Изменение политики безопасности подключения LDAP
С помощью программы «Служба каталогов» Вы можете настроить более жесткую политику безопасности для подключения LDAPv3, чем политика безопасности каталога LDAP. Например, если политика безопасности каталога LDAP допускает передачу пароля открытым текстом, то Вы можете настроить подключение LDAPv3 так, чтобы такие пароли запрещались.
Настройка более жесткой политики безопасности защищает компьютер от злонамеренных попыток хакеров использовать мнимый сервер LDAP для получения контроля над компьютером.
Компьютеру необходимо обмениваться информацией с LDAP-сервером, чтобы показывать состояние параметров безопасности. Поэтому, когда Вы меняете параметры безопасности для подключения LDAPv3, политика поиска аутентификации компьютера должна включать в себя это подключение LDAPv3.
Допустимые настройки параметров безопасности подключения LDAPv3 зависят от возможностей и требований сервера LDAP в области безопасности. Например, если сервер LDAP не поддерживает идентификацию Kerberos, то ряд параметров безопасности подключения LDAPv3 будут отключены.
Нажмите «Алгоритм поиска».
Убедитесь, что нужный каталог LDAPv3 указан в списке алгоритма поиска.
Дополнительную информацию о добавлении каталога LDAPv3 в алгоритм поиска идентификации можно получить в разделе Определение алгоритма поиска.
Нажмите значок замка.
Введите имя пользователя и пароль администратора, затем нажмите «Изменить конфигурацию» (или используйте Touch ID).
Нажмите «Службы».
Выберите LDAPv3 и нажмите кнопку «Правка» (с изображением карандаша).
Если список конфигураций серверов скрыт, нажмите «Показать параметры».
Выберите конфигурацию интересующего каталога и нажмите кнопку «Правка».
Нажмите «Безопасность», а затем измените любые настройки:
Примечание. Настройки безопасности здесь и на соответствующем LDAP-сервере будут определены после настройки подключения LDAP. Эти настройки не обновляются автоматически в случае изменения настроек сервера.
Если какой-либо из четырех последних параметров выбран, но выключен, то они необходимы каталогу LDAP. Если какой-либо из этих параметров не выбран и выключен, то LDAP-сервер не поддерживает его.
Использовать аутентификацию при подключении: Определяет, идентифицирует ли себя подключение LDAPv3 с помощью каталога LDAP, предоставляя заданное отличительное имя и пароль. Этот параметр не показан, если подключение LDAPv3 использует надежное связывание с каталогом LDAP.
Связывание с каталогом выполнено как: Задает имя и пароль, используемые подключением LDAPv3 для надежного связывания с каталогом LDAP. Здесь нельзя изменить этот параметр, а также имя и пароль. Вместо этого можно разорвать связывание и затем связаться снова, используя другие имя и пароль. Более подробную информацию см. в разделах Остановка надежного связывания с каталогом LDAP и Настройка идентифицированного связывания для каталога LDAP. Этот параметр не показан, если подключение LDAPv3 не использует надежное связывание.
Запретить передачу пароля открытым текстом: Определяет, отправляется ли пароль в виде читаемого текста, если пароль не может быть подтвержден с помощью какого-либо метода идентификации, который отправляет зашифрованные пароли.
Использовать цифровую подпись для всех пакетов (необходим Kerberos): Удостоверяет, что данные с LDAP-сервера не будут перехвачены и изменены другим компьютером во время отправки на Ваш компьютер.
Шифровать все пакеты (необходим SSL или Kerberos): Требует, чтобы сервер LDAP шифровал данные каталога с использованием SSL или Kerberos, прежде чем посылать их компьютеру. Прежде чем установить флажок перед «Шифровать все пакеты (необходим SSL или Kerberos)», обратитесь к администратору Open Directory, чтобы определить, нужен ли SSL.
Блокировать атаки типа «человек посередине» (необходим Kerberos): Защищает от мнимого сервера, выдающего себя за сервер LDAP. Лучше всего использовать с параметром «Использовать цифровую подпись для всех пакетов».
Нажмите «ОК».