在 Mac 上的「目錄工具程式」中更改 LDAP 連線安全性規則
使用「目錄工具程式」,您可以為 LDAPv3 連線設定比 LDAP 目錄安全性規則更嚴格的安全性規則。例如,若 LDAP 目錄的安全性規則允許純文字密碼,您可以將 LDAPv3 連線設為不允許純文字密碼。
設定更嚴格的安全性規則可以為您的電腦帶來更多的保護,以防止有惡意的駭客嘗試使用虛假的 LDAP 伺服器來控制您的電腦。
電腦需要與 LDAP 伺服器通訊以顯示安全性選項的狀態。因此當您在更改 LDAPv3 連線時,電腦的認證搜尋規則應該包含 LDAPv3 連線。
LDAPv3 連線其安全選項所允許的設定取決於 LDAP 伺服器的安全性功能和要求。例如,若 LDAP 伺服器無法支援 Kerberos 認證,LDAPv3 連線的數個安全性選項便會是已停用狀態。
在 Mac 上的「目錄工具程式」App
中,按一下「搜尋規則」。確定您想要的 LDAPv3 目錄列於搜尋規則內。
請參閱:定義搜尋規則。
按一下鎖頭圖像。
輸入管理者的使用者名稱和密碼,然後按一下「修改設定」(或使用 Touch ID)。
按一下「服務」。
選擇 LDAPv3,然後按一下「編輯」按鈕(看起來像隻鉛筆)。
若伺服器配置列表為隱藏狀態,請按一下「顯示選項」。
為您要的目錄選擇配置,然後按一下「編輯」。
按一下「安全性」,然後更改以下任何設定。
【注意】設定 LDAP 連線時,會一併決定此處與對應 LDAP 伺服器的安全性設定。當伺服器設定發生更動時,該設定不會進行更新。
若已選擇最後四個選項的任何選項,但該選項卻已停用,則表示 LDAP 目錄要求此設定。若未選擇任何選項且選項已停用,則表示 LDAP 伺服器並不支援。
連接時使用認證:決定 LDAPv3 連線是否透過提供指定的辨別名稱和密碼,使用 LDAP 目錄驗證其連線。若 LDAPv3 連線使用與 LDAP 目錄的信任綁定,則您無法看到此選項。
已綁定至目錄為:指定與 LDAP 目錄信任綁定的 LDAPv3 連線的憑證。您無法在此更改此選項和憑證。但是,您可以解除綁定然後使用不同的憑證再次綁定。請參閱:停止與 LDAP 目錄的信任綁定以及對 LDAP 目錄設定認證綁定。若 LDAPv3 連線使用的是信任綁定,此選項才會出現。
停用純文字密碼:若無法使用會傳送加密密碼的認證方法來驗證密碼,決定是否要以純文字傳送密碼。
數位簽名所有封包(需要 Kerberos):驗證來自 LDAP 伺服器的目錄資料在傳送到您電腦的途中不會被其他電腦攔截和修改。
加密所有封包(需要 SSL 或 Kerberos):要求 LDAP 伺服器使用 SSL 或 Kerberos 在傳送目錄資料到您電腦之前將資料加密。在您勾選「加密所有封包(需要 SSL 或 Kerberos)」註記框前,請詢問您的 Open Directory 管理者是否需要使用 SSL。
阻斷攔截式攻擊(需要 Kerberos):防止電腦將虛假的伺服器誤認為 LDAP 伺服器。與「數位簽名所有封包」選項一同使用可取得最佳效果。
按一下「好」。