Cambiar la política de seguridad de conexión al directorio LDAP en Utilidad de Directorios en la Mac
Mediante Utilidad de Directorios, puedes configurar una política de seguridad más estricta para una conexión LDAPv3 que la política de seguridad del directorio LDAP. Por ejemplo, si la política de seguridad del directorio LDAP admite contraseñas de texto no encriptadas, puedes definir una conexión LDAPv3 para que no permita contraseñas de texto no encriptadas.
Establecer una política de seguridad más estricta protege a la computadora de hackers malintencionados que intenten utilizar un servidor LDAP falso para obtener el control de tu computadora.
La computadora debe comunicarse con el servidor LDAP para mostrar el estado de las opciones de seguridad. Por lo tanto, cuando cambies las opciones de seguridad de una conexión LDAPv3, la política de búsqueda de autenticación de la computadora deberá incluir la conexión LDAPv3.
La configuración que las opciones de seguridad de una conexión LDAPv3 pueden admitir están sujetas a los requisitos y funciones de seguridad del servidor LDAP. Por ejemplo, si el servidor LDAP no admite el sistema de autenticación Kerberos, varias opciones de seguridad de la conexión LDAPv3 estarán desactivadas.
Abrir Utilidad de Directorios por mí
En la app Utilidad de Directorios en tu Mac, haz clic en Política de búsqueda.
Asegúrate de que el directorio LDAPv3 que quieres figure en la política de búsqueda.
Consulta Definir políticas de búsqueda.
Haz clic en el ícono de candado.
Ingresa el nombre y contraseña de un administrador y haz clic en Modificar configuración (o usa Touch ID).
Haz clic en Servicios.
Selecciona LDAPv3 y haz clic en el botón Editar la configuración del servicio seleccionado .
Si la lista de configuraciones del servidor está oculta, haz clic en el triángulo para mostrarla junto a Mostrar opciones.
Selecciona la configuración del directorio que quieras y haz clic en Editar.
Haz clic en Seguridad y cambia cualquiera de las configuraciones siguientes:
Nota: esta configuración de seguridad y la del servidor LDAP correspondiente se establecen cuando se configura la conexión LDAP. Esa configuración no se actualiza cuando se cambia la configuración del servidor.
Si alguna de las cuatro últimas opciones está seleccionada pero desactivada, significa que es necesaria para el directorio LDAP. Si alguna de estas opciones no está seleccionada y está desactivada, significa que el servidor LDAP no la admite.
Usar autenticación para conectar: determina si la conexión LDAPv3 se autentica a sí misma en el directorio LDAP suministrando el nombre y la contraseña especificados. Esta opción no se muestra si la conexión LDAPv3 utiliza un vínculo fiable con el directorio LDAP.
Enlazado con el directorio como: especifica las credenciales que la conexión LDAPv3 utiliza para el vínculo fiable con el directorio LDAP. Ni esta opción ni las credenciales pueden modificarse desde aquí. En lugar de ello, puedes anular el enlace y volver a establecer un enlace con distintas credenciales. Consulta Detener un vínculo fiable con un directorio LDAP y Configurar un vínculo autenticado con un directorio LDAP. Esta opción no se mostrará, salvo que la conexión LDAPv3 utilice el vínculo fiable.
Desactivar contraseñas de texto no encriptado: determina si la contraseña se va a enviar como texto no encriptado en caso de que no pueda validarse mediante un método de autenticación que envíe una contraseña encriptada.
Firmar digitalmente todos los paquetes (requiere Kerberos): certifica que ninguna otra computadora interceptó o modificó los datos de directorio del servidor LDAP mientras se enviaban a tu computadora.
Encriptar todos los paquetes (requiere SSL o Kerberos): requiere que el servidor LDAP encripte los datos de directorio mediante SSL o Kerberos antes de enviarlos a tu computadora. Antes de seleccionar la opción Encriptar todos los paquetes (requiere SSL o Kerberos), pregunta a tu administrador de Open Directory si necesitas utilizar SSL.
Bloquear los ataques "Man-in-the-Middle" (requiere Kerberos): protege contra servidores falsos que simulan ser el servidor LDAP. Se recomienda utilizarla junto con la opción Firmar digitalmente todos los paquetes.
Haz clic en OK.