LDAP 接続セキュリティポリシーを変更する
「ディレクトリユーティリティ」を使用すると、LDAP ディレクトリのセキュリティポリシーよりも厳しいセキュリティポリシーを、LDAPv3 接続に設定することができます。たとえば、LDAP ディレクトリのセキュリティポリシーでクリアテキストのパスワードを許可している場合でも、LDAPv3 接続を設定してクリアテキストのパスワードを許可しないようにできます。
より厳しいセキュリティポリシーを設定すると、不正な LDAP サーバを使用してユーザのコンピュータを制御しようとする悪意あるハッカーからコンピュータを保護できます。
コンピュータは、LDAP サーバと通信して、セキュリティオプションの状態を表示する必要があります。このため、LDAPv3 接続のセキュリティオプションを変更する場合は、コンピュータの認証検索ポリシーに LDAPv3 接続が含まれている必要があります。
LDAPv3 接続のセキュリティオプションの許可される設定は、LDAP サーバのセキュリティ機能と要件に依存します。たとえば、LDAP サーバが Kerberos 認証をサポートしていない場合、LDAPv3 接続のいくつかのセキュリティオプションは無効になります。
「検索ポリシー」をクリックします。
目的の LDAPv3 ディレクトリが検索方式に表示されることを確認します。
LDAPv3 ディレクトリを認証検索ポリシーに追加する方法について詳しくは、検索ポリシーを定義するを参照してください。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(または Touch ID を使用します)。
「サービス」をクリックします。
「LDAPv3」を選択し、編集ボタン(鉛筆のアイコン)をクリックします。
サーバ設定のリストが隠れている場合は、「オプションを表示」をクリックします。
目的のディレクトリの設定を選択して、「編集」をクリックします。
「セキュリティ」をクリックしてから、以下の設定を必要に応じて変更します。
注記:これらのセキュリティ設定および対応する LDAP サーバ上のセキュリティ設定は、LDAP 接続が設定されるときに決定されます。サーバの設定が変更されても、これらの設定がアップデートされることはありません。
最後の 4 つのオプションのいずれかを選択しているが無効になっている場合、LDAP ディレクトリはそれらを必要とします。これらのオプションのいずれかを選択せず無効にすると、LDAP サーバはそれらをサポートしません。
「接続時に認証を使用」:指定された「識別名」と「パスワード」を提供することにより、LDAPv3 接続が自身を LDAP ディレクトリで認証するかどうかを決定します。LDAPv3 接続が LDAP ディレクトリとの信頼されたバインディングを使用する場合、このオプションは表示されません。
「ディレクトリとバインド」:LDAPv3 接続が LDAP ディレクトリとの信頼されたバインディングに使用する資格情報を指定します。このオプションと資格情報は、ここでは変更できません。代わりに、バインドを解除し、異なる資格情報を使用して再度バインドすることができます。詳しくは、LDAP ディレクトリとの信頼されたバインディングを終了するおよびLDAP ディレクトリの認証されたバインディングを設定するを参照してください。LDAPv3 接続で信頼されたバインディングが使用されていない場合、このオプションは表示されません。
「クリア・テキスト・パスワードを使用不可にする」:暗号化されたパスワードを送信する認証方法を使用してパスワードを検証できない場合、パスワードをクリアテキストで送信するかどうかを決定します。
「すべてのパケットをデジタル署名(Kerberos が必要)」:LDAP サーバのディレクトリデータが自分のコンピュータに転送されている間にほかのコンピュータによって妨害されたり、変更されたりしないようにします。
「すべてのパケットを暗号化(SSL または Kerberos が必要)」:ディレクトリデータをコンピュータに送信する前に LDAP サーバが SSL または Kerberos を使用してディレクトリデータを暗号化します。「すべてのパケットを暗号化(SSL または Kerberos が必要)」チェックボックスを選択する前に、SSL が必要かどうかを Open Directory 管理者に確認してください。
「Man-in-the-Middle 攻撃をブロック(Kerberos が必要)」:LDAP サーバを装う不正なサーバから保護します。「すべてのパケットをデジタル署名」オプションと共に使用することを推奨します。
「OK」をクリックします。