言語

OS X Server:Open Directory へのバインドで SSL を使うようクライアントを設定する

Open Directory へのバインドで SSL 暗号化を使うよう Open Directory サーバおよび OS X クライアントを設定する方法を説明します。

サーバの構成

まず、サーバ上で Open Directory の SSL 暗号化を有効にして、使用する証明書を選択します。お使いのバージョンの OS X Server の Server ヘルプまたは Administration Guide を参照します。

Apple では、SSL 接続をセキュリティ保護するために 信頼できる証明書を入手する ことを強くお勧めしますが、自己署名証明書を使用することも可能です。

クライアントの構成

OS X Mountain Lion および Lion クライアントは、SSL に対応している Open Directory サーバへのバインド時に、自動的に SSL を使って必要な証明書を読み込みます。

  1. システム環境設定を開き、「ユーザとグループ」を選択します。
  2. 必要に応じて、カギをクリックし、変更を加えて管理者パスワードを入力します。
  3. 「ログインオプション」をクリックします。
  4. 「ネットワークアカウントサーバ」の横の「追加」または「編集」をクリックします。
  5. 必要に応じて「+」ボタンをクリックします。Open Directory サーバの名前を入力して「OK」をクリックします。
  6. サーバから提供される SSL 証明書を信頼するかどうか確認する画面が表示されたら、「信頼」をクリックします。

Mac OS X v10.6 および v10.5 クライアントでは、バインド前にサーバの SSL 証明書を手動で読み込む必要があります。

  1. クライアントコンピュータで「ターミナル」を開き、次のコマンドのいずれかを使ってサーバから証明書を取得します。

    openssl s_client -connect myServerName:636
    openssl s_client -connect myServerName:636 -showcerts

    「myServerName」はサーバの完全修飾ドメイン名で置き換えます。注意:「-showcerts」引数は Lion Server にバインドするときのみ必要です。
     
  2. 必要に応じて、「control + C」を押して openssl コマンドを終了させます。
  3. 最初の「-----BEGIN CERTIFICATE-----」から最後の「-----END CERTIFICATE-----」までの行をコピーします。重要:Lion Server には証明書チェーンが含まれます。すべての証明書を含めます。
  4. 以下のコマンドを使って、コピーしたテキストを含む「mycert」という名前のファイルを作成します。

    pbpaste > ~/Desktop/mycert
  5. 以下のコマンドを使って、新しい証明書ファイルを「openldap」ディレクトリに移動させます。

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. sudo コマンドを使い こちらの手順 を参照して、「/etc/openldap/ldap.conf」ファイルを編集します。下記は、その例です。

    sudo pico /etc/openldap/ldap.conf
  7. 「TLS_REQCERT demand」行の下に「TLS_CACERT /etc/openldap/mycert」という新しい行を追加します。
  8. 変更を保存します。
  9. クライアントコンピュータを再起動します。
  10. クライアントを Open Directory サーバとバインドします。

    • Mac OS X v10.6.4 ~ 10.6.8 では、システム環境設定の「アカウント」パネルを開き、「ログインオプション」をクリックして、「ネットワークアカウントサーバ」の横の「接続」または「編集」ボタンをクリックします。「+」ボタンをクリックし、Open Directory のマスターの FQDN を入力し、「セキュリティ保護された接続 (SSL) が必要」ボックスにチェックマークを付けて、「OK」をクリックします。
    • Mac OS X v10.6 ~ 10.6.3 では、「ディレクトリユーティリティ」アプリケーション (「システム/ライブラリ/CoreServices」にあります) を開き、カギをクリックして変更を加えます。「LDAPv3」をダブルクリックしてから、「新規」ボタンをクリックします。Open Directory マスターの FQDN を入力し、「SSL を使って暗号化」ボックスにチェックマークを付け、「続ける」をクリックします。
    • Mac OS X v10.5.x では、「ディレクトリユーティリティ」アプリケーション (「アプリケーション/ユーティリティ」にあります) を開き、「+」ボタンをクリックします。タイプとして「Open Directory」を選択し、Open Directory のマスターの FQDN を入力して、「SSL を使って暗号化」ボックスにチェックマークを付け、「OK」をクリックします。

 

追加情報

ファイル名が ldap.conf の参照と一致している限り、「mycert」ファイルには、異なる名前を使うことができます。

SSL がサーバで適切に設定されない場合は、クライアントに「サーバの追加ができません。(サーバ名または IP アドレス) は SSL で暗号化されたディレクトリ接続をサポートしていません。」または「サーバの追加ができません。ディレクトリノードはこの操作をサポートしていません。(10000)」と表示されます。

最終更新日: 2013/05/29
役に立ちましたか?
はい
いいえ
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
このページを印刷する
  • 最終更新日: 2013/05/29
  • 記事: HT4183
  • 表示回数:

    103917
  • 評価:
    • 20.0

    (1 件の回答)