Het beveiligingsbeleid voor een LDAP-verbinding wijzigen in Adreslijsthulpprogramma op de Mac
Met Adreslijsthulpprogramma kun je voor een LDAPv3-verbinding een strenger beveiligingsbeleid configureren dan het beveiligingsbeleid van de LDAP-adreslijst. Als het beveiligingsbeleid van de LDAP-adreslijst bijvoorbeeld toestaat dat wachtwoorden in normale tekst worden verstuurd, kun je voor een LDAPv3-verbinding opgeven dat geen wachtwoorden in normale tekst zijn toegestaan.
Door een strenger beveiligingsbeleid in te stellen, bescherm je de computer tegen kwaadwillende hackers die via een rogue LDAP-server proberen de besturing van de computer over te nemen.
De computer moet communiceren met de LDAP-server om de status van de beveiligingsopties te kunnen weergeven. Daarom moet de zoekconfiguratie voor identiteitscontrole de LDAPv3-verbinding omvatten als je de beveiligingsopties voor een LDAPv3-verbinding wijzigt.
De toegestane instellingen voor de beveiligingsopties van een LDAPv3-verbinding zijn afhankelijk van de beveiligingsvoorzieningen en -vereisten van de LDAP-server. Als de LDAP-server bijvoorbeeld geen Kerberos-identiteitscontrole ondersteunt, zijn verschillende beveiligingsopties voor de LDAPv3-verbinding gedeactiveerd.
Klik in de app Adreslijsthulpprogramma op de Mac op 'Zoekconfiguratie'.
Controleer of de gewenste LDAPv3-adreslijst wordt vermeld in de zoekconfiguratie.
Klik op het hangslotsymbool.
Voer de gebruikersnaam en het wachtwoord van een beheerder in en klik op 'Wijzig configuratie' (of gebruik Touch ID).
Klik op 'Voorzieningen'.
Selecteer 'LDAPv3' en klik op de knop met het potlood.
Klik op de knop met het driehoekje naast 'Toon opties' als de lijst met serverconfiguraties niet wordt weergegeven.
Selecteer de configuratie voor de gewenste adreslijst en klik vervolgens op 'Wijzig'.
Klik op 'Beveiliging' en breng vervolgens de gewenste wijzigingen aan.
Opmerking: Deze beveiligingsinstellingen en die op de bijbehorende LDAP-server worden bepaald wanneer de LDAP-verbinding wordt geconfigureerd. De instellingen worden niet bijgewerkt wanneer de serverinstellingen worden gewijzigd.
Als een van de laatste vier opties wel is geselecteerd maar niet is geactiveerd, is deze optie vereist voor de LDAP-adreslijst. Als een of meer van deze opties niet zijn geselecteerd en zijn gedeactiveerd, wordt deze optie niet ondersteund door de LDAP-server.
Identiteitscontrole bij verbinding: Hiermee geef je op of de identiteit van de LDAPv3-verbinding door de LDAP-adreslijst moet worden gecontroleerd op basis van de speciale naam en het wachtwoord die zijn opgegeven. Deze optie is niet zichtbaar als voor de LDAPv3-verbinding gebruik wordt gemaakt van een vertrouwde koppeling met de LDAP-adreslijst.
Gekoppeld aan de adreslijst als: Hier geef je de toegangsgegevens op die door de LDAPv3-verbinding worden gebruikt voor vertrouwde koppelingen met de LDAP-adreslijst. Deze optie en de toegangsgegevens kunnen hier niet worden gewijzigd. In plaats daarvan kun je de koppeling ongedaan maken en vervolgens een nieuwe koppeling aanmaken met andere toegangsgegevens. Zie Een vertrouwde koppeling met een LDAP-adreslijst stopzetten en Een geverifieerde koppeling voor een LDAP-adreslijst configureren. Deze optie is niet zichtbaar als bij de LDAPv3-verbinding gebruik wordt gemaakt van een vertrouwde koppeling.
Sta geen wachtwoorden m.b.v. normale tekst toe: Hiermee geef je op of het wachtwoord moet worden verstuurd als normale tekst als het niet kan worden gevalideerd met behulp van een identiteitscontrolemethode waarbij een versleuteld wachtwoord wordt verstuurd.
Onderteken alle pakketten digitaal (vereist Kerberos): Deze optie garandeert dat adreslijstgegevens van de LDAP-server onderweg naar je computer niet zijn onderschept en gewijzigd door een andere computer.
Versleutel alle pakketten (vereist SSL of Kerberos): Hiermee geef je op dat adreslijstgegevens met behulp van SSL of Kerberos moeten worden versleuteld voordat ze naar je computer worden verstuurd. Informeer bij de beheerder van de Open Directory-server of SSL vereist is, voordat je het aankruisvak 'Versleutel alle pakketten (vereist SSL of Kerberos') inschakelt.
Blokkeer Man-in-the-Middle-aanvallen (vereist Kerberos): Deze optie biedt bescherming tegen een rogue server die zich voordoet als de LDAP-server. Deze optie kan het best worden gebruikt in combinatie met de optie 'Onderteken alle pakketten digitaal (vereist Kerberos)'.
Klik op 'OK'.