38、服务器安全设置全解析

服务器安全设置全解析

1. 客户端设置

1.1 禁用客户端缓存

默认情况下，OS X 客户端会缓存 LDAP 信息。若怀疑客户端系统已被入侵，可禁用此缓存功能。

1.2 用户编辑权限设置

若未将服务器与地址簿集成，建议禁用“允许用户编辑自己的联系信息”选项。因为在自动更新的地址簿环境中，通常应仅允许用户编辑自己的信息。禁用此选项会编辑基于 LDAP 的访问控制列表（ACL）。

1.3 绑定策略记录

实施适当的绑定策略后，需详细记录已实施的策略，因为客户端设置时需在其配置中镜像这些策略。

2. 使用 PasswordServer 保障认证安全

2.1 密码存储方式

在 Leopard 系统的 Open Directory 中，密码默认存储在密码数据库中，这是一种非常安全的密码处理方式。而在早期版本中，密码以加密形式存储在 LDAP 数据库，存在用户离线缓存密码并尝试破解的风险。在 Leopard 中，LDAP 数据库仅引用密码在密码数据库中的位置，避免密码被缓存和后续解密。

2.2 PasswordServer 功能

PasswordServer 用于许多服务（如 Apple File Protocol）的标准认证，基于 Simple Authentication and Security Layer (SASL) 标准，可使 Open Directory 内的各种协议相互通信，同时确保密码加密安全。此外，它还能限制密码类型并强制执行密码规则，包括密码质量、重置频率以及在 Mac OS X 各服务中的