Open Directory: Az SSL engedélyezése az Open Directory replikaszámítógépein

Az SSL (Secure Sockets Layer) engedélyezésével titkosítható a kommunikáció az Open Directory elsődleges számítógépe és replikaszámítógépei, valamint az LDAP-tartományhoz csatlakozó számítógépek között. Az SSL digitális tanúsítvánnyal biztosítja a kiszolgálók tanúsított azonosíthatóságát. Alkalmazhat saját aláírású tanúsítványt, illetve beszerezheti a tanúsítványt egy tanúsítványkiadó hatóságtól is.

Ha készen áll az Open Directory elsődleges számítógépe és a replikaszámítógépek:

  1. Győződjön meg arról, hogy az Open Directory elsődleges számítógépe és replikaszámítógépei támogatják az SSL-kapcsolatokat.
  2. Engedélyezze az SSL-titkosítást az Open Directory elsődleges számítógépén egy saját aláírású tanúsítvány segítségével – általános névként adja meg az elsődleges számítógép állomásnevét.
  3. Engedélyezze az SSL-titkosítást az összes replikaszámítógépen: hozzon létre egy saját aláírású tanúsítványt a replikaszámítógépeken a Server Admin segítségével. Általános névként az adott számítógép állomásnevét adja meg.

A Terminalban írja be az alábbi parancsot:

Mac OS X Server 10.5:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert] -ssldomain [name of the certificate]

Mac OS X Server 10.6:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert]

(Alapértelmezés szerint a Server Admin az /etc/certificates mappában tárolja a tanúsítványokat. Az elérési útvonalban a fájlneveket is adja meg.)

Telepítse a tanúsítványokat az Open Directory elsődleges számítógépéről és replikaszámítógépeiről

Annak érdekében, hogy az ügyfélszámítógépek használni tudják az SSL-t, a címtárfürtben lévő kiszolgálók tanúsítványát ügyfélszámítógépekre kell másolni. A tanúsítványok telepítése az Open Directory elsődleges számítógépéről és replikaszámítógépeiről:

1. Mindegyik ügyfélszámítógépen hozza létre az /etc/openldap/certs címtárat.

2. Az ügyfélszámítógépeken nyissa meg a Terminalt, és írja be az alábbi parancsot a tanúsítvány kiszolgálóról történő beszerzéséhez:

openssl s_client -connect [hostname of the server]:636

3. Másolja a „---BEGIN CERTIFICATE---” és az „---END CERTIFICATE---” közötti sorokat egy „hostname” nevű fájlba.

4. Helyezze a „hostname” nevű fájlt a következő mappába: /etc/openldap/certs/.

5. Az alábbi paranccsal tesztelheti a tanúsítványt: 

openssl s_client -connect [hostname of the server]:636 -CAfile /etc/openldap/certs/hostname

Ekkor az előbbihez hasonló eredményt kap, az utolsó sor azonban a következő szerepel: „verify return code:0(ok)”, nem pedig 18 vagy 19, ahogy az előbb.

6. Ha csak egy tanúsítvánnyal rendelkezik (például egyetlen LDAP-kiszolgálóval, amelyen engedélyezve van az SSL), adja hozzá a következőket az /etc/openldap/ldap.conf nevű fájlhoz:

TLS_CACERT /etc/openldap/certs/[a kiszolgáló állomásneve]

Ha több LDAP-kiszolgálóval rendelkezik, amelyeken engedélyezve van az SSL

Egyenként kell megadnia a kiszolgálókat, vagy az összeset ugyanabba a címtárba helyezze, és irányítsa feléjük az ldap.conf fájlt az alábbiak szerint:

1. Az LDAP-fürtben lévő összes kiszolgáló esetén a fentiek szerint, tehát az openssl s_client paranccsal kell beszereznie a tanúsítványokat:

openssl s_client -connect [a kiszolgáló állomásneve]:636

2. A tanúsítványok beszerzése után a c_hash (egy OpenSSL-segédprogram) segítségével konvertálja a tanúsítványokat kivonatolt formátumba. Mindegyik tanúsítvány esetén a c_hash olyan nevet biztosít, amellyel átnevezhető az /etc/openldap/certs mappában található tanúsítványfájl:

/System/Library/OpenSSL/misc/c_hash /etc/openldap/certs/hostname

Az eredmény a következőhöz lesz hasonló:  03be8eb2.0 => /etc/openldap/certs/hostname

3. A kivonatnév megkapása után manuálisan nevezze át a meglévő cert fájlt.

Például:

mv /etc/openldap/certs/hostname /etc/openldap/certs/03be8eb2.0

4. Miután mindegyik tanúsítványt konvertálta a c_hash segítségével, szerkessze az /etc/openldap/ldap.conf fájlt az alábbi paranccsal:

TLS_CACERTDIR /etc/openldap/certs/

5. Távolítsa el a korábbi TLS_CACERTDIR bejegyzéseket az ldap.conf fájlból.

6. Végezzen ellenőrzést az ldapsearch paranccsal:

ldapsearch -v -x -H ldaps://[hostname of the server] -b [searchbase]

7. Szükség lehet a Címtárszolgáltatások újraindítására, ha már megpróbálta beállítani az LDAP-kiszolgálót:

sudo killall DirectoryService
Közzététel dátuma: