Liberty:LDAP 인증서 맵 모드

인증서 맵핑 모드를 사용하여 Liberty의 EXACT_DN 또는 CERTIFICATE_FILTER로 X.509 인증서를 LDAP 디렉토리에 맵핑하는지 여부를 지정할 수 있습니다.

EXTACT_DN은 인증서의 식별 이름(DN)이 대소문자 및 공백을 포함하여 LDAP 서버의 사용자 항목과 완전히 일치해야 함을 의미합니다. 맵핑에 지정된 인증서 필터를 사용하려면 CERTIFICATE_FILTER를 사용할 수 있습니다.

인증서 필터
LDAP 필터에 대한 필터 인증서 맵핑 특성을 지정합니다. 필터는 클라이언트 인증서의 속성을 LDAP 레지스트리의 항목으로 맵핑하는 데 사용됩니다.
런타임 시 둘 이상의 LDAP 항목이 필터 스펙과 일치하면 결과가 모호한 일치로 나타나므로 인증이 실패합니다. 이 필터의 구문은 다음과 같습니다.
LDAP attribute=${Client certificate attribute}
.

단순 인증서 필터의 예는 uid=${SubjectCN}입니다.

또한 여러 특성 및 값을 인증서 필터의 파트로 지정할 수 있습니다. 필터 스펙의 LDAP 속성은 LDAP 서버가 사용하도록 구성된 스키마에 따라 다릅니다. 클라이언트 인증서 속성은 클라이언트 인증서의 공용 속성 중 하나입니다. 클라이언트 인증서 속성은 달러 표시($)와 여는 중괄호({)로 시작하고 닫는 중괄호(})로 끝나야 합니다. 속성은 대소문자를 구분합니다.
다음과 같은 LDAP 속성이 지원됩니다.
  • uid
  • initials
  • sAMAccountName
  • displayName
  • distinguishedName
  • displayName
  • description
다음과 같은 클라이언트 인증서 속성이 지원됩니다.
  • ${SubjectCN}
  • ${SubjectDN}
  • ${IssuerCN}
  • ${IssuerDN}
  • ${SerialNumber}
다음은 인증서 필터 모드가 사용하도록 설정된 LDAP 구성의 예입니다.
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
      host="myldap.ibm.com" port="389" ignoreCase="true" 
      baseDN="o=ibm,c=us" 
      certificateMapMode="CERTIFICATE_FILTER" 
      certificateFilter="uid=${SubjectCN}" 
      userFilter="(&amp;(uid=%v)(objectclass=ePerson))" 
      groupFilter="(&amp;(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))"
      userIdMap="*:uid" 
      groupIdMap="*:cn" 
      groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
          groupOfNames:member;groupOfUniqueNames:uniqueMember" 
      ldapType="IBM Tivoli Directory Server" searchTimeout="8m" /> 

주제의 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_sec_ldap_certmap
파일 이름: rwlp_sec_ldap_certmap.html