Apple OS X Server - clients configureren voor Open Directory
In dit artikel wordt uitgelegd hoe u een Open Directory-server en Mac OS X-client configureert om SSL-codering te gebruiken voor het koppelen aan Open Directory. Dit geldt voor:
- OS X (Server) 10.7 (Lion)
- Mac OS X (Server) 10.6 (Snow Leopard)
- Mac OS X (Server) 10.5 (Leopard).
Configuratie van de server
- Open Server Admin en maak verbinding met de Open Directory-server.
- Klik indien nodig op het driehoekje links van de servernaam om de lijst met voorzieningen weer te geven.
- Klik op Open Directory in de uitgeklapte lijst met voorzieningen.
- Klik achtereenvolgens op Instellingen → LDAP.
- Vink Activeer SSL aan.
- Gebruik het venstermenu Certificaat om het SSL certificaat te kiezen die u de LDAP-voorziening wilt laten gebruiken.
- Klik op Bewaar.
Configuratie van de client
Clients met OS X Lion gebruiken automatisch SSL en importeren het benodigde certificaat bij het koppelen aan een Open Directory-server die dit ondersteunt.
- Open Systeemvoorkeuren en selecteer Gebruikers en groepen.
- Klik op het hangslot om wijzigingen aan te brengen en voer indien nodig een beheerderswachtwoord in.
- Klik op Inlogopties.
- Klik op Voeg toe of Bewerk naast Netwerkaccountserver.
- Klik indien nodig op de plusknop (+). Voer de naam van de Open Directory-server in en klik op OK.
- Klik op Vertrouw, als u wordt gevraagd de SSL-certificaten van de server te vertrouwen.
Let op: Op clients met OS X v10.5.x en v10.6.x moet u voor de koppeling het SSL certificaat van de server handmatig invoeren. - Open Terminal op de client en gebruik een van de volgende commando's om het certificaat van de server te verkrijgen:
openssl s_client -connect Servernaam:636
openssl s_client -connect Servernaam:636 -showcerts
Vervang Servernaam door de volledig FQDN van de server. Let op: het argument -showcerts is alleen nodig bij het koppelen aan een Lion Server. - Druk indien nodig op CTRL+c om het commando openssl te stoppen.
- Kopieer de regels vanaf de eerste regel -----BEGIN CERTIFICAAT----- tot en met de laatste regel -----EINDE CERTIFICAAT-----. Let op: een Lion Server bevat een certificaatketen. Zorg ervoor dat u ze allemaal opneemt.
- Gebruik het volgende commando om een bestand met de naam 'mijncertificaat' te maken dat de gekopieerde tekst bevat:
pbpaste > ~/Bureaublad/mijncertificaat
- Gebruik het volgende commando om het nieuwe certificaatbestand te verplaatsen naar de openldap-thuismap:
sudo mv ~/Bureaublad/mijncertificaat /etc/openldap/
- Met het sudo-commando en deze instructies bewerkt u het bestand /etc/openldap/ldap.conf. Bijvoorbeeld:
sudo pico /etc/openldap/ldap.conf
- Onder de regel TLS_REQCERT demand voegt u een nieuwe regel "TLS_CACERT /etc/openldap/mijncertificaat" toe.
- Bewaar de wijzigingen.
- Start de client opnieuw op.
- Koppel de client aan de Open Directory-server:
OS X v10.6.4 t/m 10.6.8 - Open het paneel Accounts in Systeemvoorkeuren → Inlogopties → Verbind of Bewerk naast Netwerkaccountserver.
- Klik op de plusknop (+), voer de FQDN van de Open Directory-hoofdserver in.
- Zet het vinkje bij Beveiligde verbinding (SSL) vereist → OK.
OS X v10.6 t/m 10.6.3 - Open het programma Adreslijsthulpprogramma (in /Systeem/Bibliotheek/CoreServices), klik op het hangslot om wijzigingen aan te brengen.
- Dubbelklik op LDAPv3 → Nieuw....
- Voer de FQDN van de Open Directory-hoofdserver in, zet het vinkje bij Codeer via SSL → Ga door.
OS X v10.5.x - Open het programma Adreslijsthulpprogramma (in /Programma's/Hulpprogramma's) en klik op de plusknop (+).
- Kies type Open Directory, voer de FQDN van de Open Directory-hoofdserver in, zet het vinkje bij Codeer via SSL → OK.
Aanvullende informatie
- U kunt een andere naam gebruiken voor het bestand "mijncertificaat" zolang de naam van het bestand overeenkomt met de verwijzing in openldap.conf.
- Als SSL niet juist is geconfigureerd op de server, meldt de client "Server kan niet worden toegevoegd. (Servernaam of IP-adres) ondersteunt geen adreslijstverbindingen die zijn gecodeerd met SSL" of "Server kan niet worden toegevoegd. Bewerking wordt niet ondersteund door de directorynode. (10000)".
Hulp nodig?
Bel ons op +31 88 775 775 0
SSLCheck
De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.