OS X Server: Open Directory 바인딩을 위해 SSL을 사용하도록 클라이언트 구성

이 문서에서는 Open Directory 바인딩을 위해 SSL 암호화를 사용하도록 Open Directory 서버 및 OS X 클라이언트를 구성하는 방법에 대해 설명합니다.

서버 구성

먼저 서버에서 Open Directory에 대해 SSL 암호화를 활성화하고 사용할 인증서를 선택합니다. 사용 중인 OS X Server 버전에 대해서는 서버 도움말 또는 관리 설명서를 참조하십시오.

SSL 연결의 보안을 유지하기 위해서는 신뢰할 수 있는 인증서를 받는 것이 가장 좋지만 자체 서명된 인증서를 사용해도 됩니다.

클라이언트 구성

OS X Mountain Lion 및 Lion 클라이언트는 자동으로 SSL을 사용하고 이를 지원하는 Open Directory에 바인딩할 때 필요한 인증서를 가져옵니다.

  1. 시스템 환경설정을 열고 사용자 및 그룹을 선택합니다.
  2. 필요한 경우 자물쇠를 클릭하여 변경하고 관리자 암호를 입력합니다.
  3. 로그인 옵션을 클릭합니다.
  4. 네트워크 계정 서버 옆에 있는 추가 또는 편집을 클릭합니다.
  5. 필요한 경우 + 단추를 클릭합니다. Open Directory 서버의 이름을 입력한 다음 승인을 클릭합니다.
  6. 서버가 제공하는 SSL 인증서를 신뢰하는지 묻는 메시지가 표시되면 신뢰를 클릭합니다.

Mac OS X v10.6 및 v10.5 클라이언트에서는 바인딩 전에 서버의 SSL 인증서를 수동으로 가져와야 합니다.

  1. 클라이언트 컴퓨터에서 터미널을 열고 다음 명령 중 하나를 사용하여 서버에서 인증서를 가져옵니다.

    openssl s_client -connect myServerName:636
    openssl s_client -connect myServerName:636 -showcerts

    myServerName을 서버의 전체 주소 도메인 이름으로 대치합니다. 참고: '-showcerts' 인수는 Lion Server에 바인딩할 때만 필요합니다.
     
  2. 필요한 경우 control-C 키를 눌러 openssl 명령을 종료합니다.
  3. first "-----BEGIN CERTIFICATE-----" 줄부터 시작해서 last "-----END CERTIFICATE-----" 줄이 포함된 줄까지 복사합니다. 중요: Lion Server에는 인증서 체인이 포함됩니다. 이 인증서를 모두 포함하도록 하십시오.
  4. 다음 명령을 사용하여 복사한 텍스트가 포함된 "mycert"라는 파일을 생성합니다.

    pbpaste > ~/Desktop/mycert
  5. 다음 명령을 사용하여 openldap 디렉토리로 새 인증서 파일을 옮깁니다.

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. sudo 명령 및 이 지침을 사용하여 /etc/openldap/ldap.conf 파일을 편집합니다. 예를 들면 다음과 같습니다.

    sudo pico /etc/openldap/ldap.conf
  7. "TLS_REQCERT demand" 줄 아래에 새 줄 "TLS_CACERT /etc/openldap/mycert"를 추가합니다.
  8. 변경 사항을 저장합니다.
  9. 클라이언트 컴퓨터를 재시동합니다.
  10. 클라이언트를 Open Directory 서버로 바인딩합니다.

    • Mac OS X v10.6.4~10.6.8에서 시스템 환경설정의 계정 패널을 열고 로그인 옵션을 클릭한 다음 네트워크 계정 서버 옆에 있는 '연결' 또는 '편집' 단추를 클릭합니다. + 단추를 클릭하고 Open Directory 마스터의 FQDN을 입력하고 '보안 연결 필요(SSL)' 체크상자를 선택한 다음 승인을 클릭합니다.
    • Mac OS X v10.6~10.6.3에서는 /시스템/라이브러리/CoreServices에 있는 디렉토리 유틸리티 응용 프로그램을 열고 자물쇠를 클릭하여 변경합니다. 'LDAPv3'를 이중 클릭한 다음 '새로 만들기...' 단추를 클릭합니다. Open Directory 마스터의 FQDN을 입력하고 'SSL을 사용하여 암호화' 체크상자를 선택한 다음 계속을 클릭합니다.
    • Mac OS X v10.5.x에서는 /응용 프로그램/유틸리티에 있는 Directory Utility 응용 프로그램을 열고 + 단추를 클릭합니다. 'Open Directory' 유형을 선택하고 Open Directory 마스터의 FQDN을 입력한 후 'SSL을 사용하여 암호화' 체크상자를 선택한 다음 승인을 클릭합니다.

 

파일 이름이 ldap.conf의 참조와 일치하면 "mycert" 파일용으로 다른 이름을 사용할 수도 있습니다.

SSL이 서버에 제대로 구성되어 있지 않으면 클라이언트에 '서버를 추가할 수 없습니다. (서버 이름 또는 IP주소)은(는) SSL로 암호화된 디렉토리 연결을 지원하지 않습니다.' 또는 '서버를 추가할 수 없습니다. 작업이 디렉토리 노드에서 지원되지 않습니다(10000).'라는 메시지가 표시됩니다.

게시일: