Alterar a política de segurança da ligação LDAP
Utilizando o Utilitário de Diretório, é possível configurar uma política de segurança para uma ligação LDAPv3 mais rígida do que a política de segurança do diretório LDAP. Por exemplo, se a política de segurança do diretório LDAP permitir palavras-passe legíveis, pode configurar uma ligação LDAPv3 para não permitir palavras-passe legíveis.
A definição de uma política de segurança mais rígida protege o seu computador contra piratas informáticos maliciosos que tentem utilizar um servidor LDAP fictício para assumir o controlo do seu computador.
O computador tem de comunicar com o servidor LDAP para mostrar o estado das opções de segurança. Por conseguinte, quando altera as opções de segurança de uma ligação LDAPv3, a política de pesquisa de autenticação do computador deverá incluir a ligação LDAPv3.
As definições admissíveis para as opções de segurança de uma ligação LDAPv3 estão sujeitas às capacidades e requisitos de segurança do servidor LDAP. Por exemplo, se o servidor LDAP não suportar autenticação Kerberos, várias opções de segurança da ligação LDAPv3 ficam desativadas.
Abrir o Utilitário de Diretório
Clique em “Política de pesquisa”.
Certifique-se de que o diretório LDAPv3 que pretende está listado na política de pesquisa.
Encontrará mais informação acerca da adição de um diretório LDAPv3 à política de pesquisa de autenticação em Definir políticas de pesquisa.
Clique no ícone de cadeado.
Digite um nome e palavra‑passe de administrador e, em seguida, clique em “Modificar configuração” (ou use o Touch ID).
Clique em Serviços.
Selecione LDAPv3 e clique no botão Editar (o botão em forma de lápis).
Se a lista de configurações do servidor estiver oculta, clique em “Mostrar opções”.
Selecione a configuração para o diretório que pretende e clique em Editar.
Clique em Segurança e, depois, altere qualquer uma das seguintes definições.
Nota: as definições de segurança aqui e no servidor LDAP correspondente são determinadas quando a ligação LDAP é configurada. As definições não são atualizadas quando as definições do servidor forem alteradas.
Se qualquer uma das quatro últimas opções estiver selecionada, mas desativada, significa que o diretório LDAP necessita delas. Se qualquer uma destas opções não estiver selecionada e estiver desativada, significa que não é suportada pelo servidor LDAP.
Usar autenticação ao estabelecer ligação: determina se a ligação LDAPv3 se autentica a si própria com o diretório LDAP, fornecendo o nome distinto e a palavra-passe especificados. Esta opção não está visível se a ligação LDAPv3 utilizar ligação fidedigna com o diretório LDAP.
Ligar ao diretório como: especifica as credenciais que a ligação LDAPv3 utiliza para estabelecer uma ligação fidedigna com o diretório LDAP. Esta opção e as credenciais não podem ser alteradas aqui. Para tal, deverá desligar e voltar a ligar com credenciais diferentes. Encontrará mais informação em Parar uma ligação fidedigna a um diretório LDAP e Configurar uma ligação autenticada para um diretório LDAP. Esta opção não está visível, a não ser que a ligação LDAPv3 utilize ligação fidedigna.
Desativar palavras-passe legíveis: determina se a palavra-passe deve ser enviada de forma legível, caso não possa ser validada através de um método de autenticação que envie uma palavra-passe cifrada.
Assinar digitalmente todos os pacotes (requer Kerberos): certifica que os dados do diretório do servidor LDAP não foram intercetados e modificados por outro computador durante a transferência para o seu computador.
Cifrar todos os pacotes (requer SSL ou Kerberos): exige que o servidor LDAP cifre os dados do diretório utilizando SSL ou Kerberos antes de os enviar para o seu computador. Antes de selecionar a opção “Cifrar todos os pacotes (requer SSL ou Kerberos)”, pergunte ao administrador do Open Directory se é necessário SSL.
Bloquear ataques “man-in-the-middle” (requer Kerberos): protege contra um servidor fictício que se faça passar pelo servidor LDAP. É melhor se for utilizado com a opção “Assinar digitalmente todos os pacotes”.
Clique em OK.