Open Directory: Mengaktifkan SSL untuk Open Directory dengan Replicas (Replika)

Secure Sockets Layer (SSL) dapat diaktifkan untuk menyediakan komunikasi terenkripsi antara Master dan Replica (Replika) Open Directory, serta komputer yang mengakses domain direktori LDAP. SSL menggunakan sertifikat digital guna menyediakan identitas bersertifikat untuk server. Anda dapat menggunakan sertifikat yang ditandatangani sendiri atau sertifikat yang diperoleh dari otoritas sertifikat.

Dengan komputer Master dan Replica (Replika) Open Directory yang sudah siap:

  1. Pastikan komputer Master dan Replica (Replika) Open Directory mendukung koneksi SSL.
  2. Aktifkan enkripsi SSL di Master Open Directory menggunakan sertifikat yang ditandatangani sendiri dengan nama umum yang diatur ke nama host Master tersebut.
  3. Aktifkan SSL di semua komputer Replica (Replika): Buat sertifikat yang ditandatangani sendiri di komputer Replica (Replika) menggunakan Server Admin dengan nama umum yang sama dengan nama host komputernya.

Di Terminal, jalankan perintah ini:

Mac OS X Server 10.5:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert] -ssldomain [name of the certificate]

Mac OS X Server 10.6:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert]

(Secara default, Server Admin menyimpan sertifikatnya di /etc/certificates. Selain itu, pastikan untuk memasukkan nama file di jalurnya)

Menginstal sertifikat dari Master dan Replicas (Replika) Open Directory

Agar komputer klien dapat menggunakan SSL, sertifikat dari setiap server di kelompok direktori harus disalin ke komputer klien. Untuk menginstal sertifikat dari komputer Master dan Replica (Replika) Open Directory:

1. Di setiap komputer klien, buat direktori /etc/openldap/certs.

2. Di komputer klien, buka Terminal dan jalankan perintah ini untuk mendapatkan sertifikat dari server:

openssl s_client -connect [hostname of the server]:636

3. Salin baris antara "---BEGIN CERTIFICATE---" dan "---END CERTIFICATE---" ke file bernama "hostname" (nama host).

4. Letakkan file nama host yang baru di sini:/etc/openldap/certs/

5. Anda dapat menguji sertifikat menggunakan perintah ini: 

openssl s_client -connect [hostname of the server]:636 -CAfile /etc/openldap/certs/hostname

Ini harus menampilkan hasil yang sama seperti sebelumnya, dengan perubahan pada baris terakhir: verifikasi kode pengembalian:0(ok), bukan 18 atau 19 yang Anda terima sebelumnya

6. Jika Anda hanya memiliki satu sertifikat (misalnya, satu server LDAP yang mengaktifkan SSL), tambahkan baris berikut ke file /etc/openldap/ldap.conf

TLS_CACERT /etc/openldap/certs/[nama host servernya]

Jika Anda memiliki banyak server LDAP yang mengaktifkan SSL

Anda harus menentukan server satu per satu, atau menempatkan semuanya di direktori yang sama dan mengarahkan ldap.conf menggunakan langkah-langkah berikut:

1. Untuk setiap server di kelompok LDAP, Anda harus memperoleh sertifikat sama seperti sebelumnya menggunakan perintah openssl s_client:

openssl s_client -connect [nama host servernya]:636

2. Setelah memperoleh sertifikat tersebut, gunakan c_hash (utilitas OpenSSL) untuk mendapatkan format dalam hash. Untuk setiap sertifikat, c_hash akan menghasilkan nama yang akan digunakan untuk mengubah file sertifikat di /etc/openldap/certs:

/System/Library/OpenSSL/misc/c_hash /etc/openldap/certs/hostname

Hasilnya harus mirip dengan:  03be8eb2.0 => /etc/openldap/certs/hostname

3. Setelah Anda menerima nama hash, ubah nama file cert yang ada secara manual.

Contoh:

mv /etc/openldap/certs/hostname /etc/openldap/certs/03be8eb2.0

4. Setelah menjalankan semua sertifikat melalui c_hash, edit file /etc/openldap/ldap.conf dengan:

TLS_CACERTDIR /etc/openldap/certs/

5. Hapus entri TLS_CACERTDIR lama yang ada di dalam file ldap.conf.

6. Verifikasi dengan perintah ldapsearch:

ldapsearch -v -x -H ldaps://[hostname of the server] -b [searchbase]

7. Anda perlu memulai ulang Directory Services (Layanan Direktori) jika sudah pernah mencoba mengatur server LDAP:

sudo killall DirectoryService
Tanggal Dipublikasikan: