LDAP-Zertifikatszuordnungsmodus

Der Zertifikatszuordnungsmodus gibt an, ob X.509-Zertifikate in einem LDAP-Verzeichnis über EXACT_DN oder CERTIFICATE_FILTER in Liberty zugeordnet werden sollen.

Der Zuordnungsmodus EXACT_DN bedeutet, dass der DN im Zertifikat genau mit dem Benutzereintrag im LDAP-Server übereinstimmen muss (einschließlich Groß-/Kleinschreibung und Leerzeichen). Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatsfilter für die Zuordnung zu verwenden.

Zertifikatsfilter
Gibt die Zertifikatszuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribute im Clientzertifikat den Einträgen in der LDAP-Registry zuzuordnen.
Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Die Syntax dieses Filters lautet wie folgt:
LDAP attribute=${Client certificate attribute}
.

Ein Beispiel für einen einfachen Zertifikatsfilter ist uid=${SubjectCN}.

Sie können auch mehrere Eigenschaften und Werte als Teil des Zertifikatsfilters angeben. Das LDAP-Attribut der Filterspezifikation ist von dem Schema abhängig, für das Ihr LDAP-Server konfiguriert ist. Das Clientzertifikatsattribut ist eines der allgemein zugänglichen Attribute im Clientzertifikat. Das Clientzertifikatsattribut muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ( { ) anfangen und mit einer rechten geschweiften Klammer ( } ) enden. Bei der Angabe der Attribute muss die Groß-/Kleinschreibung beachtet werden.
Die folgenden LDAP-Attribute werden unterstützt:
  • uid
  • initials
  • sAMAccountName
  • displayName
  • distinguishedName
  • displayName
  • description
Die folgenden Clientzertifikatsattribute werden unterstützt:
  • ${SubjectCN}
  • ${SubjectDN}
  • ${IssuerCN}
  • ${IssuerDN}
  • ${SerialNumber}
Im Folgenden finden Sie ein Beispiel für eine LDAP-Konfiguration mit aktiviertem Zertifikatsfiltermodus:
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
      host="myldap.ibm.com" port="389" ignoreCase="true" 
      baseDN="o=ibm,c=us" 
      certificateMapMode="CERTIFICATE_FILTER" 
      certificateFilter="uid=${SubjectCN}" 
      userFilter="(&amp;(uid=%v)(objectclass=ePerson))" 
            groupFilter="(&amp;(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))" 
      userIdMap="*:uid" 
      groupIdMap="*:cn" 
      groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
          groupOfNames:member;groupOfUniqueNames:uniqueMember" 
      ldapType="IBM Tivoli Directory Server" searchTimeout="8m" /> 

Symbol das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=rwlp_sec_ldap_certmap
Dateiname: rwlp_sec_ldap_certmap.html