Zmienianie zasad bezpieczeństwa połączenia z LDAP
Za pomocą Narzędzia katalogowego można skonfigurować bardziej restrykcyjne zasady bezpieczeństwa połączeń z LDAPv3, niż zasady bezpieczeństwa usługi katalogowej LDAP. Na przykład, jeśli zasady bezpieczeństwa usługi katalogowej LDAP pozwalają na przesyłanie hasła jawnym tekstem, można ustawić połączenie z LDAPv3, które nie będzie zezwalało na takie zasady.
Ustawienie bardziej restrykcyjnych zasad bezpieczeństwa zabezpiecza komputer przed próbą przejęcia kontroli nad komputerem przez hakera wykorzystującego fałszywy serwer LDAP.
Komputer musi komunikować się z serwerem LDAP, aby pokazać stan opcji bezpieczeństwa. Zatem po zmianie opcji zabezpieczeń połączenia z LDAPv3 zasady wyszukiwania danych uwierzytelnienia komputera powinny uwzględniać połączenie z LDAPv3.
Możliwe ustawienia opcji bezpieczeństwa połączenia z LDAPv3 zależą od możliwości i wymagań bezpieczeństwa serwera LDAP. Na przykład, jeśli serwer LDAP nie obsługuje uwierzytelnienia Kerberos, będzie wyłączonych wiele opcji bezpieczeństwa połączenia z LDAPv3.
Otwieranie Narzędzia katalogowego
Kliknij w Zasady wyszukiwania.
Upewnij się, że żądana usługa katalogowa LDAPv3 znajduje się na liście zasad wyszukiwania.
Aby uzyskać więcej informacji o dodawaniu usługi katalogowej LDAPv3 do zasad wyszukiwania uwierzytelnienia, zobacz: Definiowanie zasad wyszukiwania.
Kliknij w ikonę kłódki.
Wprowadź nazwę i hasło administratora (lub użyj Touch ID), a następnie kliknij w Modyfikuj konfigurację.
Kliknij w Usługi.
Zaznacz LDAPv3, a następnie kliknij w przycisk edycji (oznaczony ikoną ołówka).
Jeśli lista konfiguracji serwerów jest ukryta, kliknij w Pokaż opcje.
Zaznacz konfigurację wybranej usługi katalogowej, a następnie kliknij w Edycja.
Kliknij w Zabezpieczenia, a następnie zmień dowolne z następujących ustawień.
Uwaga: Ustawienia bezpieczeństwa tu i na odpowiednim serwerze LDAP zostaną określone po ustanowieniu połączenia z LDAP. Ustawienia nie zostaną uaktualnione po zmianie ustawień serwera.
Jeśli żadna z czterech ostatnich opcji jest zaznaczona ale nieaktywna, to usługa katalogowa LDAP ich wymaga. Jeśli dowolna z tych opcji jest niezaznaczona i nieaktywna, to serwer LDAP ich nie obsługuje.
Używaj uwierzytelnienia podczas łączenia: Wskazuje, czy połączenie z LDAPv3 samo się uwierzytelnia z usługą katalogową LDAP za pomocą określonej unikalnej nazwy i hasła. Ta opcja nie jest widoczna, gdy połączenie z LDAPv3 używa zaufanego dowiązania z usługą katalogową LDAP.
Dowiąż do usługi katalogowej jako: Określa dane uwierzytelnienia używanych podczas połączenia z LDAPv3 dla dowiązania zaufanego z usługą katalogową LDAP. Tej opcji oraz danych uwierzytelnienia nie można tutaj zmienić. Można odłączyć się od katalogu i ponownie dowiązać z innymi danymi uwierzytelnienia. Aby dowiedzieć się więcej, zobacz Przerywanie zaufanego dowiązania z usługą katalogową LDAP i Konfigurowanie uwierzytelnionego dowiązania do usługi katalogowej LDAP. Ta opcja nie jest widoczna, dopóki połączenie z LDAPv3 używa zaufanego dowiązania.
Wyłącz wysyłanie hasła tekstem jawnym: Wskazuje, czy hasło jest wysyłane tekstem jawnym, gdy nie może być sprawdzone za pomocą metody uwierzytelnienia wysyłającej hasła zaszyfrowane.
Podpisz cyfrowo wszystkie pakiety (wymagany Kerberos): Poświadcza, że dane usługi katalogowej w drodze z serwera LDAP do naszego komputera nie zostały przechwycone ani zmienione przez inny komputer.
Szyfruj wszystkie pakiety (wymagany SSL lub Kerberos): Wymaga, aby przed wysłaniem danych usługi katalogowej do naszego komputera serwer LDAP szyfrował je za pomocą SSL lub Kerberos. Przed zaznaczeniem pola wyboru Szyfruj wszystkie pakiety (wymagany SSL lub Kerberos) zapytaj administratora domeny Open Directory, czy SSL jest potrzebny.
Blokuj ataki typu „man-in-the-middle” (wymagany Kerberos): Chroni przed fałszywym serwerem podszywającym się pod serwer LDAP. Najlepiej używać z opcją Podpisuj cyfrowo wszystkie pakiety.
Kliknij w OK.