Zmienianie zasad bezpieczeństwa połączenia z LDAP za pomocą Narzędzia katalogowego na Macu
Za pomocą Narzędzia katalogowego można skonfigurować bardziej restrykcyjne zasady bezpieczeństwa połączeń z LDAPv3, niż zasady bezpieczeństwa usługi katalogowej LDAP. Na przykład, jeśli zasady bezpieczeństwa usługi katalogowej LDAP pozwalają na przesyłanie hasła jawnym tekstem, można ustawić połączenie z LDAPv3, które nie będzie zezwalało na takie zasady.
Ustawienie bardziej restrykcyjnych zasad bezpieczeństwa zabezpiecza komputer przed próbą przejęcia kontroli nad komputerem przez hakera wykorzystującego fałszywy serwer LDAP.
Komputer musi komunikować się z serwerem LDAP, aby pokazać stan opcji bezpieczeństwa. Gdy zmienisz więc opcje zabezpieczeń połączenia LDAPv3, zasady wyszukiwania danych uwierzytelnienia komputera muszą uwzględniać połączenie LDAPv3.
Możliwe ustawienia opcji bezpieczeństwa połączenia z LDAPv3 zależą od możliwości i wymagań bezpieczeństwa serwera LDAP. Na przykład, jeśli serwer LDAP nie obsługuje uwierzytelnienia Kerberos, będzie wyłączonych wiele opcji bezpieczeństwa połączenia z LDAPv3.
Otwieranie Narzędzia katalogowego
W aplikacji Narzędzie katalogowe
na Macu kliknij w Zasady wyszukiwania.Upewnij się, że żądana usługa katalogowa LDAPv3 znajduje się na liście zasad wyszukiwania.
Zobacz Definiowanie zasad wyszukiwania.
Kliknij w ikonę kłódki.
Wprowadź nazwę i hasło administratora (lub użyj Touch ID), a następnie kliknij w Modyfikuj konfigurację.
Kliknij w Usługi.
Zaznacz LDAPv3, a następnie kliknij w przycisk edycji ustawień wybranej usługi
.Jeśli lista konfiguracji serwerów jest ukryta, kliknij w trójkąt rozwijania obok etykiety Pokaż opcje.
Zaznacz konfigurację wybranej usługi katalogowej, a następnie kliknij w Edycja.
Kliknij w Zabezpieczenia, a następnie zmień dowolne z następujących ustawień.
Uwaga: Ustawienia bezpieczeństwa tu i na odpowiednim serwerze LDAP zostaną określone po ustanowieniu połączenia z LDAP. Ustawienia nie zostaną uaktualnione po zmianie ustawień serwera.
Jeśli któreś z ostatnich czterech opcji są zaznaczone ale nieaktywne, to usługa katalogowa LDAP ich wymaga. Jeśli dowolna z tych opcji jest niezaznaczona i nieaktywna, to serwer LDAP ich nie obsługuje.
Używaj uwierzytelnienia podczas łączenia: Wskazuje, czy połączenie z LDAPv3 samo się uwierzytelnia z usługą katalogową LDAP za pomocą określonej unikalnej nazwy i hasła. Ta opcja nie jest widoczna, gdy połączenie z LDAPv3 używa zaufanego dowiązania z usługą katalogową LDAP.
Dowiąż do usługi katalogowej jako: Określa dane uwierzytelnienia używane podczas połączenia z LDAPv3 dla dowiązania zaufanego z usługą katalogową LDAP. Tej opcji oraz danych uwierzytelnienia nie można tutaj zmienić. Można odłączyć się od katalogu i ponownie dowiązać z innymi danymi uwierzytelnienia. Zobacz: Przerywanie zaufanego dowiązania z usługą katalogową LDAP oraz Konfigurowanie uwierzytelnionego dowiązania do usługi katalogowej LDAP. Ta opcja nie jest widoczna, dopóki połączenie z LDAPv3 używa zaufanego dowiązania.
Wyłącz wysyłanie hasła tekstem jawnym: Wskazuje, czy hasło jest wysyłane tekstem jawnym, gdy nie może być sprawdzone za pomocą metody uwierzytelnienia wysyłającej hasła zaszyfrowane.
Podpisz cyfrowo wszystkie pakiety (wymagany Kerberos): Poświadcza, że dane usługi katalogowej w drodze z serwera LDAP do naszego komputera nie zostały przechwycone ani zmienione przez inny komputer.
Szyfruj wszystkie pakiety (wymagany SSL lub Kerberos): Wymaga, aby przed wysłaniem danych usługi katalogowej do naszego komputera serwer LDAP szyfrował je za pomocą SSL lub Kerberos. Przed zaznaczeniem pola wyboru Szyfruj wszystkie pakiety (wymagany SSL lub Kerberos) zapytaj administratora domeny Open Directory, czy SSL jest potrzebny.
Blokuj ataki typu „man-in-the-middle” (wymagany Kerberos): Chroni przed fałszywym serwerem podszywającym się pod serwer LDAP. Najlepiej używać z opcją Podpisuj cyfrowo wszystkie pakiety.
Kliknij w OK.