Open Directory: Open Directory için SSL Özelliğini Kopyalarla Etkinleştirme
Güvenli Bağlantı Katmanı (SSL); bir Open Directory aslı, kopyası ve LDAP dizin alanına erişimi olan bilgisayarlar arasında şifreli iletişim sağlamak için etkinleştirilebilir. SSL'de, sunucular için sertifikalı bir kimlik sağlamak üzere dijital bir sertifika kullanılır. Kendinden imzalı bir sertifika veya sertifika yetkilisinden alınmış bir sertifika kullanabilirsiniz.
Open Directory aslı ve kopyası bilgisayarlarınız çalışır durumdayken:
Hem Open Directory aslı hem de kopyası bilgisayarların SSL bağlantılarını desteklediğinden emin olun.
Ortak adı Open Directory aslının sunucu adı olarak ayarlanmış, kendinden imzalı bir sertifika kullanarak Open Directory aslının üzerinde SSL şifrelemesini etkinleştirin.
Tüm Kopya bilgisayarlarda SSL özelliğini etkinleştirme: Kopya bilgisayarlarda, ilgili bilgisayarın sunucu adıyla aynı ortak ada sahip Server Admin'i kullanarak kendinden imzalı bir sertifika oluşturun.
Terminal'de şu komutu çalıştırın:
Mac OS X Server 10.5:
sudo slapconfig -setldapconfig -ssl on -sslkey [SSL anahtarı yolu] -sslcert [SSL sertifikası yolu] -ssldomain [sertifikanın adı]
Mac OS X Server 10.6:
sudo slapconfig -setldapconfig -ssl on -sslkey [SSL anahtarı yolu] -sslcert [SSL sertifikası yolu]
(Sertifikalar, Server Admin'de saptanmış olarak /etc/certificates dosyasında saklanır. Dosya adlarını da yola eklediğinizden emin olun)
Open Directory aslından ve kopyalarından sertifika yükleme
İstemci bilgisayarlarda SSL özelliğinin kullanılabilmesi için dizin kümesindeki her bir sunucudan alınan sertifikanın istemci bilgisayarlara kopyalanması gerekir. Open Directory aslı ve kopyası bilgisayarlardan sertifikaları yüklemek için:
1. Tüm istemci bilgisayarlarda /etc/openldap/certs dizinini oluşturun.
2. Bir istemci bilgisayarda Terminal uygulamasını açın ve sertifikayı sunucudan almak için şu komutu çalıştırın:
openssl s_client -connect [sunucu adı]:636
3. "---SERTİFİKAYA BAŞLA---" ile "--SERTİFİKAYI BİTİR--" ifadeleri arasındaki satırları "sunucu adı" isimli bir dosyaya kopyalayın.
4. Yeni sunucu adı dosyasını buraya yerleştirin: /etc/openldap/certs/
5. Şu komutu kullanarak sertifikayı test edebilirsiniz:
openssl s_client -connect [sunucu adı]:636 -CAfile /etc/openldap/certs/hostname
Bu, son satırdaki değişiklikle birlikte, öncekine benzer bir çıktı göstermelidir: daha önce aldığınız 18 veya 19 yerine iade kodu:0(tamam)'ı doğrulayın
6. Yalnızca bir sertifikanız varsa (örneğin, SSL özelliği etkinleştirilmiş tek bir LDAP sunucusu) aşağıdakileri /etc/openldap/ldap.conf dosyasına ekleyin
TLS_CACERT /etc/openldap/certs/[sunucu adı]
SSL özelliği etkinleştirilmiş birden fazla LDAP sunucunuz varsa
Sunucuları ayrı ayrı belirtmeniz veya hepsini aynı dizine koyup aşağıdaki adımları kullanarak ldap.conf dosyasını bu sunuculara yönlendirmeniz gerekir:
1. LDAP kümesindeki her sunucu için, openssl s_client komutunu kullanarak sertifikaları daha önce olduğu gibi almanız gerekir:
openssl s_client -connect [sunucu adı]:636
2. Sertifikaları aldıktan sonra karma bir biçime dönüştürmek için c_hash (bir OpenSSL izlencesi) komutunu kullanın. Her sertifika için c_hash komutu, /etc/openldap/certs yolundaki sertifika dosyasını yeniden adlandırmak amacıyla kullanılacak bir ad verir:
/System/Library/OpenSSL/misc/c_hash /etc/openldap/certs/hostname
Çıktı şunun gibi olmalıdır: 03be8eb2.0 => /etc/openldap/certs/hostname
3. Hash adını aldıktan sonra mevcut sertifika dosyasını elle yeniden adlandırın.
Örnek:
mv /etc/openldap/certs/hostname /etc/openldap/certs/03be8eb2.0
4. Tüm sertifikaları c_hash komutuyla çalıştırdıktan sonra, /etc/openldap/ldap.conf dosyasını şu şekilde düzenleyin:
TLS_CACERTDIR /etc/openldap/certs/
5. ldap.conf dosyasında olabilecek daha önceki tüm TLS_CACERTDIR girişlerini kaldırın.
6. ldapsearch komutuyla doğrulayın:
ldapsearch -v -x -H ldaps://[sunucu adı] -b [arama tabanı]
7. LDAP sunucusunu daha önce kurmayı denediyseniz Dizin Servisleri'ni yeniden başlatmanız gerekebilir:
sudo killall DirectoryService