OS X Server：透過 SSL 為 Active Directory 用戶端進行封包加密

了解如何使用 SSL（安全通訊協定）加密 Active Directory 用戶端與伺服器之間的封包。

你可以使用 dsconfigad(8) 指令來允許、停用或要求在 Active Directory 用戶端與伺服器之間進行封包加密。

如果使用了封包加密，Active Directory 用戶端與伺服器之間的封包會預設使用 Kerberos 來加密和簽署。若要改用 SSL，請以管理員使用者的身分在「終端機」中發出以下指令：

dsconfigad -packetencrypt ssl

如果伺服器使用不受信任的憑證，你需要使用「鑰匙圈存取」將根憑證和任何必要的中繼憑證加到客戶端的「系統」鑰匙圈。如果你想要停用憑證驗證（只能在測試時執行），可以在用戶端的 /etc/openldap/ldap.conf 中將此行：

TLS_REQCERT demand

改為：

TLS_REQCERT never

。

更多內容

如需更多資訊，你可以在「終端機」中輸入 man dsconfigad 以檢視 dsconfigad(8) 說明頁。