OS X Server: Configuración de clientes para que usen SSL al enlazarse con Open Directory

Este artículo explica cómo configurar un servidor Open Directory y el cliente OS X para que usen cifrado SSL al enlazarse con Open Directory.

Configuración del servidor

En primer lugar, habilita el cifrado SSL para Open Directory en el servidor y selecciona un certificado para usarlo. Consulta la Ayuda de Server o la Guía de administración para la versión de OS X Server que estés utilizando.

Apple te recomienda encarecidamente que obtengas un certificado de confianza para proteger tu conexión SSL, aunque también puedes utilizar un certificado autofirmado.

Configuración del cliente

Los clientes de OS X Mountain Lion y Lion utilizarán automáticamente SSL e importarán el certificado necesario cuando se enlacen con un servidor Open Directory compatible.

  1. Abre Preferencias del Sistema y selecciona Usuarios y grupos.
  2. Haz clic en el candado para realizar cambios e introduce una contraseña de administrador si fuera necesario.
  3. Haz clic en Opc. inicio sesión.
  4. Junto a Servidor de cuentas de red, haz clic en Añadir o Editar.
  5. Si es necesario, haz clic en el botón "+". Introduce el nombre del servidor Open Directory y después haz clic en Aceptar.
  6. Cuando se te pregunte si deseas aceptar certificados SSL suministrados por el servidor, haz clic en Confiar.

En clientes Mac OS X v10.6 y v10.5, debes importar manualmente el certificado SSL del servidor antes de enlazar.

  1. En el ordenador cliente, abre Terminal y utiliza uno de los siguientes comandos para obtener el certificado del servidor:

    openssl s_client -connect miServidor:636
    openssl s_client -connect miServidor:636 -showcerts

    Sustituye myServidor por el nombre de dominio completamente cualificado del servidor. Nota: El argumento "-showcerts" solo es necesario cuando se vaya a enlazar a un servidor Lion.
     
  2. Si es necesario, pulsa Control-C para salir del comando openssl.
  3. Copia las líneas que empiezan en la primera línea "-----BEGIN CERTIFICATE-----" hasta la última línea "-----END CERTIFICATE-----", inclusive. Importante: Un servidor Lion contendrá una cadena de certificados. Asegúrate de incluirlos todos.
  4. Utiliza el comando siguiente para crear un archivo llamado "mycert" que contenga el texto que has copiado:

    pbpaste > ~/Desktop/mycert
  5. Utiliza el siguiente comando para mover el nuevo archivo de certificados al directorio openldap:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. Mediante el comando sudo y estas instrucciones, edita el archivo /etc/openldap/ldap.conf. Por ejemplo:

    sudo pico /etc/openldap/ldap.conf
  7. Bajo la línea "TLS_REQCERT demand" añade una nueva línea "TLS_CACERT /etc/openldap/mycert".
  8. Guarda los cambios.
  9. Reinicia el ordenador cliente.
  10. Enlaza el cliente al servidor Open Directory.

    • En Mac OS X v10.6.4 a v10.6.8, abre el panel Cuentas de Preferencias del Sistema, haz clic en Opciones inicio sesión y después en el botón "Acceder" o "Editar" junto a Servidor de cuentas de red. Haz clic en el botón "+", introduce el FQDN del servidor maestro Open Directory y marca la casilla "Requerir conexión segura (SSL)" y haz clic en Aceptar.
    • En Mac OS X v10.6 a v10.6.3, abre la Utilidad de Directorios (ubicada en /Sistema/Biblioteca/CoreServices) y haz clic en el candado para realizar cambios. Haz doble clic en "LDAPv3" y después en el botón "Nuevo...". Introduce el FQDN del servidor maestro Open Directory, marca la casilla "Encriptar con SSL" y haz clic en Continuar.
    • En Mac OS X v10.5.x, abre la aplicación Utilidad de Directorios (ubicada en /Aplicaciones/Utilidades) y haz clic en el botón "+". Selecciona el tipo "Open Directory", introduce el FQDN del servidor maestro Open Directory, marca la casilla "Encriptar con SSL" y haz clic en Aceptar.

 

Puedes usar un nombre distinto para el archivo "mycert" siempre que el nombre del archivo se corresponda con la referencia en ldap.conf.

Si el SSL no está correctamente configurado en el servidor, el cliente informará de que "No se ha podido añadir el servidor. (Nombre de directorio o dirección IP) no admite conexiones de directorio encriptadas con SSL" o de que "No se ha podido añadir el servidor. Operación no admitida por el nodo del directorio. (10000)".

Fecha de publicación: