de la política de seguridad de conexión LDAP
Con Utilidad de Directorios, puedes configurar una política de seguridad para una conexión LDAPv3 más estricta que la política de seguridad del directorio LDAP. Por ejemplo, si la política de seguridad del directorio LDAP admite contraseñas de texto no encriptado, puedes configurar una conexión LDAPv3 para que no permita contraseñas de texto no encriptado.
La definición de una política de seguridad más estricta protege al ordenador de hackers malintencionados que intenten utilizar un servidor LDAP falso para obtener el control de tu ordenador.
El ordenador debe comunicarse con el servidor LDAP para mostrar el estado de las opciones de seguridad. Por lo tanto, cuando cambies las opciones de seguridad de una conexión LDAPv3, la política de búsqueda de autenticación del ordenador debe incluir la conexión LDAPv3.
Los ajustes que las opciones de seguridad de una conexión LDAPv3 pueden admitir están sujetos a los requisitos y funciones de seguridad del servidor LDAP. Por ejemplo, si el servidor LDAP no admite el sistema de autenticación Kerberos, varias opciones de seguridad de la conexión LDAPv3 estarán desactivadas.
Haz clic en “Política de búsqueda”.
Asegúrate de que el directorio LDAPv3 que quieres figura en la política de búsqueda.
Para obtener más información acerca de cómo añadir un directorio LDAPv3 a la política de búsqueda de autenticación, consulta Definición de políticas de búsqueda.
Haz clic en el icono del candado.
Introduce el nombre de usuario y la contraseña de un administrador y después haz clic en “Modificar configuración” (o usa Touch ID).
Haz clic en Servicios.
Selecciona LDAPv3 y haz clic en el botón Editar (parece un lápiz).
Si la lista de configuraciones del servidor está oculta, haz clic en “Mostrar opciones”.
Selecciona la configuración del directorio que quieras y, a continuación, haz clic en Editar.
Haz clic en Seguridad y, a continuación, cambia cualquiera de los ajustes siguientes:
Nota: Estos ajustes de seguridad y los del servidor LDAP correspondiente se determinan cuando se configura la conexión LDAP. Esos ajustes no se actualizan cuando se cambian los ajustes del servidor.
Si alguna de las cuatro últimas opciones está seleccionada pero desactivada, significa que es necesaria para el directorio LDAP. Si alguna de estas opciones no está seleccionada y está desactivada, significa que el servidor LDAP no la admite.
Usar autenticación para conectar: determina si la conexión LDAPv3 se autentica a sí misma en el directorio LDAP al suministrar el nombre y la contraseña especificados. Esta opción no se muestra si la conexión LDAPv3 utiliza un enlace fiable con el directorio LDAP.
Enlazado con el directorio como: especifica las credenciales que la conexión LDAPv3 utiliza para el enlace fiable con el directorio LDAP. Ni esta opción ni las credenciales pueden modificarse desde aquí. En lugar de ello, puedes anular el enlace y, a continuación, volver a establecer un enlace con distintas credenciales. Para obtener más información, consulta Detención de un enlace fiable con un directorio LDAP y Configurar un enlace autenticado con un directorio LDAP. Esta opción no se mostrará, salvo que la conexión LDAPv3 utilice el enlace fiable.
Desactivar contraseñas de texto no encriptado: determina si la contraseña se va a enviar como texto no encriptado en caso de que no pueda validarse mediante un método de autenticación que envíe una contraseña encriptada.
Firmar digitalmente todos los paquetes (requiere Kerberos): certifica que ningún otro ordenador ha interceptado ni modificado los datos de directorio del servidor LDAP mientras se enviaban a tu ordenador.
Encriptar todos los paquetes (requiere SSL o Kerberos): requiere que el servidor LDAP encripte los datos de directorio mediante SSL o Kerberos antes de enviarlos a tu ordenador. Antes de seleccionar la opción “Encriptar todos los paquetes (requiere SSL o Kerberos)”, pregunta al administrador de Open Directory si es necesario utilizar SSL.
Bloquear los ataques “Man-in-the-Middle” (requiere Kerberos): protege frente a servidores falsos que simulan ser el servidor LDAP. Se recomienda utilizarla junto con la opción “Firmar digitalmente todos los paquetes”.
Haz clic en Aceptar.