OS X 服务器：通过 SSL 对 Active Directory 客户端进行数据包加密

了解如何使用 SSL（安全套接字层）来加密 Active Directory 客户端和服务器之间的数据包。

使用 dsconfigad(8) 命令，你可以在 Active Directory 客户端和服务器之间允许、停用或要求数据包加密。

如果使用数据包加密，则默认情况下，Active Directory 客户端和服务器之间的数据包会使用 Kerberos 进行加密和签名。要改用 SSL，请以管理员用户身份在“终端”中发出以下命令：

dsconfigad -packetencrypt ssl

如果服务器使用不受信任的证书，你需要使用“钥匙串访问”将根证书和任何必要的中间证书添加到客户端的系统钥匙串中。如果你希望停用证书验证（这项操作只能用于测试），可以在客户端上将 /etc/openldap/ldap.conf 中的以下行：

TLS_REQCERT demand

更改为以下行：

TLS_REQCERT never

。

进一步了解

如需更多信息，你可以在“终端”中键入 man dsconfigad，以查看 dsconfigad(8) 手册页面。