Ändra säkerhetspolicyn för LDAP-anslutningen i Katalogverktyg på datorn
Med Katalogverktyg kan du konfigurera en hårdare säkerhetspolicy för en LDAPv3-anslutning jämfört med säkerhetspolicyn för LDAP-katalogen. Du kanske t.ex. inte vill att LDAPv3-anslutningen ska tillåta lösenord i klartext samtidigt som LDAP-katalogens säkerhetspolicy tillåter det.
Att ställa in en hårdare säkerhetspolicy skyddar datorn från hackers med icke-legitima avsikter som försöker använda en falsk LDAP-server till att ta kontroll över datorn.
Datorn måste kommunicera med LDAP-servern för att kunna visa status för säkerhetsinställningarna. Därför måste datorns autentiseringssökpolicy inkludera LDAPv3-anslutningen när du ändrar säkerhetsalternativen för en LDAPv3-anslutning.
Behörighetsinställningarna för en LDAPv3-anslutnings säkerhetsalternativ lyder under LDAP-serverns säkerhetsfunktioner och krav. Om t.ex. LDAP-servern saknar stöd för Kerberos-autentisering avaktiveras flera av LDAPv3-anslutningens säkerhetsalternativ.
Klicka på Sökpolicy i appen Katalogverktyg
på datorn.Se till att LDAPv3-katalogen du vill använda är listad i sökpolicyn.
Klicka på låssymbolen.
Ange användarnamn och lösenord för en administratör och klicka sedan på Ändra konfiguration (eller använd Touch ID).
Klicka på Tjänster.
Markera LDAPv3 och klicka sedan på knappen Redigera inställningar för den valda tjänsten
.Om listan över serverkonfigurationer är gömd klickar du på visningstriangeln bredvid Visa alternativ.
Välj konfigurationen för den aktuella katalogen och klicka på Redigera.
Klicka på Säkerhet och ändra sedan någon av följande inställningar.
Obs! Säkerhetsinställningarna här och på den motsvarande LDAP-servern bestäms när LDAP-anslutningen ställs in. Inställningarna uppdateras inte när serverinställningarna ändras.
Om något av de sista fyra alternativen är markerat men avaktiverat beror det på att LDAP-katalogen kräver det. Om något av dessa alternativ är omarkerat och avaktiverat saknar LDAP-servern stöd för det alternativet.
Använd autentisering vid anslutning: Anger om LDAP v3-anslutningen autentiserar sig själv med LDAP-katalogen genom att tillhandahålla det angivna distingerade namnet och lösenordet. Alternativet visas inte om LDAPv3-anslutning använder betrodd koppling med LDAP-katalogen.
Kopplad till katalogen som: Anger den ID-information som LDAP v3-anslutningen använder för betrodd koppling med LDAP-katalogen. Alternativet och ID-informationen kan inte ändras här. Istället kan du koppla från och koppla igen med annan ID-information. Se Stoppa betrodd koppling med en LDAP-katalog och Ställa in en autentiserad koppling för en LDAP-katalog. Alternativet visas inte om LDAPv3-anslutning inte använder betrodd koppling.
Avaktivera lösenord i klartext: Anger om lösenord ska skickas i klartext om de inte kan valideras med en autentiseringsmetod som skickar krypterade lösenord.
Signera alla paket digitalt (kräver Kerberos): Säkerställer att katalogdata från LDAP-servern inte fångas upp och ändras av en annan dator på väg till din dator.
Kryptera alla paket (kräver SSL eller Kerberos): Kräver att LDAP-servern krypterar katalogdata med SSL eller Kerberos innan de skickas till din dator. Fråga Open Directory-administratören om SSL behövs innan du markerar alternativet ”Kryptera alla paket (kräver SSL eller Kerberos)”.
Blockera Man-in-the-Middle-attacker (kräver Kerberos): Ger skydd mot eventuella falska servrar som låtsas vara LDAP-servern. Alternativet fungerar bäst om det används tillsammans med alternativet ”Signera alla paket digitalt”.
Klicka på OK.