Modificarea politicii de securitate pentru conexiunile LDAP în Utilitar director pe Mac
Folosind Utilitar director, puteți să configurați o politică de securitate mai strictă pentru o conexiune LDAPv3 decât politica de securitate a directorului LDAP. De exemplu, dacă politica de securitate a directorului LDAP permite parole de text în clar, puteți configura o conexiune LDAPv3 să nu accepte parole de text în clar.
Configurarea unei politici de securitate mai stricte vă protejează computerul de un hacker rău intenționat care încearcă să utilizeze un server LDAP fals pentru a obține controlul asupra computerului dvs.
Computerul trebuie să comunice cu serverul LDAP pentru a afișa starea opțiunilor de securitate. Prin urmare, atunci când schimbați opțiunile de securitate pentru o conexiune LDAPv3, politica de căutare a autentificării computerului trebuie să includă conexiunea LDAPv3.
Configurările permise ale opțiunilor de securitate ale unei conexiuni LDAPv3 sunt supuse cerințelor și capacităților de securitate ale serverului LDAP. De exemplu, dacă serverul LDAP nu acceptă autentificarea Kerberos, diverse opțiuni de securitate ale conexiunii LDAPv3 sunt dezactivate.
În aplicația Utilitar director
pe Mac, faceți clic pe Politică de căutare.Asigurați-vă că directorul LDAPv3 pe care îl doriți este listat în politica de căutare.
Consultați Definirea politicilor de căutare.
Faceți clic pe pictograma lacăt.
Introduceți un nume și o parolă de administrator, apoi faceți clic pe Schimbă configurația (sau utilizați Touch ID).
Faceți clic pe Servicii.
Selectați LDAPv3, apoi faceți clic pe butonul “Editați configurările pentru serviciul selectat”
.Dacă lista de configurații de server este ascunsă, faceți clic pe triunghiul de dezvăluire din dreptul opțiunii Afișează opțiuni.
Selectați configurația pentru directorul pe care îl doriți, apoi faceți clic pe Editare.
Faceți clic pe Securitate, apoi schimbați oricare dintre următoarele configurări.
Notă: configurările de securitate de aici și de pe serverul LDAP corespunzător sunt determinate la configurarea conexiunii LDAP. Configurările nu sunt actualizate la modificarea configurărilor serverului.
Dacă oricare dintre ultimele patru opțiuni sunt selectate dar dezactivate, directorul LDAP le solicită. Dacă oricare dintre aceste opțiuni este neselectată și dezactivată, serverul LDAP nu o acceptă.
Utilizează autentificare la conectare: Determină dacă autentificarea conexiunii LDAPv3 cu directorul LDAP se realizează prin furnizarea numelui distinct și a parolei specificate. Această opțiune nu este vizibilă în cazul în care conexiunea LDAPv3 utilizează o asociere de încredere cu director LDAP.
Asociat la director ca: Specifică acreditările pe care conexiunea LDAP le utilizează pentru asocierea de încredere cu directorul LDAP. Această opțiune și acreditările nu pot fi modificate aici. În schimb, puteți elimina asocierea și apoi relua asocierea cu alte acreditări. Consultați Oprirea asocierii de încredere pentru un director LDAP și Configurarea asocierii autentificate pentru un director LDAP. Această opțiune nu este vizibilă decât în cazul în care conexiunea LDAPv3 utilizează o asociere de încredere.
Dezactivare parole text în clar: Determină dacă parola va fi trimisă ca text în clar în cazul în care nu poate fi validată utilizând o metodă de autentificare care trimite o parolă criptată.
Semnează digital toate pachetele (necesită Kerberos): Certifică faptul că datele de director de pe serverul LDAP nu au fost interceptate și modificate de un alt computer pe parcursul tranzitului către computerul dvs.
Criptează toate pachetele (necesită SSL sau Kerberos): Solicită serverului LDAP să cripteze datele de director utilizând SSL sau Kerberos înainte de a le trimite către computerul dvs. Înainte de a selecta caseta de validare “Criptează toate pachetele (necesită SSL sau Kerberos)”, întrebați administratorul Open Directory dacă SSL este necesar.
Blochează atacurile de interpunere (necesită Kerberos): Protejează împotriva unui server fals care pozează drept server LDAP. Cel mai bine este dacă se utilizează împreună cu opțiunea “Semnează digital toate pachetele”.
Faceți clic pe OK.