OS X Server:配置客户端以将 SSL 用于 Open Directory 绑定

本文介绍了如何配置 Open Directory 服务器和 OS X 客户端以将 SSL 加密用于 Open Directory 绑定。

服务器配置

首先在服务器上为 Open Directory 启用 SSL 加密,然后选择一个要使用的证书。请参阅针对您所用 OS X Server 版本的“服务器帮助”或“管理指南”。

Apple 强烈建议您获取可信的证书以确保 SSL 连接的安全,但是您也可以使用自签名证书。

客户端配置

OS X Mountain Lion 和 Lion 客户端在绑定到支持它的 Open Directory 服务器时,将自动使用 SSL 并导入必要的证书。

  1. 打开“系统偏好设置”,并选择“用户与群组”。
  2. 必要时点按锁图标,以进行更改并输入管理员密码。
  3. 点按“登录选项”。
  4. 点按“网络帐户服务器”旁边的“添加”或“编辑”。
  5. 必要时点按“+”按钮。输入 Open Directory 服务器的名称,然后点按“好”。
  6. 当系统提示您信任服务器提供的 SSL 证书时,请点按“信任”。

在 Mac OS X v10.6 和 v10.5 客户端上,您必须先手动导入服务器的 SSL 证书,然后再绑定。

  1. 在客户端电脑上,打开“终端”并使用以下任一命令,从服务器获取证书:

    openssl s_client -connect myServerName:636
    openssl s_client -connect myServerName:636 -showcerts

    myServerName 替换为服务器的完全限定域名。注:仅当绑定到 Lion Server 时才需要“-showcerts”参数。
     
  2. 如有必要,按 Control-C 以退出 openssl 命令。
  3. 拷贝从第一行“-----BEGIN CERTIFICATE-----”到最后一行“-----END CERTIFICATE-----”的所有行。重要信息:Lion Server 将包含证书链。务必包括所有行。
  4. 使用以下命令创建一个名为“mycert”的文件,其中包含您已拷贝的文本:

    pbpaste > ~/Desktop/mycert
  5. 使用以下命令将新证书文件移到 openldap 目录:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. 使用 sudo 命令和这些说明来编辑“/etc/openldap/ldap.conf”文件。例如:

    sudo pico /etc/openldap/ldap.conf
  7. 在“TLS_REQCERT demand”行下方添加新的一行“TLS_CACERT /etc/openldap/mycert”。
  8. 存储更改。
  9. 重新启动客户端电脑。
  10. 将客户端绑定到 Open Directory 服务器:

    • 在 Mac OS X v10.6.4 到 10.6.8 中,打开“系统偏好设置”的“帐户”面板,点按“登录选项”,然后点按“网络帐户服务器”旁边的“加入”或“编辑”按钮。点按“+”按钮,输入 Open Directory 主服务器的 FQDN,然后选中“需要安全连接 (SSL)”方框并点按“好”。
    • 在 Mac OS X v10.6 到 10.6.3 中,打开“目录实用工具”应用软件(位于“/系统/资源库/CoreServices”中)并点按锁图标以进行更改。连按“LDAPv3”,然后点按“新建...”按钮。输入 Open Directory 主服务器的 FQDN,选中“使用 SSL 加密”方框并点按“继续”。
    • 在 Mac OS X v10.5.x 中,打开“目录实用工具”应用软件(位于“/应用软件/实用工具”中)并点按“+”按钮。选取“Open Directory”类型,输入 Open Directory 主服务器的 FQDN,然后选中“使用 SSL 加密”方框并点按“好”。

 

您可以对“mycert”文件使用其他名称,只要文件名与 ldap.conf 中提到的名称相匹配即可。

如果服务器上的 SSL 配置不正确,客户端将报告“无法添加服务器。(服务器名称或 IP 地址)不支持使用 SSL 加密的目录连接”或“无法添加服务器。目录节点不支持操作。(10000)”。

发布日期: