我当时正在查阅一些有关管理 OS X 笔记本电脑的文献,并向某人询问了一些有关使用 MacBook 时使用场景的问题。我向一位比我更了解的人询问,如果我正在访问另一个会议地点,或者如果我使用带有工作组管理器的 OS X Server 策略(无论是该网站的合法策略,还是某人在网络上隐藏的硬件上运行某个版本的 OS X Server),我的 Mac 是否有可能被接管,这些策略显然可以设置为执行诸如限制我对 Finder 的访问或实施其他巧妙的管理功能之类的操作。
他说这确实是有可能发生的情况,因为它将通过 DHCP 服务器进行分配,而 OS X 服务器将假定我的 Mac 是访客,并可以发出限制,显然我的 Mac 会很乐意接受它们,而不会通知我或给我任何选择,而我认为 Windows 不同,我认为 Windows 需要加入域才能由 Active Directory 进行“管理”。
所以我的问题是,作为网络管理员和系统管理员,面对带着 MacBook 出差的用户,有没有办法合理地保护用户的机器不被劫持,而不必一直关闭网络?或者这不会带来多大的安全隐患?这对您公司中的出差人员构成了什么威胁?
答案1
你的朋友可能是正确的:
如果您的 Mac 设置为自动绑定以获取其目录搜索路径,那么它可以绑定到 DHCP 提供的 LDAP 服务器。这里的危险是 root 就是 root,MacBook 无法意识到它不是来自其“主”LDAP 目录的 root 帐户,并乐意将其视为 root。
如果将目录搜索路径设置为自定义,那么它只会绑定到您指定的 LDAP 服务器并完全避免该问题。
另外正如您所提到的,如果您不需要 LDAP - 例如,如果您针对 Windows AD 域进行身份验证或仅仅拥有本地帐户,您可以取消选中 LDAP v3 框。
请参阅第 2 章OpenDirectory 管理指南了解更多信息。