LDAP-yhteyden suojauskäytännön muuttaminen Macin Hakemistotyökalulla
Hakemistotyökalulla voit määrittää LDAPv3-yhteydelle tiukemman suojauskäytännön kuin mitä LDAP-hakemiston suojauskäytäntö on. Jos LDAP-hakemiston suojauskäytäntö esim. sallii selväkieliset salasanat, voit ottaa LDAPv3-yhteyden käyttöön niin, että se ei salli selväkielisiä salasanoja.
Tiukemman suojauskäytännön asettaminen suojaa tietokonetta pahantahtoiselta hakkerilta, joka yrittää saada tietokoneen hallintaan vale-LDAP-palvelinta käyttäen.
Tietokoneen on kommunikoitava LDAP-palvelimen kanssa, jotta se voi kertoa suojausasetusten tilan. Tästä syystä tietokoneen todentamisen hakukäytännön täytyy sisältää LDAPv3-yhteys, kun LDAPv3-yhteyden suojausasetuksia muutetaan.
LDAPv3-yhteyden suojausasetukset määräytyvät LDAP-palvelimen tietoturvaominaisuuksien ja -vaatimusten mukaan. Esimerkiksi, jos LDAP-palvelin ei tue Kerberos-todentamista, monet LDAPv3-yhteyden suojausasetuksista ovat pois käytöstä.
Klikkaa Macin Hakemistotyökalu-apissa
Hakukäytäntö.Varmista, että haluttu LDAPv3-hakemisto on luetteloitu hakukäytännössä.
Klikkaa lukkokuvaketta.
Syötä ylläpitäjän käyttäjätunnus ja salasana ja klikkaa Muokkaa määritystä (tai käytä Touch ID:tä).
Klikkaa Palvelut.
Valitse LDAPv3 ja klikkaa sitten Muokkaa valitun laitteen asetuksia -painiketta
.Jos palvelinkuvausluettelo on kätketty, klikkaa Näytä valinnat -kohdan vieressä olevaa lisätietokolmiota.
Valitse haluamasi hakemiston määritys ja klikkaa Muokkaa.
Klikkaa Suojaus ja muuta mitä tahansa seuraavista asetuksista.
Huomaa: Tässä ja vastaavalla LDAP-palvelimella olevat suojausasetukset määritetään, kun LDAP-yhteys otetaan käyttöön. Asetuksia ei päivitetä, kun palvelimen asetuksia muutetaan.
Jos jotkin neljästä viimeisimmästä vaihtoehdosta ovat valittuna, mutta himmennettynä, LDAP-hakemisto vaatii niiden käyttöä. Jos jotkin vaihtoehdoista eivät ole valittuna ja ovat poissa käytöstä, LDAP-palvelin ei tue niitä.
Käytä todentamista yhdistettäessä: määrittää, todentaako LDAPv3-yhteys itsensä LDAP-hakemiston kanssa tarjoamalla määritetyn yksilöllisen nimen ja salasanan. Tämä vaihtoehto ei ole näkyvissä, jos LDAPv3-yhteys käyttää luotettua sidontaa LDAP-hakemiston kanssa.
Sidottu hakemistoon nimellä: määrittää valtakirjat, joita LDAPv3-yhteys käyttää luotettuun sidontaan LDAP-hakemiston kanssa. Tätä asetusta ja valtakirjoja ei voida muuttaa tässä. Sen sijaan voit poistaa sidoksen ja sen jälkeen sitoa uudelleen eri valtakirjoilla. Katso LDAP-hakemiston luotetun sidonnan lopettaminen ja Varmennetun sidonnan käyttöönotto LDAP-hakemistolle. Tämä vaihtoehto on näkyvissä, jos LDAPv3-yhteys käyttää luotettua sidontaa.
Estä selväkieliset salasanat: määrittää, lähetetäänkö salasana selväkielisenä, jos sitä ei voida tarkistaa käyttäen todentamismenetelmää, joka lähettää salattuja salasanoja.
Allekirjoita kaikki paketit sähköisesti (vaatii Kerberosin): varmistaa, että toinen tietokone ei ole kaapannut ja muokannut LDAP-palvelimelta tullutta hakemistodataa sen ollessa matkalla tietokoneellesi.
Salaa kaikki paketit (vaatii SSL:n tai Kerberosin): vaatii LDAP-palvelinta salaamaan hakemistodatan SSL:ää tai Kerberosta käyttäen ennen sen lähettämistä tietokoneelle. Ennen kuin valitset Salaa kaikki paketit (vaatii SSL:n tai Kerberosin) -valintaneliön, kysy Open Directory -ylläpitäjältä tarvitaanko SSL:ää.
Estä man-in-the-middle-hyökkäykset (vaatii Kerberosin): Suojaa LDAP-palvelimena esiintyvää valepalvelinta vastaan. Toimii parhaiten käytettäessä Allekirjoita kaikki paketit sähköisesti -vaihtoehdon kanssa.
Klikkaa OK.