Wie kann ich S/MIME-Zertifikate in Open Directory (LDAP) von macOS Server speichern und abrufen?

Ist es möglich, das Open Directory der macOS Server-App zum Speichern und Abrufen von S/MIME (X.509)-Zertifikaten mit den Benutzerdaten zu verwenden?

Hintergrund:

Ich möchte unsere öffentlichen S/MIME-Zertifikate über unser LDAP freigeben, damit sie automatisch von jedem (unterstützenden) Client abgerufen werden können, ohne sie manuell importieren zu müssen.

Ich habe Artikel gefunden, die behaupten, dass es mit OpenLDAP im Allgemeinen möglich ist, aber wie kann es mit Open Directory gemacht werden? Soweit ich weiß, gibt es dafür die Attribute userCertificate und userSMIMECertificate. Sind sie in Open Directory verfügbar, und wenn nicht, können sie hinzugefügt werden? Und können sie nach dem Hinzufügen über die Server-App oder nur über die Befehlszeile aktualisiert werden?

Der Server ist auf Sierra, falls das wichtig ist.

Ich würde mich über jede Antwort, jeden Kommentar oder Link zu einem Howto freuen, das helfen könnte.

Antworten (1)

Gefunden, und es ist ziemlich einfach (wie man es von macOS erwarten würde). Ich erkläre Schritt für Schritt.

So speichern Sie S/MIME-Zertifikate in Open Directory

  1. Starten Sie die Verzeichnisdienst- App, entweder direkt von Spotlight oder (so habe ich es gefunden), indem Sie Systemeinstellungen > Benutzer & Gruppen > (ggf. authentifizieren) Netzwerkkontoserver - Bearbeiten (oder Verbinden , falls noch nicht geschehen) > durchgehen Öffnen Sie das Verzeichnisdienstprogramm
  2. Wählen Sie oben den Verzeichnis-Editor aus
  3. Wählen Sie Anzeigen: Benutzer , falls nicht standardmäßig ausgewählt, und klicken Sie dann auf einen Benutzer, und die eingestellten Attribute des Benutzers werden angezeigt
  4. Um ein Attribut hinzuzufügen, authentifizieren Sie sich durch Klicken auf das Schloss oben, um in den Bearbeitungsmodus zu gelangen. Beachten Sie, dass Sie sich dieses Mal mit den Anmeldeinformationen des Verzeichnisadministrators authentifizieren müssen, da wir jetzt die Verzeichniseinträge bearbeiten möchten
  5. Klicken Sie auf das +-Zeichen unter der Attributliste, um ein neues Attribut hinzuzufügen
  6. Wie Sie sehen werden, sind die Attribute userCertificate und userSMIMECertificate bereits in der Dropdown-Liste verfügbar
  7. Wählen Sie eine davon aus und drücken Sie dann OK
  8. Wenn Sie auf das Attribut klicken, werden seine Daten unterhalb der Attributliste angezeigt
  9. Sie können zwischen Text- und Datenansicht umschalten – um ein S/MIME-Zertifikat hinzuzufügen, kopieren Sie es entweder in die Textansicht oder legen Sie die Datei einfach in der Datenansicht ab
  10. Das ist alles!

Ich glaube, die S/MIME-Zertifikatsdaten sollten im PEM-Format vorliegen, bin mir aber nicht sicher.

So rufen Sie S/MIME-Zertifikate aus Open Directory ab

Damit Clients S/MIME-Zertifikate von Open Directory (oder eigentlich jedem LDAP) abrufen können, gehen Sie wie folgt auf einem Mac-Client vor:

Verwenden Sie die App „Verzeichnisdienste“, wie oben erklärt, um den LDAP-Server zur Suchliste auf dem Client-Mac hinzuzufügen (wird auch hier erklärt ). Stellen Sie sicher, dass der LDAP-Server in der Suchrichtlinienliste unter Kontakte hinzugefügt wurde . Der Kontakte-Server in der Server-App muss nicht aktiviert werden.

Nachdem Sie den LDAP-Server erfolgreich hinzugefügt haben, öffnen Sie Ihre Kontakte-App auf dem Client. In der linken Seitenleiste sollte sich ein neuer Eintrag Verzeichnisdienste befinden . Klicken Sie darauf und geben Sie dann im Suchfeld den Namen eines Benutzers in Ihrem LDAP-Verzeichnis ein. Der Verzeichniseintrag sollte dann angezeigt werden und links neben der E-Mail-Adresse sollten Sie ein kleines Zertifikatssymbol sehen, Geben Sie hier die Bildbeschreibung einähnlich dem Symbol in der Mail-App, das für signierte E-Mails angezeigt wird. Wenn Sie darauf klicken, wird das für diesen Benutzer abgerufene S/MIME-Zertifikat angezeigt.

Wie kann ich S/MIME-Zertifikate in Open Directory (LDAP) von macOS Server speichern und abrufen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v