MacのディレクトリユーティリティでLDAP接続セキュリティポリシーを変更する
ディレクトリユーティリティを使用すると、LDAPディレクトリのセキュリティポリシーよりも厳しいセキュリティポリシーを、LDAPv3接続に設定することができます。例えば、LDAPディレクトリのセキュリティポリシーでクリアテキストのパスワードを許可している場合でも、LDAPv3接続を設定してクリアテキストのパスワードを許可しないようにできます。
より厳しいセキュリティポリシーを設定すると、不正なLDAPサーバを使用してユーザのコンピュータを制御しようとする悪意あるハッカーからコンピュータを保護できます。
コンピュータは、LDAPサーバと通信して、セキュリティオプションの状態を表示する必要があります。このため、LDAPv3接続のセキュリティオプションを変更する場合は、コンピュータの認証検索ポリシーにLDAPv3接続が含まれている必要があります。
LDAPv3接続のセキュリティオプションの許可される設定は、LDAPサーバのセキュリティ機能と要件に依存します。例えば、LDAPサーバがKerberos認証に対応していない場合、LDAPv3接続のいくつかのセキュリティオプションは無効になります。
Macのディレクトリユーティリティアプリ
で、「検索ポリシー」をクリックします。目的のLDAPv3ディレクトリが検索方式に表示されることを確認します。
検索ポリシーを定義するを参照してください。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(またはTouch IDを使用します)。
「サービス」をクリックします。
「LDAPv3」を選択し、選択したサービスの設定を編集するボタン
をクリックします。サーバ設定のリストが表示されていない場合は、「オプションを表示」の横の開閉用三角ボタンをクリックします。
目的のディレクトリの設定を選択して、「編集」をクリックします。
「セキュリティ」をクリックしてから、以下の設定を必要に応じて変更します。
注記: これらのセキュリティ設定および対応するLDAPサーバ上のセキュリティ設定は、LDAP接続が設定されるときに決定されます。サーバの設定が変更されても、これらの設定がアップデートされることはありません。
最後の4つのオプションのいずれかを選択しているが無効になっている場合、LDAPディレクトリはそれらを必要とします。これらのオプションのいずれかを選択せず無効にすると、LDAPサーバはそれらに対応していません。
接続時に認証を使用: 指定された「識別名」と「パスワード」を提供することにより、LDAPv3接続が自身をLDAPディレクトリで認証するかどうかを決定します。LDAPv3接続がLDAPディレクトリとの信頼されたバインディングを使用する場合、このオプションは表示されません。
ディレクトリとバインド: LDAPv3接続がLDAPディレクトリとの信頼されたバインディングに使用する資格情報を指定します。このオプションと資格情報は、ここでは変更できません。代わりに、バインドを解除し、異なる資格情報を使用して再度バインドすることができます。LDAPディレクトリとの信頼されたバインディングを終了するおよびLDAPディレクトリの認証されたバインディングを設定するを参照してください。LDAPv3接続で信頼されたバインディングが使用されていない場合、このオプションは表示されません。
クリアテキストパスワードを使用不可にする: 暗号化されたパスワードを送信する認証方法を使用してパスワードを検証できない場合、パスワードをクリアテキストで送信するかどうかを決定します。
すべてのパケットをデジタル署名(Kerberosが必要): LDAPサーバのディレクトリデータが自分のコンピュータに転送されている間にほかのコンピュータによって妨害されたり、変更されたりしないようにします。
すべてのパケットを暗号化(SSLまたはKerberosが必要): ディレクトリデータをコンピュータに送信する前にLDAPサーバがSSLまたはKerberosを使用してディレクトリデータを暗号化します。「すべてのパケットを暗号化(SSLまたはKerberosが必要)」チェックボックスを選択する前に、SSLが必要かどうかをOpen Directory管理者に確認してください。
Man-in-the-Middle攻撃をブロック(Kerberosが必要): LDAPサーバを装う不正なサーバから保護します。「すべてのパケットをデジタル署名」オプションと共に使用することを推奨します。
「OK」をクリックします。