OS X Server : configuration de clients SSL pour effectuer une liaison avec Open Directory

Consultez cet article pour savoir comment configurer un serveur Open Directory et le client OS X, afin d’utiliser le chiffrement SSL pour effectuer une liaison avec Open Directory.

Configuration du serveur

Activez tout d’abord, sur le serveur, le chiffrement SSL pour Open Directory, puis sélectionnez un certificat à utiliser. Reportez-vous à l’aide du serveur en question ou au guide d’administration s’appliquant à la version d’OS X Server que vous utilisez.

Apple vous recommande vivement de faire l’acquisition d’un certificat de confiance afin de sécuriser votre connexion SSL. Cependant, vous pouvez également utiliser un certificat auto-signé.

Configuration du client

Les clients OS X Mountain Lion et Lion utilisent automatiquement le protocole SSL et importent le certificat nécessaire lors de la liaison avec un serveur Open Directory compatible.

  1. Ouvrez les Préférences Système et sélectionnez Utilisateurs et groupes.
  2. Cliquez sur le verrou pour apporter des modifications et, si nécessaire, saisissez un mot de passe administrateur.
  3. Cliquez sur Options.
  4. Cliquez sur Ajouter ou Modifier en regard de Compte serveur réseau.
  5. Si nécessaire, cliquez sur le bouton +. Saisissez le nom du serveur Open Directory, puis cliquez sur OK.
  6. Lorsqu’un message s’affiche et vous demande si vous souhaitez vous fier aux certificats SSL fournis par le serveur, cliquez sur Se fier.

Sur les clients Mac OS X 10.6 et 10.5, vous devez importer manuellement le certificat SSL du serveur avant d’effectuer la liaison.

  1. Sur l’ordinateur client, ouvrez Terminal et utilisez l’une des commandes ci-dessous pour obtenir le certificat auprès du serveur :

    openssl s_client -connect NomDuServeur:636
    openssl s_client -connect NomDuServeur:636 -showcerts

    Remplacez NomDuServeur par le nom de domaine complet du serveur. Remarque : l’argument « -showcerts » est nécessaire uniquement lorsque vous effectuez la liaison avec Lion Server.
     
  2. Si nécessaire, appuyez sur Contrôle + C pour quitter la commande openssl.
  3. Copiez le contenu à partir de la première ligne « -----BEGIN CERTIFICATE----- » jusqu’à la dernière ligne « -----END CERTIFICATE----- » (en l’incluant). Important : un serveur Lion Server comporte une chaîne de certificats. Assurez-vous de bien les inclure tous.
  4. Utilisez la commande suivante pour créer un fichier « mycert » contenant le texte copié :

    pbpaste > ~/Desktop/mycert
  5. Utilisez la commande suivante pour déplacer le nouveau fichier de certificat dans le répertoire openldap :

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. Utilisez la commande sudo et suivez ces instructions pour modifier le fichier/etc/openldap/ldap.conf. Par exemple :

    sudo pico /etc/openldap/ldap.conf
  7. Sous la ligne « TLS_REQCERT demand » ajouter-en une nouvelle, « TLS_CACERT /etc/openldap/mycert ».
  8. Enregistrez les modifications.
  9. Redémarrez l’ordinateur client.
  10. Reliez le client au serveur Open Directory.

    • Sous Mac OS X 10.6.4 à 10.6.8, ouvrez le volet Comptes des Préférences Système, cliquez sur Options, puis sur le bouton « Rejoindre » ou « Modifier » situé en regard de Compte serveur réseau. Cliquez sur le bouton +, saisissez le nom de domaine complètement qualifié du serveur Open Directory maître, cochez la case « Connexion sécurisée (SSL) requise » et cliquez sur OK.
    • Sous Mac OS X 10.6 à 10.6.3, ouvrez l’application Utilitaire d’annuaire (qui se trouve dans /Système/Bibliothèque/CoreServices) et cliquez sur le verrou pour apporter des modifications. Double-cliquez sur « LDAPv3 », puis cliquez sur le bouton « Nouveau... ». Saisissez le nom de domaine complètement qualifié du serveur Open Directory maître, cochez la case « Chiffrer via SSL » et cliquez sur Continuer.
    • Sous Mac OS X 10.5.x, ouvrez l’application Utilitaire d’annuaire (qui se trouve dans /Applications/Utilitaires) et cliquez sur le bouton +. Choisissez le type « Open Directory », saisissez le nom de domaine complètement qualifié du serveur Open Directory maître, cochez la case « Chiffrer via SSL » et cliquez sur OK.

 

Vous pouvez utiliser un autre nom pour le fichier « mycert ». Cependant, il doit correspondre à celui apparaissant dans ldap.conf.

Si le protocole SSL n’a pas été configuré correctement sur le serveur, le client affiche le message « Impossible d’ajouter le serveur. (Nom du serveur ou adresse IP) ne prend pas en charge les connexions de répertoire chiffrées avec SSL. » ou « Impossible d’ajouter le serveur. L’opération n’est pas gérée par le nœud de répertoire. (10000). ».

Date de publication: