OS X Server: Clients für die Nutzung von SSL bei der Open Directory-Einbindung konfigurieren

Dieser Artikel erläutert, wie ein Open Directory-Server und ein OS X-Client so konfiguriert werden, dass sie die SSL-Verschlüsselung bei der Open Directory-Einbindung verwenden.

Serverkonfiguration

Aktivieren Sie zuerst die SSL-Verschlüsselung für das Open Directory auf dem Server, und wählen Sie ein zu verwendendes Zertifikat aus. Ziehen Sie die Server-Hilfe oder das Handbuch zur Server-Administration für Ihre Version von OS X Server zurate.

Apple empfiehlt dringend, dass Sie ein vertrauenswürdiges Zertifikat erwerben, um Ihre SSL-Verbindung zu sichern, Sie können aber auch ein selbst signiertes Zertifikat verwenden.

Client-Konfiguration

OS X Mountain Lion- und Mac OS X Lion-Clients verwenden automatisch SSL und importieren das erforderliche Zertifikat, wenn sie in einen Open Directory-Server eingebunden werden, der dies unterstützt.

  1. Öffnen Sie die Systemeinstellungen, und wählen Sie "Benutzer & Gruppen".
  2. Klicken Sie auf das Schloss, um Änderungen vorzunehmen, und geben Sie gegebenenfalls Ihr Administratorkennwort ein.
  3. Klicken Sie auf "Anmeldeoptionen".
  4. Klicken Sie neben "Netzwerkaccount-Server" auf die Taste "Hinzufügen" oder "Bearbeiten".
  5. Falls erforderlich, klicken Sie auf die Taste "+". Geben Sie den Namen des Open Directory-Servers ein, und klicken Sie auf "OK".
  6. Wenn Sie aufgefordert werden, die Vertrauenswürdigkeit der vom Server bereitgestellten SSL-Zertifikate zu bestätigen, klicken Sie auf "Vertrauen".

Bei Clients der Versionen Mac OS X 10.6 und 10.5 müssen Sie das SSL-Zertifikat des Servers manuell importieren, ehe Sie ihn einbinden.

  1. Öffnen Sie auf dem Client-Computer das Programm "Terminal", und verwenden Sie einen der folgenden Befehle, um das Zertifikat vom Server abzurufen:

    openssl s_client -connect meinServerName:636
    openssl s_client -connect meinServerName:636 -showcerts

    Ersetzen Sie meinServerName mit dem vollständigen Domain-Namen des Servers. Hinweis: Das Argument '-showcerts' ist nur erforderlich, wenn die Einbindung in einen Lion-Server erfolgt.
     
  2. Falls erforderlich, drücken Sie ctrl-C, um den Befehl "openssl" abzubrechen.
  3. Kopieren Sie die Zeilen von der ersten Zeile "-----BEGIN CERTIFICATE-----" bis zur einschließlich letzten Zeile "-----END CERTIFICATE-----". Wichtig: Ein Lion-Server wird eine ganze Reihe von Zertifikaten enthalten. Beziehen Sie auf jeden Fall alle mit ein.
  4. Verwenden Sie den folgenden Befehl, um eine Datei mit dem Namen "mycert" zu erstellen, die den Text enthält, den Sie kopiert haben:

    pbpaste > ~/Desktop/mycert
  5. Verwenden Sie den folgenden Befehl, um die neue Zertifikatsdatei in das Verzeichnis "openldap" zu bewegen:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. Bearbeiten Sie die Datei "/etc/openldap/ldap.conf" mit dem sudo-Befehl und anhand dieser Anleitung. Beispiel:

    sudo pico /etc/openldap/ldap.conf
  7. Fügen Sie unter der Zeile "TLS_REQCERT demand" eine neue Zeile "TLS_CACERT /etc/openldap/mycert" ein.
  8. Sichern Sie die Änderungen.
  9. Starten Sie den Client-Computer neu.
  10. Binden Sie den Client in den Open Directory-Server ein:

    • Mac OS X 10.6.4 bis 10.6.8: Öffnen Sie den Bereich "Accounts" in den Systemeinstellungen, klicken Sie auf "Anmeldeoptionen" und dann auf die Taste "Verbinden" oder "Bearbeiten" neben dem Netzwerk-Account-Server. Klicken Sie auf die Taste "+", geben Sie die FQDN des Open Directory-Masters ein, stellen Sie sicher, dass das Markierungsfeld "Sichere Verbindung erforderlich (SSL)" aktiviert ist, und klicken Sie auf "OK".
    • Mac OS X 10.6 bis 10.6.3: Öffnen Sie das Programm Verzeichnisdienste (unter /System/Library/CoreServices), und klicken Sie auf das Schloss, um Änderungen vorzunehmen. Doppelklicken Sie anschließend auf die Taste "LDAPv3" und dann auf die Taste "Neu …". Geben Sie die FQDN des Open Directory-Masters ein, stellen Sie sicher, dass das Markierungsfeld "Sichere Verbindung erforderlich (SSL)" aktiviert ist, und klicken Sie auf "Fortfahren".
    • Mac OS X 10.5: Öffnen Sie das Programm Verzeichnisdienste (unter /Programme/Dienstprogramme), und klicken Sie auf die Taste "+". Wählen Sie den Typ "Open Directory", geben Sie die FQDN des Open Directory-Masters ein, aktivieren Sie das Markierungsfeld "Verschlüsselung mit SSL", und klicken Sie auf "OK".

 

Sie können einen anderen Namen für die Datei "mycert" vergeben, solange der Dateiname mit der Referenz in ldap.conf übereinstimmt.

Wenn SSL auf dem Server nicht richtig konfiguriert ist, wird der Client folgende Meldungen anzeigen: "Server konnte nicht hinzugefügt werden. (Servername oder IP-Adresse) unterstützt keine Verzeichnisverbindungen, die mit SSL verschlüsselt sind" oder "Server konnte nicht hinzugefügt werden. Die Operation wird vom Verzeichnisknoten nicht unterstützt. (10000)".

Veröffentlichungsdatum: