Open Directory: SSL-ominaisuuden ottaminen käyttöön Open Directoryssa, jossa on kopioita
Secure Sockets Layer (SSL) voidaan ottaa käyttöön salattua viestintää varten Open Directoryn masterien ja kopioiden ja LDAP-hakemistodomainia käyttävien tietokoneiden välillä. SSL käyttää digitaalista varmennetta, joka tarjoaa sertifioidun tunnuksen palvelimille. Voit käyttää itse allekirjoitettua varmennetta tai varmenteen myöntäjältä saatua varmennetta.
Kun Open Directoryn master- ja kopiotietokoneet ovat paikoillaan:
Varmista, että Open Directoryn master- ja kopiotietokoneet tukevat SSL-yhteyksiä.
Ota SSL-salaus käyttöön Open Directoryn master-päätteessä käyttämällä itse allekirjoitettua varmennetta, jonka yleisnimi on asetettu pääasiallisen isännän isäntänimeksi.
Ota SSL käyttöön kaikissa kopiotietokoneissa: luo itse allekirjoitettu varmenne kopiotietokoneissa käyttämällä Server Adminia, jolla on sama yleisnimi kuin kyseisen tietokoneen isäntänimellä.
Suorita päätteessä seuraava komento:
Mac OS X Server 10.5:
sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert] -ssldomain [varmenteen nimi]
Mac OS X Server 10.6:
sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert]
(Server Admin tallentaa varmenteet tiedostoon oletusarvoisesti /etc/certificates. Muista lisätä polkuun myös tiedostonimet.)
Asenna varmenteet Open Directoryn mastereista ja kopioista
Jotta asiakastietokoneet voivat käyttää SSL:ää, hakemistoklusterin kunkin palvelimen varmenne on kopioitava asiakastietokoneisiin. Varmenteiden asentaminen Open Directoryn master- ja kopiotietokoneista:
1. Luo kussakin asiakastietokoneessa hakemisto /etc/openldap/certs.
2. Avaa asiakastietokoneen pääte ja suorita tämä komento, jolla varmenne saadaan palvelimelta:
openssl s_client -connect [palvelimen isäntänimi]:636
3. Kopioi kohtien ”---BEGIN CERTIFICATE---" ja "---END CERTIFICATE---” väliset rivit hostname-tiedostoon.
4. Aseta uusi isäntänimitiedosto seuraavaan osoitteeseen: /etc/openldap/certs/
5. Voit testata varmenteen tällä komennolla:
openssl s_client -connect [palvelimen isäntänimi]:636 -CAfile /etc/openldap/certs/hostname
Tämän pitäisi näyttää vastaava tulos kuin aiemmin, mutta viimeisellä rivillä on muutos ”verify return code:0(ok)” aiemmin vastaanotetun arvon 18 tai 19 sijaan
6. Jos sinulla on vain yksi varmenne (esimerkiksi yksi LDAP-palvelin, jossa SSL on käytössä), lisää seuraavat tiedostoon /etc/openldap/ldap.conf
TLS_CACERT /etc/openldap/certs/[palvelimen isäntänimi]
Jos sinulla on useita LDAP-palvelimia, joissa SSL on käytössä
Sinun on määritettävä palvelimet yksitellen tai siirrettävä ne kaikki samaan hakemistoon ja määritettävä ldap.conf niitä kohti seuraavien ohjeiden mukaisesti:
1. Jokaisen LDAP-klusterin palvelimen varmenteet on hankittava samalla tavalla kuin ennen komennon ”openssl s_client” käyttöä:
openssl s_client -connect [palvelimen isäntänimi]:636
2. Kun olet hankkinut varmenteet, käytä OpenSSL-apuohjelmaa ”c_hash”, jotta varmenteet voidaan asettaa salattuun muotoon. Apuohjelma c_hash antaa jokaiselle varmenteelle nimen, jota käytetään varmennetiedoston nimeämiseen uudelleen kohteessa /etc/openldap/certs:
/System/Library/OpenSSL/misc/c_hash /etc/openldap/certs/hostname
Tuloksen pitäisi muistuttaa seuraavia: 03be8eb2.0 => /etc/openldap/certs/hostname
3. Kun olet saanut salatun muodon, nimeä olemassa oleva cert-tiedosto uudelleen manuaalisesti.
Esimerkki:
mv /etc/openldap/certs/hostname /etc/openldap/certs/03be8eb2.0
4. Kun olet käyttänyt kaikki varmenteet c_hash-apuohjelman kautta, muokkaa /etc/openldap/ldap.conf-tiedostoa seuraavalla tavalla:
TLS_CACERTDIR /etc/openldap/certs/
5. Poista kaikki ldap.conf-tiedostossa mahdollisesti olevat aiemmat TLS_CACERTDIR-merkinnät.
6. Tarkista dapsearch-komennolla:
ldapsearch -v -x -H ldaps://[palvelimen isäntänimi] -b [hakutietokanta]
7. Sinun on ehkä käynnistettävä hakemistopalvelut uudelleen, jos olet jo yrittänyt ottaa LDAP-palvelimen käyttöön:
sudo killall DirectoryService