เปลี่ยนนโยบายความปลอดภัยในการเชื่อมต่อ LDAP ในยูทิลิตี้ไดเรกทอรีบน Mac
โดยการใช้ยูทิลิตี้ไดเรกทอรี คุณสามารถกำหนดค่านโยบายความปลอดภัยสำหรับการเชื่อมต่อ LDAPv3 ที่เข้มงวดมากกว่านโยบายความปลอดภัยของไดเรกทอรี LDAP ตัวอย่างเช่น ถ้านโยบายความปลอดภัยของไดเรกทอรี LDAP อนุญาตรหัสผ่านข้อความธรรมดา คุณสามารถตั้งค่าการเชื่อมต่อ LDAPv3 ให้ไม่อนุญาตรหัสผ่านข้อความธรรมดาได้
การตั้งค่านโยบายความปลอดภัยที่มีความเข้มงวดยิ่งขึ้นป้องกันคอมพิวเตอร์ของคุณจากแฮกเกอร์ที่เป็นอันตรายที่พยายามใช้เซิร์ฟเวอร์ LDAP ที่หลอกลวงเพื่อได้รับควบคุมของคอมพิวเตอร์ของคุณ
คอมพิวเตอร์ต้องสื่อสารกับเซิร์ฟเวอร์ LDAP เพื่อแสดงสถานะของตัวเลือกความปลอดภัย ดังนั้น เมื่อคุณเปลี่ยนแปลงตัวเลือกความปลอดภัยสำหรับการเชื่อมต่อ LDAPv3 นโยบายการค้นหาการตรวจสอบสิทธิ์ของคอมพิวเตอร์ต้องรวมการเชื่อมต่อ LDAPv3
ค่าติดตั้งที่อนุญาตของตัวเลือกความปลอดภัยของการเชื่อมต่อ LDAPv3 ขึ้นอยู่กับความสามารถและความต้องการความปลอดภัยของเซิร์ฟเวอร์ LDAP ตัวอย่างเช่น ถ้าเซิร์ฟเวอร์ไม่รองรับการตรวจสอบสิทธิ์ของ Kerberos ตัวเลือกความปลอดภัยของการเชื่อมต่อ LDAPv3 หลายตัวเลือกจะถูกปิดใช้งาน
ในแอปยูทิลิตี้ไดเรกทอรี
บน Mac ของคุณ ให้คลิก นโยบายการค้นหาตรวจสอบให้แน่ใจว่าไดเรกทอรี LDAPv3 ที่คุณต้องการนั้นถูกลงรายการในนโยบายการค้นหาแล้ว
ให้ดูที่ กำหนดนโยบายการค้นหา
คลิกไอคอนล็อค
ป้อนชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ จากนั้นคลิกปรับการกำหนดค่า (หรือใช้ Touch ID)
คลิก บริการ
เลือก LDAPv3 จากนั้นคลิกปุ่ม “แก้ไขการตั้งค่าของบริการที่เลือก”
ถ้ารายการของการกำหนดค่าเซิร์ฟเวอร์ถูกซ่อนอยู่ ให้คลิกสามเหลี่ยมแสดงผลที่อยู่ถัดจากคำว่าแสดงตัวเลือก
เลือกการกำหนดค่าสำหรับไดเรกทอรีที่คุณต้องการ จากนั้นคลิก แก้ไข
คลิก ความปลอดภัย จากนั้นเปลี่ยนแปลงการตั้งค่าใดๆ ต่อไปนี้
หมายเหตุ: ค่าติดตั้งความปลอดภัยที่นี่และบนเซิร์ฟเวอร์ LDAP ที่สอดคล้องกันถูกกำหนดเมื่อการเชื่อมต่อ LDAP ตั้งค่า กรตั้งค่าจะไม่ถูกอัปเดตเมื่อการตั้งค่าเซิร์ฟเวอร์เปลี่ยนแปลง
ถ้าได้เลือกตัวเลือกสี่ตัวเลือกล่าสุดใดๆ แต่ปิดการใช้งานไว้ ไดเรกทอรี LDAP จะเรียกขอตัวเลือกเหล่านั้น ถ้าไม่ได้เลือกตัวเลือกใดๆและปิดการใช้งานไว้ เซิร์ฟเวอร์ LDAP จะไม่รองรับตัวเลือกเหล่านั้น
ใช้การตรวจสอบสิทธิ์เมื่อเชื่อมต่อ: กำหนดการเชื่อมต่อ LDAPv3 ว่าตรวจสอบสิทธิ์กับไดเรกทอรี LDAP โดยการจัดส่งชื่อและรหัสผ่านเฉพาะที่ระบุหรือไม่ ตัวเลือกนี้จะไม่สามารถมองเห็นถ้าการเชื่อมต่อ LDAPv3 ใช้การผูกที่เชื่อถือได้กับไดเรกทอรี LDAP
ผูกกับไดเรกทอรีเป็น: ระบุข้อมูลประจำตัวที่การเชื่อมต่อ LDAPv3 ใช้สำหรับการผูกที่เชื่อถือได้ด้วยไดเรกทอรี LDAP ตัวเลือกและข้อมูลประจำตัวนี้ไม่สามารถเปลี่ยนแปลงได้ที่นี่ แต่คุณสามารถเลิกผูกและผูกอีกครั้งด้วยข้อมูลประจำตัวอื่นได้แทน ให้ดูที่ หยุดการผูกที่เชื่อถือแล้วด้วยไดเรกทอรี LDAP และ ตั้งค่าการผูกที่มีการตรวจสอบสิทธิ์สำหรับไดเรกทอรี LDAP ตัวเลือกนี้จะไม่สามารถมองเห็นได้ นอกเสียจากการเชื่อมต่อ LDAPv3 จะใช้การผูกที่เชื่อถือได้
ปิดการใช้รหัสผ่านข้อความธรรมดา กำหนดรหัสผ่านว่าให้ส่งเป็นแบบข้อความธรรมดาถ้าไม่สามารถตรวจสอบความถูกต้องด้วยวิธีการตรวจสอบสิทธิ์โดยส่งการเข้ารหัสผ่าน
ลงชื่อแพ็คเก็ตทั้งหมดแบบดิจิทัล (เรียกขอ Kerberos): รับรองว่าข้อมูลไดเรกทอรีจากเซิร์ฟเวอร์ LDAP จะไม่ถูกขัดขวางและแก้ไขโดยคอมพิวเตอร์อื่นขณะส่งข้อมูลไปที่คอมพิวเตอร์ของคุณ
การเข้ารหัสแพ็คเกตทั้งหมด (เรียกขอ SSL หรือ Kerberos): เรียกขอเซิร์ฟเวอร์ LDAP เพื่อเข้ารหัสข้อมูลไดเรกทอรีโดยการใช้ SSL หรือ Kerberos ก่อนการส่งไปที่คอมพิวเตอร์ของคุณ ก่อนคุณเลือกกล่องกาเครื่องหมาย “เข้ารหัสแพ็คเกตทั้งหมด (เรียกขอ SSL หรือ Kerberos)” ให้ถามผู้ดูแล Open Directory ของคุณถ้า SSL จำเป็น
ปิดกั้นการโจมตีแบบแทรกกลางของบุคคลที่สาม (เรียกขอ Kerberos): ปกป้องจากเซิร์ฟเวอร์หลอกลวงที่แสร้งเป็นเซิร์ฟเวอร์ LDAP ถ้าใช้กับตัวเลือก “ลงชื่อแพ็คเก็ตทั้งหมดแบบดิจิทัล” จะดีที่สุด
คลิก ตกลง