未經許可和安全的 Mac 管理
我正在瀏覽一些有關管理 OS X 筆記型電腦的文獻,並詢問了一些有關使用 MacBook 時的使用場景的問題。我詢問了比我更了解的人,如果我正在訪問另一個站點參加會議,或者如果我在本地咖啡館使用帶有工作組的 OS X 伺服器的策略使用 wifi 網路,是否有可能接管我的 Mac管理器(對於網站來說是合法的,或者是在他們隱藏在網路某處的硬體上執行 OS X Server 版本的人),顯然可以設置它來執行諸如限制我對 Finder 的訪問或施加其他簡潔的快速管理之類的事情特徵。
他說它確實有可能發生,因為它將通過 DHCP 伺服器分配,而 OS X 伺服器會假定我的 Mac 是來賓並且可以發出限制,顯然我的 Mac 會很樂意接受它們而不通知我或給予我是一個選項,與 Windows 不同,我認為 Windows 需要在域被 Active Directory“管理”之前加入域。
所以我的問題是,作為網路管理員和系統管理員,使用者帶著 MacBook 出差,有沒有辦法合理地保護你的使用者免於被劫持,而無需一直關閉網路?或者這不是很大的安全隱患嗎?這對您企業中的公路勇士構成什麼威脅?
您的朋友可能是正確的:
如果您的 Mac 設置為綁定以自動獲取其目錄搜尋路徑,則它可以綁定到 DHCP 提供的 LDAP 伺服器。這裡的危險是 root 是 root,MacBook 沒有意識到它不是其“主”LDAP 目錄中的 root 帳戶,並且很樂意將其視為是。
如果您將目錄搜尋路徑設置為自定義,那麼它只會綁定到您指定的 LDAP 伺服器並完全避免該問題。
此外,正如您所提到的,如果您不需要 LDAP - 例如,如果您針對 Windows AD 域進行身份驗證或者只有一個本地帳戶,您可以取消選中 LDAP v3 框。
有關詳細資訊,請參閱OpenDirectory 管理指南的第 2 章。