การเปลี่ยนแปลงนโยบายความปลอดภัยในการเชื่อมต่อ LDAP
โดยการใช้ยูทิลิตี้ไดเรกทอรี คุณสามารถกำหนดค่านโยบายความปลอดภัยสำหรับการเชื่อมต่อ LDAPv3 ที่เข้มงวดมากกว่านโยบายความปลอดภัยของไดเรกทอรี LDAP ตัวอย่างเช่น ถ้านโยบายความปลอดภัยของไดเรกทอรี LDAP อนุญาตรหัสผ่านข้อความธรรมดา คุณสามารถตั้งค่าการเชื่อมต่อ LDAPv3 ให้ไม่อนุญาตรหัสผ่านข้อความธรรมดาได้
การตั้งค่านโยบายความปลอดภัยที่มีความเข้มงวดยิ่งขึ้นป้องกันคอมพิวเตอร์ของคุณจากแฮกเกอร์ที่เป็นอันตรายที่พยายามใช้เซิร์ฟเวอร์ LDAP ที่หลอกลวงเพื่อได้รับควบคุมของคอมพิวเตอร์ของคุณ
คอมพิวเตอร์ต้องสื่อสารกับเซิร์ฟเวอร์ LDAP เพื่อแสดงสถานะของตัวเลือกความปลอดภัยดังนั้น เมื่อคุณเปลี่ยนแปลงตัวเลือกความปลอดภัยสำหรับการเชื่อมต่อ LDAPv3 นโยบายการค้นถ้าารรับรองความถูกต้องของคอมพิวเตอร์ควรรวมการเชื่อมต่อ LDAPv3
ค่าติดตั้งที่อนุญาตของตัวเลือกความปลอดภัยของการเชื่อมต่อ LDAPv3 ขึ้นอยู่กับความสามารถและความต้องการความปลอดภัยของเซิร์ฟเวอร์ LDAPตัวอย่างเช่น ถ้าเซิร์ฟเวอร์ไม่รองรับการตรวจสอบความถูกต้องของ Kerberos ตัวเลือกความปลอดภัยของการเชื่อมต่อ LDAPv3 หลายตัวเลือกจะถูกปิดใช้งาน
คลิก นโยบายการค้นหา
ตรวจสอบให้แน่ใจว่าไดเรกทอรี LDAPv3 ที่คุณต้องการนั้นถูกลงรายการในหลักเกณฑ์การค้นหาแล้ว
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเพิ่มไดเรกทอรี LDAPv3 ไปที่หลักเกณฑ์การค้นถ้าารรับรองความถูกต้อง ให้ดู การกำหนดหลักเกณฑ์การค้นหา
คลิกไอคอนล็อค
ป้อนชื่อผู้ดูแลระบบและรหัสผ่านของคุณ จากนั้นคลิกปรับการกำหนดค่า (หรือใช้ Touch ID)
คลิก บริการ
เลือก LDAPv3 จากนั้นคลิกปุ่ม แก้ไข (รูปร่างคล้ายดินสอ)
ถ้ารายการของการกำหนดค่าเซิร์ฟเวอร์ถูกซ่อน ให้คลิก ตัวเลือกการแสดง
เลือกการกำหนดค่าสำหรับไดเรกทอรีที่คุณต้องการ จากนั้นคลิก แก้ไข
คลิก ความปลอดภัย จากนั้นเปลี่ยนแปลงการตั้งค่าใดๆ ต่อไปนี้
หมายเหตุ: ค่าติดตั้งความปลอดภัยที่นี่และบนเซิร์ฟเวอร์ LDAP ที่สอดคล้องกันถูกกำหนดเมื่อการเชื่อมต่อ LDAP ตั้งค่าค่าติดตั้งไม่ถูกอัพเดทเมื่อค่าติดตั้งเซิร์ฟเวอร์ถูกเปลี่ยนแปลง
ถ้าได้เลือกตัวเลือกสี่ตัวเลือกล่าสุดใดๆ แต่ปิดการใช้งานไว้ ไดเรกทอรี LDAP จะเรียกขอตัวเลือกเหล่านั้นถ้าไม่ได้เลือกตัวเลือกใดๆและปิดการใช้งานไว้ เซิร์ฟเวอร์ LDAP จะไม่รองรับตัวเลือกเหล่านั้น
การใช้การรับรองความถูกต้องเมื่อเชื่อมต่อ: กำหนดการเชื่อมต่อ LDAPv3 ว่ารับรองความถูกต้องกับไดเรกทอรี LDAP โดยการจัดส่งชื่อและรหัสผ่านเฉพาะที่ระบุหรือไม่ตัวเลือกนี้จะไม่สามารถมองเห็นถ้าการเชื่อมต่อ LDAPv3 ใช้การรวมที่เชื่อถือได้กับไดเรกทอรี LDAP
การผูกกับไดเรกทอรีเป็น: ระบุข้อมูลประจำตัวที่การเชื่อมต่อ LDAPv3 ใช้สำหรับการรวมที่เชื่อถือได้ด้วยไดเรกทอรี LDAP ตัวเลือกและข้อมูลประจำตัวนี้ไม่สามารถเปลี่ยนแปลงได้ที่นี่แต่คุณสามารถยกเลิกการรวมและรวมอีกครั้งด้วยข้อมูลประจำตัวอื่นได้แทนสำหรับข้อมูลเพิ่มเติม ให้ดูที่ การหยุดการรวมที่เชื่อถือได้ด้วยไดเรกทอรี LDAP และ การตั้งค่าการผูกการรับรองความถูกต้องสำหรับไดเรกทอรี LDAPตัวเลือกนี้จะไม่สามารถมองเห็นได้ นอกเสียจากการเชื่อมต่อ LDAPv3 จะใช้การรวมที่เชื่อถือได้
ปิดการใช้รหัสผ่านข้อความธรรมดากำหนดรหัสผ่านว่าให้ส่งเป็นแบบข้อความธรรมดาถ้าไม่สามารถตรวจสอบความถูกต้องด้วยวิธีการรับรองความถูกต้องโดยส่งการเข้ารหัสผ่าน
การลงชื่อแพ็คเกตทั้งหมดแบบดิจิตอล (เรียกขอ Kerberos): รับรองว่าข้อมูลไดเรกทอรีจากเซิร์ฟเวอร์ LDAP จะไม่ถูกขัดขวางและแก้ไขโดยคอมพิวเตอร์อื่นขณะส่งข้อมูลไปที่คอมพิวเตอร์ของคุณ
การเข้ารหัสแพ็คเกตทั้งหมด (เรียกขอ SSL หรือ Kerberos): เรียกขอเซิร์ฟเวอร์ LDAP เพื่อเข้ารหัสข้อมูลไดเรกทอรีโดยการใช้ SSL หรือ Kerberos ก่อนการส่งไปที่คอมพิวเตอร์ของคุณก่อนคุณเลือกกล่องกาเครื่องหมาย “เข้ารหัสแพ็คเกตทั้งหมด (เรียกขอ SSL หรือ Kerberos)” ให้ถามผู้ดูแล Open Directory ของคุณถ้า SSL จำเป็น
การปิดกั้นการโจมตีแบบแทรกกลางของบุคคลที่สาม (เรียกขอ Kerberos): ปกป้องจากเซิร์ฟเวอร์หลอกลวงที่แสร้งเป็นเซิร์ฟเวอร์ LDAPถ้าใช้กับตัวเลือก “ลงชื่อแพ็คเกตทั้งหมดแบบดิจิตอล” จะดีที่สุด
คลิก ตกลง