Avec la commande dsconfigad(8), vous pouvez autoriser, désactiver ou demander le chiffrement des paquets entre les clients Active Directory et les serveurs.
Si le chiffrement des paquets est utilisé, les paquets entre un client Active Directory et un serveur sont chiffrés et signés via Kerberos par défaut. Si vous préférez avoir recours au protocole SSL, connectez-vous en tant qu’utilisateur administrateur et exécutez la commande suivante dans Terminal :
dsconfigad -packetencrypt ssl
Si le serveur utilise un certificat non approuvé, vous devez ajouter au trousseau système du client le certificat racine, ainsi que tout certificat intermédiaire nécessaire, via Trousseau d’accès. Si vous souhaitez désactiver la vérification du certificat (opération qu’il convient de ne réaliser qu’à des fins de tests), vous pouvez remplacer la ligne
TLS_REQCERT demand
par
TLS_REQCERT never
dans /etc/openldap/ldap.conf, sur le client.
Informations supplémentaires
Pour obtenir des informations supplémentaires, vous pouvez visionner la page manuelle de dsconfigad(8) en saisissant la commande man dsconfigad dans Terminal.