Змінення політики безпеки підключення LDAP в Службі каталогів на Mac
За допомогою Служби каталогів можна настроїти більш жорстку політику безпеки для підключення LDAPv3, ніж політика безпеки каталогу LDAP. Наприклад, якщо політика безпеки каталогу LDAP дозволяє незашифровані паролі, можна настроїти підключення LDAPv3 так, щоб заборонити незашифровані паролі.
Настроювання більш жорсткої політики безпеки захистить ваш комп’ютер від зловмисних хакерських спроб отримати над ним контроль за допомогою неавторизованого сервера LDAP.
Для відображення стану параметрів безпеки потрібно встановити зв’язок між комп’ютером і сервером LDAP. Тому, коли ви зміните параметри безпеки для підключення LDAPv3, політика пошуку аутентифікаційних даних комп’ютера має включати підключення LDAPv3.
Припустимі параметри безпеки підключення LDAPv3 визначаються згідно з можливостями та вимогами безпеки сервера LDAP. Наприклад, якщо сервер LDAP не підтримує аутентифікацію Kerberos, деякі параметрів безпеки підключення LDAPv3 вимкнено.
Запуск Служби каталогів для мене
У програмі «Служба каталогів» на Mac натисніть «Політика пошуку».
Перевірте, чи зареєстровано потрібний каталог LDAPv3 в політиці пошуку.
Клацніть іконку замка.
Введіть ім’я та пароль адміністратора, а потім клацніть «Змінити конфігурацію» (або скористайтеся Touch ID).
Натисніть «Сервіси».
Виберіть LDAPv3 та клацніть кнопку редагування (у вигляді олівця).
Якщо список конфігурацій сервера сховано, виберіть команду «Показати параметри».
Виберіть конфігурацію для потрібного каталогу та натисніть кнопку «Змінити».
Натисніть «Тип захисту», відтак змініть будь-який із наведених нижче параметрів.
Примітка. Параметри безпеки тут і на відповідному сервері LDAP визначаються після настроювання підключення LDAP. Ці параметри не оновлюються в разі змінення параметрів сервера.
Якщо будь-який з останніх чотирьох параметрів вибрано, але вимкнено, каталог LDAP вимагатиме їх. Якщо будь-який із цих параметрів не вибрано й вимкнено, сервер LDAP не підтримує їх.
Для під’єднання застосовувати аутентифікацію: визначає, чи підключення LDAPv3 аутентифікується з каталогом LDAP, надаючи визначені унікальне ім’я та пароль. Цей параметр не відображається, якщо підключення LDAPv3 використовує довірене прив’язування до каталогу LDAP.
Прив’язано до каталогу як: визначає облікові дані, які з’єднання LDAPv3 використовує для довіреного прив’язування до каталогу LDAP. Тут не можна змінювати цей параметр та облікові дані. Натомість можна відв’язатися, а потім знову прив’язатися з іншими обліковими даними. Див. Припинення довіреного прив’язування до каталогу LDAP і Настроювання автентифікованих прив’язувань для каталогу LDAP. Цей параметр не відображається, якщо підключення LDAPv3 не використовує довірене прив’язування.
Не пересилати пароль відкритим текстом: визначає, чи пароль відправляється відкритим текстом, якщо його не вдається перевірити за допомогою методу аутентифікації, який відправляє зашифрований пароль.
Ставити цифровий підпис на всі пакети (необхідний Kerberos): підтверджує, що дані каталогів із сервера LDAP не було перехоплено та змінено іншим комп’ютером на шляху до вашого комп’ютера.
Шифрувати всі пакети (необхідний SSL або Kerberos): вимагає, щоб сервер LDAP шифрував дані каталогів за допомогою SSL або Kerberos перед їх відправленням на ваш комп’ютер. Перш ніж установити позначку «Шифрувати всі пакети (необхідний SSL або Kerberos)», запитайте в адміністратора Open Directory, чи потрібно використовувати протокол SSL.
Блокувати атаки man-in-the-middle (необхідний Kerberos): захищає від неавторизованих серверів, що видають себе за сервер LDAP. Цей параметр найкраще використовувати з параметром «Ставити цифровий підпис на всі пакети».
Натисніть кнопку ОК.