Apple Open Directory mit SSL einrichten?

[Ijon Tichy]

Ich habe hier schon lang einen LDAP mit Apple Open Directory eingerichtet, gegen den sich diverse Applikationen authentifzieren. Klappt auch gut.

Nun kam die Frage auf, ob man den LDAP-Zugriff über SSL unterstützen könnte. Ich finde aber beim besten Willen keine Stelle, wo ich das in macOS Server einstellen kann, ob der LDAP mit oder ohne SSL angesprochen werden kann oder soll. Kann mir jemand auf die Sprünge helfen?

 

[Wuchtbrumme]

ich hätte gedacht, das passiert automagisch beim Hinzufügen des Clients zum Netzwerkserver?
Die App "Verzeichnisdienste" hilft: https://support.apple.com/de-de/guide/directory-utility/diru7606aa37/mac
Bei mir war es tatsächlich automatisch an...

 

[Ijon Tichy]

Hm, weiß nicht, ob wir uns da uns jetzt nicht missverstehen...? Noch mal etwas detaillierter:

1. Der LDAP ist auf dem Server bereits eingerichtet, aber ohne SSL.
2. Bestätigung: Ein Verbindungsversuch über die App Verzeichnisdienste mit angehaktem SSL schlägt fehl. Ohne SSL geht es.
3. Nun würde ich gerne SSL auf dem Server nachträglich aktivieren, aber ich weiß nicht wie?

 

[Wuchtbrumme]

ah, ok - hilft das: https://discussions.apple.com/thread/8620068 (der Hinweis auf das Directory Utility)?

 

[Ijon Tichy]

Da ist tatsächlich ganz genau mein Problem beschrieben. Den Thread werde ich auf jeden Fall mal durchlesen, danke!

Allerdings muss ich nun erst ein anderes Problem lösen. Ich hatte festgestellt, dass im Server-Zertifikat die Subdomain des LDAP nicht enthalten war und habe es durch ein neues ersetzt, aber nun sind alle Web-Services offline (connection refused) und ich weiß nicht wieso und ob und wie das mit meiner Änderung zusammenhängen könnte....

 

[Wuchtbrumme]

an der Stelle war ich vor einer meiner Neuinstallationen auch schon mal...
Ich glaube, erstens nutzt man am besten die in der Server.app enthaltene Funktion der Verlängerung von Zertifikaten und dann müssen die Zertifikate die Anforderungen erfüllen - und außerdem in der Namensauflösung passen. In einem der Links, die ich gepostet habe, war auch das entsprechende übliche Kommando, die Auflösung zu prüfen.

 

[Ijon Tichy]

Ich glaube zu dem Thema mach ich mal einen anderen Thread auf...
______________________________________________________________________________

Und nun wieder on topic:

ah, ok - hilft das: https://discussions.apple.com/thread/8620068 (der Hinweis auf das Directory Utility)?

Leider ist das in der Lösung von diesem Thread erwähnte Directory Utility nichts anderes als die App Verzeichnisdienste.

Bei den weiteren Links in dem Beitrag habe ich aber diesen hier gefunden, der zumindest ein, zwei Hinweise gibt, von denen ich noch nichts wusste. Z.B. dass das neue Zertifikat in der Keychain aktiviert werden muss!?!!

Ich bleibe dran und melde mich wieder, wenn zu einem Ergebnis gekommen bin. Dir erst mal ein dickes Danke!

 

[Ijon Tichy]

Der Vollständigkeit halber ergänze ich hier mal, wo und wie man das Zertifikat einstellt, nachdem ich das gefunden hatte:

In der Server App unter Certificates muss als erstes das (Server-)Zertifikat importiert werden.

Dann gibt es ein Dropdown Secure services using... Dort kann man das Zertifikat entweder für alles verwenden oder man klickt auf Custom.. und kann dann für jeden Service separat einstellen, ob und welches Zertifikat (von den zuvor importiert - siehe oben) verwendet werden soll.

 

[Ijon Tichy]

Zu diesem Thema erneut eine Frage:

Nach dem oben beschriebenen Vorgehen kann ich OpenDirectory nun mit SSL (ldaps, Port 686) nutzen, aber man kann den LDAP auch weiterhin ohne SSL ansprechen (Port 389). Wie unterbinde ich das?