Thay đổi chính sách bảo mật kết nối LDAP trong Tiện ích thư mục trên máy Mac
Sử dụng Tiện ích Thư mục, bạn có thể định cấu hình chính sách bảo mật nghiêm ngặt hơn cho kết nối LDAPv3 so với chính sách bảo mật của thư mục LDAP. Ví dụ: nếu chính sách bảo mật của thư mục LDAP cho phép mật khẩu văn bản rõ ràng, bạn có thể thiết lập kết nối LDAPv3 để không cho phép mật khẩu văn bản rõ ràng.
Đặt chính sách bảo mật nghiêm ngặt hơn sẽ bảo vệ máy tính của bạn trước các tin tặc ác ý đang cố gắng sử dụng máy chủ LDAP giả mạo để giành quyền kiểm soát máy tính của bạn.
Máy tính phải giao tiếp với máy chủ LDAP để hiển thị trạng thái của tùy chọn bảo mật. Do đó, khi bạn thay đổi tùy chọn bảo mật cho kết nối LDAPv3, chính sách tìm kiếm xác thực của máy tính phải bao gồm kết nối LDAPv3.
Các cài đặt được phép cho tùy chọn bảo mật của kết nối LDAPv3 phải tuân theo khả năng và yêu cầu bảo mật của máy chủ LDAP. Ví dụ: nếu máy chủ LDAP không hỗ trợ xác thực Kerberos, một số tùy chọn bảo mật kết nối LDAPv3 bị tắt.
Trong ứng dụng Tiện ích thư mục
trên máy Mac của bạn, hãy bấm vào Chính sách tìm kiếm.Bảo đảm rằng thư mục LDAPv3 bạn muốn dùng được liệt kê trong chính sách tìm kiếm.
Bấm vào biểu tượng khóa.
Nhập tên và mật khẩu của quản trị viên, sau đó bấm vào Sửa đổi cấu hình (hoặc sử dụng Touch ID).
Bấm Dịch vụ.
Chọn LDAPv3, sau đó bấm vào nút “Sửa cài đặt cho dịch vụ đã chọn”
.Nếu danh sách cấu hình máy chủ bị ẩn, hãy bấm vào tam giác hiển thị bên cạnh Hiển thị tùy chọn.
Chọn cấu hình cho thư mục bạn muốn, sau đó bấm Sửa.
Bấm Bảo mật, sau đó thay đổi bất kỳ cài đặt nào sau đây.
Ghi chú: Các cài đặt bảo mật tại đây và trên máy chủ LDAP tương ứng được xác định khi kết nối LDAP được thiết lập. Những cài đặt này được cập nhật khi cài đặt máy chủ được thay đổi.
Nếu bất kỳ tùy chọn nào trong số bốn tùy chọn cuối cùng được chọn nhưng bị vô hiệu hóa, thư mục LDAP cần có chúng. Nếu bất kỳ tùy chọn nào trong số này được bỏ chọn và bị vô hiệu hóa, máy chủ LDAP sẽ không hỗ trợ chúng.
Sử dụng xác thực khi kết nối: Xác định xem kết nối LDAPv3 có tự xác thực với thư mục LDAP bằng cách cung cấp tên và mật khẩu riêng được chỉ định không. Tùy chọn này không hiển thị nếu kết nối LDAPv3 sử dụng liên kết được tin cậy với thư mục LDAP.
Đã liên kết vào thư mục là: Chỉ định thông tin của kết nối LDAPv3 sẽ sử dụng cho liên kết được tin cậy với thư mục LDAP. Không thể thay đổi tùy chọn này và thông tin tại đây. Thay vào đó, bạn có thể hủy liên kết rồi liên kết lại với thông tin khác. Xem Dừng liên kết được tin cậy với thư mục LDAP và Thiết lập liên kết được xác thực cho thư mục LDAP. Tùy chọn này không hiển thị trừ khi kết nối LDAPv3 sử dụng liên kết được tin cậy.
Tắt tùy chọn mật khẩu văn bản rõ ràng: Xác định xem liệu mật khẩu có được gửi dưới dạng văn bản rõ ràng không nếu không thể xác thực bằng phương thức xác thực gửi mật khẩu được mã hóa.
Xác thực điện tử tất cả các gói (yêu cầu Kerberos): Xác nhận rằng dữ liệu thư mục từ máy chủ LDAP chưa bị một máy tính khác chặn và sửa đổi trong khi đang trên đường đến máy tính của bạn.
Mã hóa tất cả các gói (yêu cầu SSL hoặc Kerberos): Yêu cầu máy chủ LDAP mã hóa dữ liệu thư mục bằng SSL hoặc Kerberos trước khi gửi đến máy tính của bạn. Trước khi bạn chọn hộp kiểm “Mã hóa tất cả các gói (yêu cầu SSL hoặc Kerberos)”, hãy hỏi quản trị viên Open Directory nếu cần SSL.
Chặn các cuộc tấn công man-in-the-middle (yêu cầu Kerberos): Bảo vệ chống việc biểu thị máy chủ giả mạo là máy chủ LDAP. Tốt nhất nếu được sử dụng với tùy chọn “Xác thực điện tử tất cả các gói”.
Bấm OK.