我正在浏览一些有关管理 OS X 笔记本电脑的文献,并询问了一些有关使用 MacBook 时的使用场景的问题。我询问了比我更了解的人,如果我正在访问另一个站点参加会议,或者如果我在本地咖啡馆使用带有工作组的 OS X 服务器的策略访问 wifi 网络,是否有可能接管我的 Mac管理器(对于网站来说是合法的,或者是在他们隐藏在网络某处的硬件上运行 OS X Server 版本的人),显然可以设置它来执行诸如限制我对 Finder 的访问或施加其他简洁的快速管理之类的事情特征。
他说它确实有可能发生,因为它是通过 DHCP 服务器分配的,而 OS X 服务器会假设我的 Mac 是来宾并且可以发出限制,显然我的 Mac 会很乐意接受它们而不通知我或给予我是一个选项,与 Windows 不同,我认为 Windows 需要在域被 Active Directory“管理”之前加入域。
所以我的问题是,作为网络管理员和系统管理员,用户带着 MacBook 出差,有没有办法合理地保护你的用户免于被劫持,而无需一直关闭网络?或者这不是很大的安全隐患吗?这对您企业中的公路勇士构成什么威胁?
您的朋友可能是正确的:
如果您的 Mac 设置为绑定以自动获取其目录搜索路径,则它可以绑定到 DHCP 提供的 LDAP 服务器。这里的危险是 root 是 root,MacBook 没有意识到它不是其“主”LDAP 目录中的 root 帐户,并且很乐意将其视为是。
如果您将目录搜索路径设置为自定义,那么它只会绑定到您指定的 LDAP 服务器并完全避免该问题。
此外,正如您所提到的,如果您不需要 LDAP - 例如,如果您针对 Windows AD 域进行身份验证或者只有一个本地帐户,您可以取消选中 LDAP v3 框。
有关详细信息,请参阅OpenDirectory 管理指南的第 2 章。