Apple OS X Server - clients configureren voor Open Directory

In dit artikel wordt uitgelegd hoe u een Open Directory-server en Mac OS X-client configureert om SSL-codering te gebruiken voor het koppelen aan Open Directory. Dit geldt voor:

  • OS X (Server) 10.7 (Lion)
  • Mac OS X (Server) 10.6 (Snow Leopard)
  • Mac OS X (Server) 10.5 (Leopard).

Configuratie van de server

  1.     Open Server Admin en maak verbinding met de Open Directory-server.
  2.     Klik indien nodig op het driehoekje links van de servernaam om de lijst met voorzieningen weer te geven.
  3.     Klik op Open Directory in de uitgeklapte lijst met voorzieningen.
  4.     Klik achtereenvolgens op InstellingenLDAP.
  5.     Vink Activeer SSL aan.
  6.     Gebruik het venstermenu Certificaat om het SSL certificaat te kiezen die u de LDAP-voorziening wilt laten gebruiken.
  7.     Klik op Bewaar.


Configuratie van de client

Clients met OS X Lion gebruiken automatisch SSL en importeren het benodigde certificaat bij het koppelen aan een Open Directory-server die dit ondersteunt.

  1.     Open Systeemvoorkeuren en selecteer Gebruikers en groepen.
  2.     Klik op het hangslot om wijzigingen aan te brengen en voer indien nodig een beheerderswachtwoord in.
  3.     Klik op Inlogopties.
  4.     Klik op Voeg toe of Bewerk naast Netwerkaccountserver.
  5.     Klik indien nodig op de plusknop (+). Voer de naam van de Open Directory-server in en klik op OK.
  6.     Klik op Vertrouw, als u wordt gevraagd de SSL-certificaten van de server te vertrouwen.
        Let op: Op clients met OS X v10.5.x en v10.6.x  moet u voor de koppeling het SSL certificaat van de server handmatig invoeren.
  7.     Open Terminal op de client en gebruik een van de volgende commando's om het certificaat van de server te verkrijgen:

    openssl s_client -connect Servernaam:636openssl s_client -connect Servernaam:636 -showcerts

    Vervang Servernaam door de volledig FQDN van de server. Let op: het argument -showcerts is alleen nodig bij het koppelen aan een Lion Server.

  8.     Druk indien nodig op CTRL+c om het commando openssl te stoppen.
  9.     Kopieer de regels vanaf de eerste regel -----BEGIN CERTIFICAAT----- tot en met de laatste regel -----EINDE CERTIFICAAT-----. Let op: een Lion Server bevat een certificaatketen. Zorg ervoor dat u ze allemaal opneemt.
  10.     Gebruik het volgende commando om een bestand met de naam 'mijncertificaat' te maken dat de gekopieerde tekst bevat:

    pbpaste > ~/Bureaublad/mijncertificaat

  11.     Gebruik het volgende commando om het nieuwe certificaatbestand te verplaatsen naar de openldap-thuismap:

    sudo mv ~/Bureaublad/mijncertificaat /etc/openldap/

  12.     Met het sudo-commando en deze instructies bewerkt u het bestand /etc/openldap/ldap.conf. Bijvoorbeeld:

    sudo pico /etc/openldap/ldap.conf

  13.     Onder de regel TLS_REQCERT demand voegt u een nieuwe regel "TLS_CACERT /etc/openldap/mijncertificaat" toe.
  14.     Bewaar de wijzigingen.
  15.     Start de client opnieuw op.
  16.     Koppel de client aan de Open Directory-server:

    OS X v10.6.4 t/m 10.6.8
    • Open het paneel Accounts in SysteemvoorkeurenInlogoptiesVerbind of Bewerk naast Netwerkaccountserver.
    • Klik op de plusknop (+), voer de FQDN van de Open Directory-hoofdserver in.
    • Zet het vinkje bij Beveiligde verbinding (SSL) vereist  → OK.
     
    OS X v10.6 t/m 10.6.3
    • Open het programma Adreslijsthulpprogramma (in /Systeem/Bibliotheek/CoreServices), klik op het hangslot om wijzigingen aan te brengen.
    • Dubbelklik op LDAPv3Nieuw....
    • Voer de FQDN van de Open Directory-hoofdserver in, zet het vinkje bij Codeer via SSL  → Ga door.
     
    OS X v10.5.x
    • Open het programma Adreslijsthulpprogramma (in /Programma's/Hulpprogramma's) en klik op de plusknop (+).
    • Kies type Open Directory, voer de FQDN van de Open Directory-hoofdserver in, zet het vinkje bij Codeer via SSLOK.
     

 

Aanvullende informatie

  • U kunt een andere naam gebruiken voor het bestand "mijncertificaat" zolang de naam van het bestand overeenkomt met de verwijzing in openldap.conf.
  • Als SSL niet juist is geconfigureerd op de server, meldt de client "Server kan niet worden toegevoegd. (Servernaam of IP-adres) ondersteunt geen adreslijstverbindingen die zijn gecodeerd met SSL" of "Server kan niet worden toegevoegd. Bewerking wordt niet ondersteund door de directorynode. (10000)".

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.