Open Directory: Eş sunucularla Open Directory için SSL'yi etkinleştirme

Güvenli Bağlantı Katmanı (SSL), Open Directory Ana Sunucusuna, Eş Sunuculara ve LDAP dizin alanına erişen bilgisayarlar arasında şifreli iletişim sağlamak amacıyla etkinleştirilebilir. SSL, sunuculara sertifikalı bir kimlik sağlamak için dijital bir sertifika kullanır. Kendinden imzalı veya bir sertifika kuruluşundan edinilmiş bir sertifika kullanabilirsiniz.

Open Directory Ana ve Eş sunucu bilgisayarlarınız hazır durumdayken:

  1. Hem Open Directory Ana sunucusu, hem de Eş sunucu bilgisayarların SSL bağlantılarını desteklediklerinden emin olun.
  2. Ana sunucunun ana bilgisayar adına ayarlı ortak ada sahip kendinden imzalı bir sertifika kullanarak, Open Directory Master'da SSL şifrelemesini etkinleştirin.
  3. SSL'i tüm Eş sunucu bilgisayarlarında etkinleştirme: Sunucu Yöneticisi'ni kullanarak, Eş sunucu bilgisayarlar üzerinde o bilgisayarın ana bilgisayarıyla aynı ortak ada sahip, kendinden imzalı bir sertifika oluşturun.

Terminal'de şu komutu çalıştırın:

Mac OS X Server 10.5:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert] -ssldomain [name of the certificate]

Mac OS X Server 10.6:

sudo slapconfig -setldapconfig -ssl on -sslkey [path to SSL key] -sslcert [path to SSL cert]

(Saptanmış olarak, Sunucu Yöneticisi sertifikaları /etc/certificates yolunda saklar. Yola dosya adlarını dahil etmeyi de unutmayın)

Sertifikaları Open Directory Ana ve Eş Sunucularından yükleyin

İstemci bilgisayarların SSL'yi kullanabilmesi için, dizin kümesindeki tüm sunuculardaki sertifikaların istemci bilgisayarlara kopyalanması gerekir. Open Directory Ana ve Eş sunucu bilgisayarlardan sertifikaları yüklemek için:

1. İstemci bilgisayarların her birinde /etc/openldap/certs dizinini oluşturun.

2. Bir istemci bilgisayarda Terminal'i açın ve sertifikayı sunucudan almak için şu komutu çalıştırın:

openssl s_client -connect [hostname of the server]:636

3. "---BEGIN CERTIFICATE---" ve "---END CERTIFICATE---" arasındaki satırları "hostname" adında bir dosyaya kopyalayın.

4. Yeni ana bilgisayar dosyasını /etc/openldap/certs/ konumuna kaydedin.

5. Şu komutu kullanarak sertifikayı test edebilirsiniz: 

openssl s_client -connect [hostname of the server]:636 -CAfile /etc/openldap/certs/hostname

Bunun son satırdaki şu değişiklik hariç bir öncekine benzer bir sonuç görüntülemesi gerekir: verify return code:0(ok) (Daha önceki 18 veya 19 yerine).

6. Yalnızca tek bir sertifikanız varsa (örneğin, SSL etkinleştirilmiş durumda tek bir LDAP sunucusu) /etc/openldap/ldap.conf dosyasına şunu ekleyin:

TLS_CACERT /etc/openldap/certs/[sunucunun ana bilgisayar adı]

SSL etkinleştirilmiş durumda birden fazla LDAP sunucunuz varsa

Sunucuları tek tek belirtmeniz veya tümünü aynı dizine koyup, aşağıdaki adımları izleyerek ldap.conf dosyasını onları işaret edecek şekilde ayarlamanız gerekir:

1. LDAP kümesindeki her sunucu için, openssl s_client komutunu kullanarak daha önceki gibi sertifikaları edinmeniz gerekir:

openssl s_client -connect [sunucunun ana bilgisayar adı]:636

2. Sertifikaları edindikten sonra, sertifikaları özetlenmiş bir biçime dönüştürmek için c_hash (bir OpenSSL izlencesi) kullanın. Her sertifika için, c_hash size /etc/openldap/certs dizinindeki sertifikanın adı yerine kullanılacak yeni bir ad verecektir:

/System/Library/OpenSSL/misc/c_hash /etc/openldap/certs/hostname

Sonucun şuna benzer şekilde görünmesi gerekir: 03be8eb2.0 => /etc/openldap/certs/hostname

3. Özet adı aldıktan sonra, mevcut sertifika dosyasının adını elle değiştirin.

Örnek:

mv /etc/openldap/certs/hostname /etc/openldap/certs/03be8eb2.0

4. Tüm sertifikaları c_hash üzerinden çalıştırdıktan sonra, /etc/openldap/ldap.conf dosyasını şununla düzenleyin:

TLS_CACERTDIR /etc/openldap/certs/

5. ldap.conf dosyasında yer alan daha önceki tüm TLS_CACERTDIR girişlerini kaldırın.

6. ldapsearch komutunu doğrulayın:

ldapsearch -v -x -H ldaps://[hostname of the server] -b [searchbase]

7. LDAP sunucusunu kurmayı daha önce denemişseniz, Dizin Servislerini yeniden başlatmanız gerekebilir:

sudo killall DirectoryService
Yayın Tarihi: