LDAP-Zertifikatszuordnungsmodus
Der Zertifikatszuordnungsmodus gibt an, ob X.509-Zertifikate in einem LDAP-Verzeichnis über EXACT_DN oder CERTIFICATE_FILTER in Liberty zugeordnet werden sollen.
Der Zuordnungsmodus EXACT_DN bedeutet, dass der DN im Zertifikat genau mit dem Benutzereintrag im LDAP-Server übereinstimmen muss (einschließlich Groß-/Kleinschreibung und Leerzeichen). Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatsfilter für die Zuordnung zu verwenden.
- Zertifikatsfilter
- Gibt die Zertifikatszuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribute im Clientzertifikat den Einträgen in der LDAP-Registry zuzuordnen.
- Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Die Syntax dieses Filters lautet wie folgt:
.LDAP attribute=${Client certificate attribute}
Ein Beispiel für einen einfachen Zertifikatsfilter ist uid=${SubjectCN}.
- Sie können auch mehrere Eigenschaften und Werte als Teil des Zertifikatsfilters angeben. Das LDAP-Attribut der Filterspezifikation ist von dem Schema abhängig, für das Ihr LDAP-Server konfiguriert ist. Das Clientzertifikatsattribut ist eines der allgemein zugänglichen Attribute im Clientzertifikat. Das Clientzertifikatsattribut muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ( { ) anfangen und mit einer rechten geschweiften Klammer ( } ) enden. Bei der Angabe der Attribute muss die Groß-/Kleinschreibung beachtet werden.
- Die folgenden LDAP-Attribute werden unterstützt:
- uid
- initials
- sAMAccountName
- displayName
- distinguishedName
- displayName
- description
- ${SubjectCN}
- ${SubjectDN}
- ${IssuerCN}
- ${IssuerDN}
- ${SerialNumber}
Im Folgenden finden Sie ein Beispiel für eine LDAP-Konfiguration mit aktiviertem Zertifikatsfiltermodus:
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
host="myldap.ibm.com" port="389" ignoreCase="true"
baseDN="o=ibm,c=us"
certificateMapMode="CERTIFICATE_FILTER"
certificateFilter="uid=${SubjectCN}"
userFilter="(&(uid=%v)(objectclass=ePerson))"
groupFilter="(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))"
userIdMap="*:uid"
groupIdMap="*:cn"
groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
groupOfNames:member;groupOfUniqueNames:uniqueMember"
ldapType="IBM Tivoli Directory Server" searchTimeout="8m" />