LDAP-yhteyden suojauskäytännön muuttaminen
Hakemistotyökalulla voit määrittää LDAPv3-yhteydelle tiukemman suojauskäytännön kuin mitä LDAP-hakemiston suojauskäytäntö on. Jos LDAP-hakemiston suojauskäytäntö esim. sallii selväkieliset salasanat, voit ottaa LDAPv3-yhteyden käyttöön niin, että se ei salli selväkielisiä salasanoja.
Tiukemman suojauskäytännön asettaminen suojaa tietokonetta pahantahtoiselta hakkerilta, joka yrittää saada tietokoneen hallintaan vale-LDAP-palvelinta käyttäen.
Tietokoneen on kommunikoitava LDAP-palvelimen kanssa, jotta se voi kertoa suojausasetusten tilan. Tästä syystä LDAPv3-yhteyden suojausasetuksia muutettaessa tietokoneen todentamisen hakukäytännön tulisi sisältää LDAPv3-yhteys.
LDAPv3-yhteyden suojausasetukset määräytyvät LDAP-palvelimen tietoturvaominaisuuksien ja -vaatimusten mukaan. Esimerkiksi, jos LDAP-palvelin ei tue Kerberos-todentamista, monet LDAPv3-yhteyden suojausasetuksista ovat pois käytöstä.
Klikkaa Hakukäytäntö.
Varmista, että haluttu LDAPv3-hakemisto on luetteloitu hakukäytännössä.
Jos haluat lisätietoja LDAPv3-hakemiston lisäämisestä todentamisen hakukäytäntöön, katso Hakukäytäntöjen määrittäminen.
Klikkaa lukkokuvaketta.
Syötä ylläpitäjän käyttäjätunnus ja salasana ja klikkaa Muokkaa määritystä (tai käytä Touch ID:tä).
Klikkaa Palvelut.
Valitse LDAPv3 ja klikkaa muokkauspainiketta (näyttää kynältä).
Jos palvelinkuvausluettelo on kätketty, klikkaa Näytä valinnat.
Valitse haluamasi hakemiston määritys ja klikkaa Muokkaa.
Klikkaa Suojaus ja muuta mitä tahansa seuraavista asetuksista.
Huomaa: Tässä ja vastaavalla LDAP-palvelimella olevat suojausasetukset määritetään, kun LDAP-yhteys otetaan käyttöön. Asetuksia ei päivitetä, kun palvelimen asetuksia muutetaan.
Jos jotkin neljästä viimeisimmästä vaihtoehdosta ovat valittuna, mutta himmennettynä, LDAP-hakemisto vaatii niiden käyttöä. Jos jotkin vaihtoehdoista eivät ole valittuna ja ovat poissa käytöstä, LDAP-palvelin ei tue niitä.
Käytä todentamista yhdistettäessä: määrittää, todentaako LDAPv3-yhteys itsensä LDAP-hakemiston kanssa tarjoamalla määritetyn yksilöllisen nimen ja salasanan. Tämä vaihtoehto ei ole näkyvissä, jos LDAPv3-yhteys käyttää luotettua sidontaa LDAP-hakemiston kanssa.
Sidottu hakemistoon nimellä: määrittää valtakirjat, joita LDAPv3-yhteys käyttää luotettuun sidontaan LDAP-hakemiston kanssa. Tätä asetusta ja valtakirjoja ei voida muuttaa tässä. Sen sijaan voit poistaa sidoksen ja sen jälkeen sitoa uudelleen eri valtakirjoilla. Jos haluat lisätietoja, katso LDAP-hakemiston luotetun sidonnan lopettaminen ja Varmennetun sidonnan käyttöönotto LDAP-hakemistolle. Tämä vaihtoehto on näkyvissä, jos LDAPv3-yhteys käyttää luotettua sidontaa.
Estä selväkieliset salasanat: määrittää, lähetetäänkö salasana selväkielisenä, jos sitä ei voida tarkistaa käyttäen todentamismenetelmää, joka lähettää salattuja salasanoja.
Allekirjoita kaikki paketit sähköisesti (vaatii Kerberosin): varmistaa, että toinen tietokone ei ole kaapannut ja muokannut LDAP-palvelimelta tullutta hakemistodataa sen ollessa matkalla tietokoneellesi.
Salaa kaikki paketit (vaatii SSL:n tai Kerberosin): vaatii LDAP-palvelinta salaamaan hakemistodatan SSL:ää tai Kerberosta käyttäen ennen sen lähettämistä tietokoneelle. Ennen kuin valitset Salaa kaikki paketit (vaatii SSL:n tai Kerberosin) -valintaneliön, kysy Open Directory -ylläpitäjältä tarvitaanko SSL:ää.
Estä man-in-the-middle-hyökkäykset (vaatii Kerberosin): Suojaa LDAP-palvelimena esiintyvää valepalvelinta vastaan. Toimii parhaiten käytettäessä Allekirjoita kaikki paketit sähköisesti -vaihtoehdon kanssa.
Klikkaa OK.