שינוי מדיניות האבטחה של חיבור LDAP ב”כלי העזר למדריכי כתובות” ב-Mac
באמצעות ״כלי העזר למדריכי כתובות״, ניתן להגדיר מדיניות אבטחה קפדנית יותר עבור חיבור LDAPv3 מאשר מדיניות האבטחה של מדריך הכתובות של LDAP. לדוגמא, אם מדיניות האבטחה של מדריך הכתובות של LDAP מתירה סיסמאות מלל רגיל, ניתן להגדיר חיבור LDAPv3 כדי שלא להתיר זאת.
הגדרת מדיניות אבטחה קפדנית יותר מגנה על המחשב שלך מפני האקרים זדוניים שעלולים לנסות להשתמש בשרת LDAP זדוני לקבלת שליטה על המחשב שלך.
על המחשב לקיים תקשורת עם שרת ה-LDAP על-מנת להציג את מצב אפשרויות האבטחה. לכן, כשהינך משנה אפשרויות אבטחה עבור חיבור LDAPv3, מדיניות חיפוש האימות של המחשב חייבת לכלול את חיבור ה-LDAPv3.
ההגדרות המותרות עבור אפשרויות אבטחה של חיבור LDAPv3 כפופות לדרישות וליכולות האבטחה של שרת ה-LDAP. לדוגמא, אם שרת ה-LDAP אינו תומך באימות Kerberos, חלק מאפשרויות האבטחה עבור חיבור LDAPv3 לא יהיו זמינות.
פתח את Directory Utility עבורי
ביישום “כלי העזר למדריכי כתובות”
ב-Mac, לחץ/י על “מדיניות חיפוש”.ודא/י שמדריך הכתובות הרצוי של LDAPv3 מופיע במדיניות החיפוש.
ראה/י הגדרת מדיניות חיפוש.
לחץ/י על סמל המנעול.
הקש/י שם משתמש של מנהל/ת מערכת ולאחר מכן לחץ/י על ״שנה תצורה״ (או השתמש/י ב-Touch ID).
לחץ/י על ״שירותים״.
Select LDAPv3, then click the “Edit settings for the selected service” button
.אם רשימת תצורות השרת מוסתרת, לחץ/י על המשולש ליד ״הצג אפשרויות״.
בחר/י תצורה עבור מדריך הכתובות הרצוי ולאחר מכן לחץ/י על ״ערוך/י״.
לחץ/י על ״אבטחה״ ולאחר מכן שנה/י כל אחת מההגדרות הרצויות שלהלן:
הערה: הגדרות האבטחה כאן ובשרת LDAP המקביל נקבעות בעת הגדרת חיבור ה-LDAP. ההגדרות אינן מתעדכנות כשנערכים שינויים בהגדרות השרת.
אם אפשרות כלשהי מבין ארבע האפשרויות האחרונות נבחרת אך אינה זמינה, סימן שהיא דרושה למדריך הכתובות של LDAP. אם אפשרות כלשהי מבין האפשרויות הללו אינה נבחרת ואינה זמינה, סימן ששרת ה-LDAP אינו תומך בה.
השתמש באימות בעת חיבור: אפשרות זו קובעת אם חיבור ה-LDAPv3 יאמת את עצמו מול מדריך הכתובות של LDAP על-ידי מתן השם והסיסמה הייחודיים שצוינו. אפשרות זו אינה גלויה אם חיבור ה-LDAPv3 עושה שימוש באיגוד מהימן עם מדריך הכתובות של LDAP.
מאוגד למדריך הכתובות בתור: אפשרות זו מציינת את האישורים המשמשים את חיבור ה-LDAPv3 לאיגוד מהימן עם מדריך הכתובות של LDAP. אפשרות זו והאישורים אינם ניתנים לשינוי כאן. במקום זאת, ניתן לבטל את האיגוד ולאחר מכן לאגד שוב עם אישורים אחרים. ראה/י הפסקת איגוד מהימן עם מדריך כתובות של LDAP והגדרת איגוד מאומת עבור מדריך כתובות של LDAP. אפשרות זו אינה גלויה, אלא אם חיבור ה-LDAPv3 עושה שימוש באיגוד מהימן.
בטל סיסמאות טקסט רגיל: אפשרות זו קובעת אם יש לשלוח את הסיסמה כמלל רגיל במקרה שלא ניתן לאמת אותה באמצעות שיטת אימות ששולחת סיסמה מוצפנת.
חתום דיגיטלית את כל המנות (דורש Kerberos): אפשרות זו מאשרת שנתוני מדריך כתובות משרת ה-LDAP לא עוכבו ולא שונו על-ידי מחשב אחר בדרכם אל המחשב שלך.
הצפן את כל המנות (דורש SSL או Kerberos): אפשרות זו דורשת משרת ה-LDAP להצפין נתוני מדריך כתובות באמצעות SSL או Kerberos לפני שליחתם אל המחשב שלך. בטרם תבחר/י בתיבת הסימון ״הצפן את כל המנות (דורש SSL או Kerberos)״, שאל/י את מנהל/ת המערכת של Open Directory אם יש צורך בכך.
חסום תקיפות מסוג ״אדם באמצע״ (דורש Kerberos): אפשרות זו מגנה מפני הסיכון ששרת זדוני יתחזה לשרת ה-LDAP. הדרך הטובה ביותר לשימוש באפשרות זו היא להשתמש בה בשילוב עם האפשרות ״חתום דיגיטלית את כל המנות״.
לחץ/י על ״אישור״.