Modifier la règle de sécurité de la connexion LDAP dans Utilitaire d’annuaire sur Mac
Utilitaire d’annuaire vous permet de configurer une règle de sécurité plus stricte que celle de l’annuaire LDAP pour une connexion LDAPv3. Par exemple, si la règle de sécurité de l’annuaire LDAP autorise les mots de passe en clair, vous pouvez configurer une connexion LDAPv3 pour qu’elle n’autorise pas ce type de mot de passe.
Définir une règle de sécurité plus stricte permet d’empêcher un bidouilleur malveillant d’utiliser un serveur LDAP piraté pour prendre le contrôle de votre ordinateur.
L’ordinateur doit communiquer avec le serveur LDAP pour afficher l’état des options de sécurité. Par conséquent, lorsque vous modifiez les options de sécurité d’une connexion LDAPv3, la règle de recherche d’authentification de l’ordinateur doit inclure la connexion LDAPv3.
Les réglages autorisés pour les options de sécurité d’une connexion LDAPv3 dépendent des possibilités et des besoins en matière de sécurité du serveur LDAP. Par exemple, si le serveur LDAP ne prend pas en charge l’authentification Kerberos, plusieurs options de sécurité de la connexion LDAPv3 sont désactivées.
Dans l’app Utilitaire d’annuaire sur votre Mac, cliquez sur Règles de recherche.
Vérifiez que l’annuaire LDAPv3 de votre choix figure dans la liste des règles de recherche.
Consultez la rubrique Définir des règles de recherche.
Cliquez sur l’icône de cadenas.
Saisissez un nom d’utilisateur et un mot de passe d’administrateur, puis cliquez sur Modifier la configuration (ou utilisez Touch ID).
Cliquez sur Services.
Sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (qui ressemble à un crayon).
Si la liste des configurations serveur est masquée, cliquez sur Afficher les options.
Sélectionnez la configuration d’annuaire souhaitée, puis cliquez sur Modifier.
Cliquez sur Sécurité, puis modifiez les réglages suivants à votre guise.
Remarque : ces réglages de sécurité ainsi que ceux du serveur LDAP correspondant sont définis lors de la configuration de la connexion LDAP. Les réglages ne sont pas mis à jour lorsque les réglages du serveur sont modifiés.
Si une ou plusieurs des quatre dernières options est sélectionnée, mais désactivée, elle est requise par l’annuaire LDAP. Si l’une de ces options n’est pas sélectionnée et est désactivée, le serveur LDAP ne la prend pas en charge.
Utiliser l’authentification lors de la connexion : Détermine si la connexion LDAPv3 s’authentifie auprès de l’annuaire LDAP en fournissant le nom absolu et le mot de passe spécifiés. Cette option n’est pas visible si la connexion LDAPv3 utilise la liaison sécurisée avec l’annuaire LDAP.
Relié à l’annuaire en tant que : Indique les informations d’identification que la connexion LDAPv3 utilise pour la liaison sécurisée avec l’annuaire LDAP. Vous ne pouvez pas changer cette option ni les références ici. Vous avez toutefois la possibilité de rompre la liaison et d’en créer une nouvelle avec d’autres références. Consultez les rubriques Rompre la liaison sécurisée avec un annuaire LDAP et Configurer une liaison authentifiée pour un annuaire LDAP. Cette option n’est visible que si la connexion LDAPv3 utilise la liaison sécurisée.
Désactiver les mots de passe en clair : Détermine si le mot de passe doit être envoyé sous forme de texte en clair s’il ne peut pas être validé par le biais d’une méthode d’authentification envoyant un mot de passe chiffré.
Signer tous les paquets numériquement (requiert Kerberos) : Permet de s’assurer que les données d’annuaire provenant du serveur LDAP ne sont pas interceptées et modifiées par un autre ordinateur lors de leur acheminement jusqu’à votre ordinateur.
Chiffrer tous les paquets (requiert SSL ou Kerberos) : Oblige le serveur LDAP à chiffrer les données d’annuaire par SSL ou Kerberos avant de les envoyer à votre ordinateur. Avant de cocher la case « Chiffrer tous les paquets (requiert SSL ou Kerberos) », demandez à votre administrateur Open Directory si le protocole SSL est requis.
Bloquer les attaques de « l’homme du milieu » (requiert Kerberos) : Assure une protection contre des serveurs malveillants se faisant passer pour des serveurs LDAP. À utiliser de préférence avec l’option « Signer tous les paquets numériquement ».
Cliquez sur OK.