OS X Server:設定讓用戶端透過 SSL 綁定 Open Directory

本文解釋如何設定 Open Directory 伺服器和 OS X 用戶端,以使用 SSL 加密功能綁定 Open Directory。

伺服器設定

首先,對伺服器上的 Open Directory 啟用 SSL 加密,然後選擇要使用的憑證。請參閱現用 OS X Server 版本的 Server 輔助說明或管理指南。

Apple 極力建議您取得信任的憑證來確保您的 SSL 連線安全,不過,您也可以使用自我簽署的憑證。

用戶端設定

OS X Mountain Lion 和 Lion 用戶端會自動使用 SSL,並在綁定到支援它的 Open Directory 伺服器時,輸入必要的憑證。

  1. 開啟「系統偏好設定」,選取「使用者與群組」。
  2. 必要時按一下掛鎖圖像進行變更,並輸入管理者密碼。
  3. 按一下「登入選項」。
  4. 按一下「網路帳號伺服器」旁邊的「新增」或「編輯」。
  5. 必要時按一下 + 按鈕。輸入 Open Directory 伺服器的名稱,然後按一下「好」。
  6. 系統出現提示,詢問您是否信任伺服器提供的 SSL 憑證時,按一下「信任」。

使用 Mac OS X v10.6 與 v10.5 用戶端時,必須在綁定之前手動輸入伺服器的 SSL 憑證。

  1. 開啟用戶端電腦的「終端機」,然後選擇下列其中一個指令從伺服器取得憑證:

    openssl s_client -connect myServerName:636
    openssl s_client -connect myServerName:636 -showcerts

    myServerName 取代成伺服器的完整網域名稱。附註:綁定到 Lion Server 時才需要提供「-showcerts」引數。
     
  2. 必要時按 Control-C 結束 openssl 指令。
  3. 第一個「-----BEGIN CERTIFICATE-----」命令列一直拷貝到最後一個「-----END CERTIFICATE-----」命令列。重要事項:Lion Server 包含憑證鏈,拷貝時必須全部涵蓋進去。
  4. 使用下列指令建立「mycert」檔案,內容則是您剛剛拷貝的文字:

    pbpaste > ~/Desktop/mycert
  5. 使用下列指令將新的憑證檔案搬移到 openldap 目錄:

    sudo mv ~/Desktop/mycert /etc/openldap/
  6. 使用 sudo 指令並按照這些指示修改 /etc/openldap/ldap.conf 檔案。例如:

    sudo pico /etc/openldap/ldap.conf
  7. 在「TLS_REQCERT demand」這一行下方加入新的一行:「TLS_CACERT /etc/openldap/mycert」。
  8. 儲存變更內容。
  9. 重新啟動用戶端電腦。
  10. 將用戶端綁定到 Open Directory 伺服器。

    • Mac OS X v10.6.4 - 10.6.8:開啟「系統偏好設定」的「帳號」面板、按一下「登入選項」,然後按一下「網路帳號伺服器」旁邊的「加入」或「編輯」。按一下 + 按鈕、輸入 Open Directory 主要伺服器的完整網域名稱、在「要求安全連線(SSL)」註記框中打勾,然後按一下「好」。
    • Mac OS X v10.6 - 10.6.3:開啟「目錄工具程式」(位於「/系統/資源庫/CoreServices」),然後按一下掛鎖圖像進行變更。按兩下「LDAPv3」,然後按一下「新增⋯」按鈕。輸入 Open Directory 主要伺服器的完整網域名稱、在「使用 SSL 加密」註記框中打勾,然後按一下「繼續」。
    • Mac OS X v10.5.x:開啟「目錄工具程式」(位於「/應用程式/工具程式」),然後按一下 + 按鈕。選擇「Open Directory」類型、輸入 Open Directory 主要伺服器的完整網域名稱、在「使用 SSL 加密」註記框中打勾,然後按一下「好」。

 

您不一定要用「mycert」這個檔案名稱,但是檔案名稱必須和 ldap.conf 中的參照資料相同。

如果伺服器的 SSL 設定不當,用戶端就會回報「無法加入伺服器。(伺服器名稱或 IP 位址)不支援以 SSL 加密的目錄連線」或「無法加入伺服器。目錄節點不支援此操作(10000)」。

發佈日期: