Як змінити політику безпеки під’єднання LDAP в Утиліті каталогів на Mac
За допомогою Утиліти каталогів можна конфігурувати більш жорстку політику безпеки для під’єднання LDAPv3, ніж політика безпеки каталогу LDAP. Наприклад, якщо політика безпеки каталогу LDAP дозволяє незашифровані паролі, можна налаштувати під’єднання LDAPv3 так, щоб заборонити незашифровані паролі.
Налаштування більш жорсткої політики безпеки захистить ваш комп’ютер від зловмисних хакерських спроб отримати над ним контроль за допомогою неавторизованого сервера LDAP.
Для відображення стану параметрів безпеки потрібно встановити зв’язок між комп’ютером і сервером LDAP. Тому, коли ви зміните параметри безпеки для під’єднання LDAPv3, політика пошуку автентифікаційних даних комп’ютера має включати під’єднання LDAPv3.
Припустимі параметри безпеки під’єднання LDAPv3 визначаються згідно з можливостями та вимогами безпеки сервера LDAP. Наприклад, якщо сервер LDAP не підтримує автентифікацію Kerberos, деякі параметрів безпеки під’єднання LDAPv3 вимкнено.
У програмі «Утиліта каталогів»
на Mac натисніть «Політика пошуку».Перевірте, чи зареєстровано потрібний каталог LDAPv3 в політиці пошуку.
Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Натисніть «Сервіси».
Виберіть LDAPv3, а тоді клацніть кнопку «Змінити параметри вибраної служби»
.Якщо список конфігурацій сервера приховано, натисніть розкривний трикутник поруч із «Показати опції».
Виберіть конфігурацію для потрібного каталогу та натисніть кнопку «Змінити».
Натисніть «Тип захисту», відтак змініть будь-який із наведених нижче параметрів.
Примітка. Параметри безпеки тут і на відповідному сервері LDAP визначаються після налаштування під’єднання LDAP. Ці параметри не оновлюються в разі змінення параметрів сервера.
Якщо будь-який з останніх чотирьох параметрів вибрано, але вимкнено, каталог LDAP вимагатиме їх. Якщо будь-який із цих параметрів не вибрано й вимкнено, сервер LDAP не підтримує їх.
Для під’єднання застосовувати автентифікацію: визначає, чи під’єднання LDAPv3 автентифікується з каталогом LDAP, надаючи визначені унікальне ім’я та пароль. Цей параметр не відображається, якщо під’єднання LDAPv3 використовує довірене прив’язування до каталогу LDAP.
Прив’язано до каталогу як: визначає облікові дані, які з’єднання LDAPv3 використовує для довіреного прив’язування до каталогу LDAP. Тут не можна змінювати цей параметр та облікові дані. Натомість можна відв’язатися, а потім знову прив’язатися з іншими обліковими даними. Див. Припинення довіреного прив’язування до каталогу LDAP і Налаштування автентифікованих прив’язувань для каталогу LDAP. Цей параметр не відображається, якщо під’єднання LDAPv3 не використовує довірене прив’язування.
Не пересилати пароль відкритим текстом: визначає, чи пароль відправляється відкритим текстом, якщо його не вдається перевірити за допомогою методу автентифікації, який відправляє зашифрований пароль.
Ставити цифровий підпис на всі пакети (необхідний Kerberos): підтверджує, що дані каталогів із сервера LDAP не було перехоплено та змінено іншим комп’ютером на шляху до вашого комп’ютера.
Шифрувати всі пакети (необхідний SSL або Kerberos): вимагає, щоб сервер LDAP шифрував дані каталогів за допомогою SSL або Kerberos перед їх відправленням на ваш комп’ютер. Перш ніж установити позначку «Шифрувати всі пакети (необхідний SSL або Kerberos)», запитайте в адміністратора Open Directory, чи потрібно використовувати протокол SSL.
Блокувати атаки man-in-the-middle (необхідний Kerberos): захищає від неавторизованих серверів, що видають себе за сервер LDAP. Цей параметр найкраще використовувати з параметром «Ставити цифровий підпис на всі пакети».
Натисніть кнопку ОК.