Modificare la politica di sicurezza della connessione LDAP in Utility Directory sul Mac
Utilizzando Utility Directory, puoi configurare per una connessione LDAPv3 una politica di sicurezza più rigida rispetto a quella di una directory LDAP. Per esempio, se la politica di sicurezza di una directory LDAP consente password in chiaro, puoi impostare una connessione LDAPv3 in modo che queste non siano consentite.
L'impostazione di una politica di sicurezza più rigida protegge il computer dall'intrusione di hacker che tentino di utilizzare un server LDAP per assumere il controllo del computer.
Il computer deve comunicare con il server LDAP per mostrare lo stato delle opzioni di sicurezza. Quindi, quando modifichi le opzioni di sicurezza per una connessione LDAPv3, i criteri di ricerca di autenticazione del computer devono includere la connessione LDAPv3.
Le impostazioni ammissibili per le opzioni di sicurezza di una connessione LDAPv3 dipendono dai requisiti e dalle caratteristiche del server LDAP. Ad esempio, se il server LDAP non supporta l’autenticazione Kerberos, molte opzioni di sicurezza della connessione LDAPv3 sono disabilitate.
Nell'app Utility Directory
sul Mac, fai clic su “Politica di ricerca”.Assicurati che la directory LDAPv3 che desideri sia inserita nell'elenco dei criteri di ricerca.
Consulta Definire i criteri di ricerca.
Fai clic sull'icona a forma di lucchetto.
Inserisci la password e il nome utente di amministratore, quindi fai clic su “Modifica configurazione”, oppure utilizza Touch ID.
Fai clic su Servizi.
Seleziona LDAPv3, quindi fai clic sul pulsante “Modifica le impostazioni per il servizio selezionato”
.Se l'elenco delle configurazioni dei server è nascosto, fai clic sul triangolo di apertura accanto a “Mostra Opzioni”.
Seleziona la configurazione per la directory che ti interessa, quindi fai clic su Modifica.
Fai clic su Sicurezza, quindi modifica una qualsiasi delle seguenti impostazioni.
Nota: tali impostazioni di sicurezza e quelle relative al server LDAP corrispondente vengono determinate durante la configurazione della connessione LDAP. Le impostazioni non vengono aggiornate quando vengono modificate le impostazioni del server.
Se una delle ultime quattro opzioni è selezionata ma disabilitata, la directory LDAP le richiede. Se queste opzioni non sono selezionate e disabilitate, il server LDAP non le supporta.
Usa autenticazione quando ti colleghi: determina l'autenticazione della connessione LDAPv3 alla directory LDAP fornendo il nome distintivo e la password. Questa opzione non è visibile se la connessione LDAPv3 utilizza un trusted binding con la directory LDAP.
Binding attuale alla directory come: specifica le credenziali utilizzate dalla connessione LDAPv3 per il trusted binding con la directory LDAP. Questa opzione e le credenziali non possono essere modificate in questo punto. In alternativa, puoi disattivare e riattivare il binding con credenziali differenti. Consulta Interrompere il trusted binding con una directory LDAP e Impostare il binding autenticato per una directory LDAP. Questa opzione non viene visualizzata fino a quando la connessione LDAPv3 non utilizza il trusted binding.
Disabilita password in chiaro: determina l’invio della password in chiaro se la password non può essere convalidata utilizzando un metodo di autenticazione che invii una password codificata.
Firma digitalmente tutti i pacchetti (richiede Kerberos): assicura che i dati della directory su un server LDAP non vengano intercettati e modificati da un altro computer mentre sono diretti al tuo computer.
Cripta tutti i pacchetti (richiede SSL o Kerberos): richiede che il server LDAP codifichi i dati della directory tramite SSL o Kerberos prima dell'invio al tuo computer. Prima di selezionare il riquadro “Cripta tutti i pacchetti (richiede SSL o Kerberos)”, chiedi all'amministratore Open Directory se è necessario utilizzare SSL.
Blocca gli attacchi Man-in-the-Middle (richiede Kerberos): protegge dai server che si fingono il server LDAP. Se ne raccomanda l'utilizzo con l'opzione “Firma digitalmente tutti i pacchetti”.
Fai clic su OK.