在 Mac 上的“目录实用工具”中更改 LDAP 连接安全策略
使用“目录实用工具”,可以配置比 LDAP 目录的安全策略更严格的 LDAPv3 连接安全策略。例如,如果 LDAP 目录的安全策略允许明文密码,则可以设置 LDAPv3 连接,使之不允许明文密码。
设置更严格的安全策略将防止恶意黑客使用伪 LDAP 服务器控制你的电脑。
电脑必须与 LDAP 服务器通信,才能准确地显示安全选项的状态。因此,在更改 LDAPv3 连接的安全选项时,电脑的认证搜索策略必须包括 LDAPv3 连接。
LDAPv3 连接的安全选项中可允许的设置是由 LDAP 服务器的安全功能和要求决定的。例如,如果 LDAP 服务器不支持 Kerberos 认证,则 LDAPv3 连接安全选项中有多个选项被停用。
在 Mac 上的“目录实用工具” App
中,点按“搜索策略”。确定在搜索策略中列出了你需要的 LDAPv3 目录。
请参阅定义搜索策略。
点按锁图标。
输入管理员的用户名和密码,然后点按“修改配置”(或使用触控 ID)。
点按“服务”。
选择“LDAPv3”,然后点按“编辑所选服务的设置”按钮
。如果未看到服务器配置列表,请点按“显示选项”旁边的显示三角形。
选择你需要的目录的配置,然后点按“编辑”。
点按“安全性”,然后更改以下任何设置。
【注】当 LDAP 连接建立时,即确定了此处以及对应 LDAP 服务器上的安全设置。当服务器设置更改时,这些设置不会更新。
如果最后四个选项中的任何一个已选定但已停用,则说明 LDAP 目录要求使用它们。如果上述选项中的任何选项没有选定并且已停用,则表示 LDAP 服务器不支持它们。
连接时使用认证:确定 LDAPv3 连接是否提供指定的可分辨名称和密码以在 LDAP 目录进行自我认证。如果 LDAPv3 连接使用与 LDAP 目录的信任绑定,则该选项不可见。
绑定到目录,身份为:指定 LDAPv3 连接用于与 LDAP 目录进行信任绑定的凭证。此处不能更改该选项和凭证。可以先解除绑定,然后以不同的凭证再次绑定。请参阅停止与 LDAP 目录的信任绑定和建立与 LDAP 目录的认证绑定。如果 LDAPv3 连接没有使用信任绑定,则该选项不可见。
停用明码文本密码:确定如果使用发送加密密码的认证方法无法验证密码时是否以明文发送该密码。
通过数码方式为所有数据包签名(要求 Kerberos):保证来自 LDAP 服务器的目录数据在传输到你的电脑的途中没有被另一电脑截取或修改。
加密所有数据包(要求 SSL 或 Kerberos):要求 LDAP 服务器在将目录数据发送到你的电脑之前使用 SSL 或 Kerberos 加密这些数据。在选择“加密所有数据包(要求 SSL 或 Kerberos)”复选框之前,请询问 Open Directory 管理员是否需要 SSL。
阻止中间人攻击(要求 Kerberos):防止伪服务器冒充 LDAP 服务器。与“通过数码签名方式为所有数据包签名”选项一起使用将获得最佳效果。
点按“好”。