在 Mac 上的「目錄工具程式」中更改 LDAP 連線保安規則
使用「目錄工具程式」,你可以為 LDAPv3 連線設定比 LDAP 目錄保安規則更嚴格的保安規則。例如,如 LDAP 目錄的保安規則允許純文字密碼,你可以將 LDAPv3 連線設為不允許純文字密碼。
設定更嚴格的保安規則可以為你的電腦帶來更多的保護,以防止有惡意的駭客嘗試使用虛假的 LDAP 伺服器來控制你的電腦。
電腦需要與 LDAP 伺服器通訊以顯示保安選項的狀態。因此當你在更改 LDAPv3 連線時,電腦的認證搜尋規則必須包含 LDAPv3 連線。
LDAPv3 連線其安全選項所允許的設定取決於 LDAP 伺服器的保安功能和要求。例如,如 LDAP 伺服器無法支援 Kerberos 認證,LDAPv3 連線的數個保安選項便會是已停用狀態。
在 Mac 上的「目錄工具程式」App
中,按一下「搜尋規則」。確定你想要的 LDAPv3 目錄列於搜尋規則內。
請參閱:定義搜尋規則。
按一下鎖頭圖像。
輸入管理員的用户名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
按一下「服務」。
選擇 LDAPv3,然後按一下「編輯所選服務的設定」按鈕
。如伺服器配置列表被隱藏,請按一下「顯示選項」旁的顯示三角形。
為你要的目錄選擇配置,然後按一下「編輯」。
按一下「保安」,然後更改以下任何設定。
附註:設定 LDAP 連線時,會一併決定此處與對應 LDAP 伺服器的保安設定。當伺服器設定發生變更時,該設定不會進行更新。
如已選擇最後四個選項的任何選項,但該選項卻已停用,則表示 LDAP 目錄要求此設定。如未選擇任何選項且選項已停用,則表示 LDAP 伺服器並不支援。
連接時使用認證:決定 LDAPv3 連線是否透過提供指定的辨別名稱和密碼,使用 LDAP 目錄驗證其連線。如 LDAPv3 連線使用與 LDAP 目錄的信任綁定,則你無法看到此選項。
已綁定至目錄為:指定有 LDAP 目錄的 LDAPv3 連線的憑證。你無法在此更改此選項和憑證。但是,你可以解除綁定然後使用不同的憑證再次綁定。請參閱:停止與 LDAP 目錄的信任綁定以及對 LDAP 目錄設定認證綁定。如 LDAPv3 連線使用的是信任綁定,此選項才會出現。
停用純文字密碼:如無法使用會傳送加密密碼的認證方法來驗證密碼,決定是否要以純文字傳送密碼。
電子簽名所有封包(需要 Kerberos):驗證來自 LDAP 伺服器的目錄資料在傳送到你電腦的途中不會被其他電腦攔截和修改。
加密所有封包(需要 SSL 或 Kerberos):要求 LDAP 伺服器使用 SSL 或 Kerberos 在傳送目錄資料到你電腦之前將資料加密。在你剔選「加密所有封包(需要 SSL 或 Kerberos)」註記框前,請詢問你的 Open Directory 管理員是否需要使用 SSL。
阻斷攔截式攻擊(需要 Kerberos):防止電腦將虛假的伺服器誤認為 LDAP 伺服器。與「電子簽名所有封包(需要 Kerberos)」選項一同使用可取得最佳效果。
按一下「好」。