OS X Server: clients configureren om SSL te gebruiken voor het koppelen aan Open Directory

In dit artikel wordt uitgelegd hoe u een Open Directory-server en OS X-client configureert om SSL-codering te gebruiken voor het koppelen aan Open Directory.

Configuratie van de server

Schakel eerst SSL-codering in voor Open Directory op de server en selecteer het certificaat dat u wilt gebruiken. Raadpleeg Server Help of de gids voor serverbeheer voor uw versie van OS X Server.

Apple raadt u sterk aan een vertrouwd certificaat te verkrijgen om de SSL-verbinding te beveiligen. U kunt echter ook een zelfondertekend certificaat gebruiken.

Configuratie van de client

OS X Mountain Lion- en OS X Lion-clients gebruiken automatisch SSL en importeren het benodigde certificaat bij het koppelen aan een Open Directory-server die dit ondersteunt.

  1. Open Systeemvoorkeuren en selecteer 'Gebruikers en groepen'.
  2. Klik op het hangslot om wijzigingen aan te brengen en voer indien nodig een beheerderswachtwoord in.
  3. Klik op 'Inlogopties'.
  4. Klik op 'Voeg toe' of 'Bewerk' naast Netwerkaccountserver.
  5. Klik indien nodig op de plusknop (+). Voer de naam van de Open Directory-server in en klik op 'OK'.
  6. Wanneer u wordt gevraagd de SSL-certificaten van de server te vertrouwen, klikt u op 'Vertrouw'.

Op Mac OS X v10.6- en v10.5-clients moet u voor de koppeling het SSL-certificaat van de server handmatig invoeren.

  1. Open Terminal op de clientcomputer en gebruik een van de volgende commando's om het certificaat van de server te verkrijgen:

    openssl s_client -connect mijnServernaam:636
    openssl s_client -connect mijnServernaam:636 -showcerts

    Vervang mijnServernaam door de volledig gekwalificeerde domeinnaam van de server. Opmerking: het argument '-showcerts' is alleen nodig bij het koppelen aan een Lion Server.
     
  2. Druk indien nodig op Control-C om het commando openssl te stoppen.
  3. Kopieer de regels vanaf de eerste regel '-----BEGIN CERTIFICATE-----' tot en met de laatste regel '-----END CERTIFICATE-----'. Belangrijk: een Lion Server bevat een certificaatketen. Zorg ervoor dat u ze allemaal opneemt.
  4. Gebruik het volgende commando om een bestand met de naam mycert te maken dat de gekopieerde tekst bevat:

    pbpaste > ~/Desktop/mycert
  5. Gebruik het volgende commando om het nieuwe certificaatbestand te verplaatsen naar de openldap-thuismap:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. Bewerk het bestand /etc/openldap/ldap.conf met het sudo-commando en deze instructies. Bijvoorbeeld:

    sudo pico /etc/openldap/ldap.conf
  7. Voeg onder de regel 'TLS_REQCERT demand' de nieuwe regel 'TLS_CACERT /etc/openldap/mycert' toe.
  8. Bewaar de wijzigingen.
  9. Start de clientcomputer opnieuw op.
  10. Koppel de client aan de Open Directory-server:

    • In Mac OS X v10.6.4 t/m 10.6.8 opent u het paneel 'Accounts' in Systeemvoorkeuren, klikt u op 'Inlogopties' en klikt u op de knop 'Verbind' of 'Bewerk' naast Netwerkaccountserver. Klik op de plusknop (+), voer de volledig gekwalificeerde domeinnaam van de Open Directory-hoofdserver in, schakel het aankruisvak 'Beveiligde verbinding (SSL) vereist' in en klik op 'OK'.
    • In Mac OS X v10.6 t/m 10.6.3 opent u het programma Adreslijsthulpprogramma (in /Systeem/Bibliotheek/CoreServices) en klikt u op het hangslot om wijzigingen aan te brengen. Dubbelklik op 'LDAPv3' en klik vervolgens op de knop 'Nieuw...'. Voer de volledig gekwalificeerde domeinnaam van de Open Directory-hoofdserver in, schakel het aankruisvak 'Codeer via SSL' in en klik op 'Ga door'.
    • In Mac OS X v10.5.x opent u het programma Adreslijsthulpprogramma (in /Programma's/Hulpprogramma's) en klikt u op de plusknop (+). Kies type 'Open Directory', voer de volledig gekwalificeerde domeinnaam van de Open Directory-hoofdserver in, schakel het aankruisvak 'Codeer via SSL' in en klik op 'OK'.

 

U kunt een andere naam gebruiken voor het bestand mycert zolang de naam van het bestand overeenstemt met de verwijzing in ldap.conf.

Als SSL niet juist is geconfigureerd op de server, meldt de client 'Server kan niet worden toegevoegd. (Servernaam of IP-adres) ondersteunt geen adreslijstverbindingen die zijn gecodeerd met SSL' of 'Server kan niet worden toegevoegd. Bewerking wordt niet ondersteund door de directorynode. (10000)'.

Publicatiedatum: