OS X Server: configurazione dei client per l'utilizzo di SSL per il vincolo Open Directory

In questo articolo viene illustrato come configurare un server Open Directory e un client OS X per l'uso della crittografia SSL per il vincolo Open Directory.

Configurazione del server

Innanzitutto, attiva la crittografia SSL per Open Directory sul server e seleziona un certificato da utilizzare. Consulta l'Aiuto Server oppure il manuale di amministrazione per la versione di OS X Server in uso.

Apple consiglia vivamente di ottenere un certificato attendibile per proteggere la connessione SSL, ma puoi anche utilizzare un certificato autofirmato.

Configurazione del client

I client OS X Mountain Lion e Lion utilizzano automaticamente SSL e importano il certificato necessario per il vincolo a un server Open Directory che lo supporta.

  1. Apri Preferenze di Sistema e seleziona Utenti e Gruppi.
  2. Fai clic sull'icona con il lucchetto per apportare modifiche e, se necessario, immetti la password amministratore.
  3. Fai clic su Opzioni login.
  4. Accanto a Server account network, fai clic su Aggiungi o Modifica.
  5. Se necessario, fai clic sul pulsante +. Immetti il nome del server Open Directory, quindi fai clic su OK.
  6. Quando viene richiesto di autorizzare i certificati SSL forniti dal server, fai clic su Autorizza.

Su client Mac OS X 10.6 e 10.5, devi importare manualmente il certificato SSL del server prima di creare il vincolo.

  1. Sul computer client, apri Terminale e utilizza uno dei comandi seguenti per ottenere il certificato dal server:

    openssl s_client -connect NomeServer:636
    openssl s_client -connect NomeServer:636 -showcerts

    Sostituisci NomeServer con il nome di dominio completo del server. Nota: l'argomento '-showcerts' è necessario soltanto quando si crea il vincolo a un Lion Server.
     
  2. Se necessario, premi Ctrl-C per uscire dal comando openssl.
  3. Copia a partire dalla prima riga "-----BEGIN CERTIFICATE-----" fino all'ultima riga "-----END CERTIFICATE-----" inclusa. Importante: Lion Server conterrà una catena di certificati. Assicurati di includerli tutti.
  4. Utilizza il comando seguente per creare un file denominato "mycert" contenente il testo che hai copiato:

    pbpaste > ~/Desktop/mycert
  5. Utilizza il comando seguente per spostare il file del nuovo certificato nella directory openldap:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. Mediante il comando sudo e queste istruzioni, modifica il file /etc/openldap/ldap.conf. Ad esempio:

    sudo pico /etc/openldap/ldap.conf
  7. Sotto la riga "TLS_REQCERT demand", aggiungi una nuova riga "TLS_CACERT /etc/openldap/mycert".
  8. Salva le modifiche.
  9. Riavvia il computer client.
  10. Vincola il client al server Open Directory:

    • In Mac OS X dalla versione 10.6.4 alla versione 10.6.8, apri il riquadro Account in Preferenze di Sistema, fai clic su Opzioni login e quindi sul pulsante "Accedi" o "Modifica" accanto a Server account network. Fai clic sul pulsante +, immetti il nome di dominio completo del master Open Directory, seleziona la casella "Richiedi connessione sicura (SSL)" e fai clic su OK.
    • In Mac OS X dalla versione 10.6 alla versione 10.6.3, apri l'applicazione Utility Directory (si trova in /Sistema/Libreria/CoreServices) e fai clic sull'icona con il lucchetto per apportare modifiche. Fai doppio clic su "LDAPv3", quindi fai clic sul pulsante "Nuovo". Immetti il nome di dominio completo del master Open Directory, seleziona la casella "Cripta usando SSL" e fai clic su Continua.
    • In Mac OS X 10.5.x, apri l'applicazione Utility Directory (in /Applicazioni/Utility) e fai clic sul pulsante +. Scegli il tipo "Open Directory", immetti il nome di dominio completo del master Open Directory, seleziona la casella "Cripta usando SSL" e fai clic su OK.

 

Puoi utilizzare un nome differente per il file "mycert", a patto che sia corrispondente al riferimento in ldap.conf.

Se SSL non è configurato correttamente sul server, il client riporterà il messaggio "Impossibile aggiungere il server. (Nome o indirizzo IP del server) non supporta connessioni a directory criptate con SSL." oppure "Impossibile aggiungere il server. L'operazione non è supportata dal nodo della directory. (10000)".

Data di pubblicazione: