Endre sikkerhetsinnstillingene for LDAP-forbindelsen
Ved hjelp av Katalogverktøy kan du konfigurere strengere sikkerhetsinnstillinger for en LDAPv3-forbindelse enn sikkerhetsinnstillingene for LDAP-katalogen. Hvis for eksempel LDAP-katalogens sikkerhetsinnstillinger tillater passord i klartekst, kan du konfigurere en LDAPv3-forbindelse til å ikke tillate passord i klartekst.
Hvis du konfigurerer strengere sikkerhetsinnstillinger, beskytter du datamaskinen mot angrep via LDAP-tjenere som forsøker å overta kontrollen over datamaskinen.
Datamaskinen må kommunisere med LDAP-tjeneren for å kunne vise statusen for sikkerhetsinnstillingene. Når du endrer sikkerhetsinnstillinger for en LDAPv3-forbindelse, bør datamaskinens autentiseringssøkekriterier derfor inkludere LDAPv3-forbindelsen.
De tillatte innstillingene for en LDAPv3-forbindelses sikkerhetsinnstillinger er underlagt LDAP-tjenerens sikkerhetsegenskaper og -krav. Hvis LDAP-tjeneren for eksempel ikke støtter Kerberos-autentisering, vil flere av LDAPv3-forbindelsens sikkerhetsinnstillinger være deaktivert.
Klikk på Søkekriterier.
Forsikre deg om at LDAPv3-katalogen du vil bruke, er oppført i søkekriteriet.
Du finner mer informasjon om hvordan du legger til en LDAPv3-katalog i godkjenningssøkekriteriene i Definer søkekriterier.
Klikk på låsesymbolet.
Skriv inn brukernavnet og passordet til en administrator og klikk på Endre konfigurasjon (eller bruk Touch ID).
Klikk på Tjenester.
Marker LDAPv3 og klikk på Rediger-knappen (den ser ut som en blyant).
Hvis listen over tjenerkonfigurasjoner er skjult, klikker du på Vis valg.
Velg konfigurasjonen for katalogen du vil bruke, og klikk deretter på Rediger.
Klikk på Sikkerhet, og endre deretter innstillingene etter behov.
Merk: Sikkerhetsinnstillingene her og på den korresponderende LDAP-tjeneren angis når LDAP-forbindelsen opprettes. Innstillingene oppdateres ikke når tjenerinnstillingene endres.
Hvis noen av de fire siste innstillingene er markert men deaktivert, kreves de av LDAP-katalogen. Hvis noen av disse innstillingene er umarkert og deaktivert, støttes de ikke av LDAP-tjeneren.
Bruk autentisering ved tilkobling: Angir om LDAPv3-forbindelsen autentiserer seg selv med LDAP-katalogen ved å oppgi det angitte brukernavnet og passordet. Dette valget er ikke tilgjengelig hvis LDAPv3-forbindelsen bruker godkjent binding med LDAP-katalogen.
Bundet til katalogen som: Angir referansene LDAPv3-forbindelsen bruker for godkjent binding med LDAP-katalogen. Innstillingen og referansene kan ikke endres her. Du kan fjerne bindingen og binde dem på nytt med forskjellige referanser. Hvis du vil vite mer, leser du Stopp godkjent binding med en LDAP-katalog og Konfigurer autentisert binding for en LDAP-katalog. Dette valget er ikke tilgjengelig hvis ikke LDAPv3-forbindelsen bruker godkjent binding.
Deaktiver passord i klartekst: Angir om passordet skal sendes i klartekst hvis det ikke kan autentiseres ved hjelp av en autentiseringsmetode som sender et kryptert passord.
Signer alle pakker digitalt (krever Kerberos): Bekrefter at katalogdata fra LDAP-tjeneren ikke er blitt fanget opp og endret av en annen datamaskin mens den var på vei til din datamaskin.
Krypter alle pakker (krever SSL eller Kerberos): Krever at LDAP-tjeneren krypterer katalogdata med SSL eller Kerberos før det sendes til datamaskinen din. Før du markerer avkrysningsruten for «Krypter alle pakker (krever SSL eller Kerberos)», tar du kontakt med Open Directory-administratoren for å finne ut om SSL skal brukes.
Blokker Man-in-the-Middle-angrep (krever Kerberos): Beskytter mot en falsk tjener som gir seg ut for å være LDAP-tjeneren. Fungerer best hvis det brukes sammen med «Signer alle pakker digitalt».
Klikk på OK.