OS X Server:Active Directory クライアントでの SSL を使ったパケット暗号化

Active Directory クライアントとサーバの間のパケット暗号化で、SSL (Secure Sockets Layer) を使う方法について説明します。

dsconfigad(8) コマンドを使って、Active Directory クライアントとサーバの間でパケット暗号化を許可、無効、要求にしたりできます。

パケット暗号化が使われている場合、Active Directory クライアントとサーバの間のパケットは、デフォルトで Kerberos を使って暗号化および署名されます。SSL を代わりに使うには、管理ユーザとして次のコマンドをターミナルで実行します。

dsconfigad -packetencrypt ssl

サーバが信頼されない証明書を使う場合、キーチェーンアクセスを利用して、クライアントのシステムキーチェーンに root および必要な中間証明書を追加する必要があります。証明書の承認を無効にする場合は、次の行を変更できます (テスト以外では行わないでください)。

TLS_REQCERT demand

を、次のように変更します。

TLS_REQCERT never

この変更は、クライアント側の /etc/openldap/ldap.conf で行います。

関連情報

詳しくは、ターミナルで man dsconfigad と入力して表示される dsconfigad(8) のマニュアルページを参照してください。

公開日: