Modalidad de correlación de certificados LDAP

La modalidad de correlación de certificados se utiliza para especificar si se correlacionan los certificados X.509 en un directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER en Liberty.

EXACT_DN significa que el nombre distinguido (DN, Distinguished Name) del certificado debe coincidir exactamente con la entrada de usuario en el servidor LDAP, incluidos los espacios y las mayúsculas y minúsculas. Para utilizar el filtro de certificado especificado para la correlación, puede utilizar CERTIFICATE_FILTER.

Filtro de certificado
Especifica la propiedad de filtro de correlación de certificados para el filtro LDAP. El filtro se utiliza para correlacionar atributos del certificado de cliente con las entradas del registro LDAP.
Si hay más de una entrada LDAP que coincide con la especificación de filtro durante la ejecución, la autenticación fallará ya que dará como resultado una coincidencia ambigua. La sintaxis de este filtro es:
LDAP attribute=${atributo de certificado de cliente}
.

Un ejemplo de un filtro de certificados simple es: uid=${SubjectCN}.

También puede especificar varias propiedades y valores como parte de un filtro de certificados. El atributo LDAP de la especificación de filtro depende del esquema que tenga configurado utilizar su servidor LDAP. El atributo de certificado de cliente es uno de los atributos públicos en el certificado de cliente. El atributo de certificado de cliente debe empezar con el signo dólar, $ y una llave de apertura, {, y finalizar con una llave de cierre, }. Los atributos son sensibles a mayúsculas y minúsculas.
Se da soporte a los siguientes atributos LDAP:
  • uid
  • initials
  • sAMAccountName
  • displayName
  • distinguishedName
  • displayName
  • description
Se da soporte a los siguientes atributos de certificado de cliente:
  • ${SubjectCN}
  • ${SubjectDN}
  • ${IssuerCN}
  • ${IssuerDN}
  • ${SerialNumber}
Un ejemplo de una configuración LDAP con la modalidad de filtro de certificado habilitada:
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm" 
      host="myldap.ibm.com" port="389" ignoreCase="true" 
      baseDN="o=ibm,c=us" 
      certificateMapMode="CERTIFICATE_FILTER" 
      certificateFilter="uid=${SubjectCN}" 
      userFilter="(&amp;(uid=%v)(objectclass=ePerson))" 
      groupFilter="(&amp;(cn=%v)(|(objectclass=groupOfNames)
          (objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))" 
      userIdMap="*:uid" 
      groupIdMap="*:cn" 
      groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
          groupOfNames:member;groupOfUniqueNames:uniqueMember" 
      ldapType="IBM Tivoli Directory Server" searchTimeout="8m" /> 

Icono que indica el tipo de tema Tema de referencia

Nombre de archivo: rwlp_sec_ldap_certmap.html