LDAP 인증서 맵 모드
인증서 맵핑 모드를 사용하여 Liberty의 EXACT_DN 또는 CERTIFICATE_FILTER로 X.509 인증서를 LDAP 디렉토리에 맵핑하는지 여부를 지정할 수 있습니다.
EXTACT_DN은 인증서의 식별 이름(DN)이 대소문자 및 공백을 포함하여 LDAP 서버의 사용자 항목과 완전히 일치해야 함을 의미합니다. 맵핑에 지정된 인증서 필터를 사용하려면 CERTIFICATE_FILTER를 사용할 수 있습니다.
- 인증서 필터
- LDAP 필터에 대한 필터 인증서 맵핑 특성을 지정합니다. 필터는 클라이언트 인증서의 속성을 LDAP 레지스트리의 항목으로 맵핑하는 데 사용됩니다.
- 런타임 시 둘 이상의 LDAP 항목이 필터 스펙과 일치하면 결과가 모호한 일치로 나타나므로 인증이 실패합니다. 이 필터의 구문은 다음과 같습니다.
.LDAP attribute=${Client certificate attribute}
단순 인증서 필터의 예는 uid=${SubjectCN}입니다.
- 또한 여러 특성 및 값을 인증서 필터의 파트로 지정할 수 있습니다. 필터 스펙의 LDAP 속성은 LDAP 서버가 사용하도록 구성된 스키마에 따라 다릅니다. 클라이언트 인증서 속성은 클라이언트 인증서의 공용 속성 중 하나입니다. 클라이언트 인증서 속성은 달러 표시($)와 여는 중괄호({)로 시작하고 닫는 중괄호(})로 끝나야 합니다. 속성은 대소문자를 구분합니다.
- 다음과 같은 LDAP 속성이 지원됩니다.
- uid
- initials
- sAMAccountName
- displayName
- distinguishedName
- displayName
- description
- ${SubjectCN}
- ${SubjectDN}
- ${IssuerCN}
- ${IssuerDN}
- ${SerialNumber}
다음은 인증서 필터 모드가 사용하도록 설정된
LDAP 구성의 예입니다.
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
host="myldap.ibm.com" port="389" ignoreCase="true"
baseDN="o=ibm,c=us"
certificateMapMode="CERTIFICATE_FILTER"
certificateFilter="uid=${SubjectCN}"
userFilter="(&(uid=%v)(objectclass=ePerson))"
groupFilter="(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))"
userIdMap="*:uid"
groupIdMap="*:cn"
groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
groupOfNames:member;groupOfUniqueNames:uniqueMember"
ldapType="IBM Tivoli Directory Server" searchTimeout="8m" />