LDAP 憑證對映模式

憑證對映模式用來指定利用 Liberty 中的 EXACT_DNCERTIFICATE_FILTER,將 X.509 憑證對映至 LDAP 目錄。

EXACT_DN 表示憑證中的識別名稱 (DN) 必須完全符合 LDAP 伺服器中的使用者登錄,包括大小寫和空格。 如果要使用指定的憑證過濾器來進行對映,您可以使用 CERTIFICATE_FILTER

憑證過濾器
指定 LDAP 過濾器的過濾器憑證對映內容。 過濾器用來將用戶端憑證中的屬性對映至 LDAP 登錄中的項目。
如果執行時期有不只一個 LDAP 項目符合過濾器規格,鑑別會失敗,因為無法得到完全相符的項目。 這個過濾器的語法如下:
LDAP attribute=${Client certificate attribute}
.

簡式憑證過濾器的範例如下:uid=${SubjectCN}

您也可以在憑證過濾器中,指定多個內容和值。 過濾器規格的 LDAP 屬性取決於 LDAP 伺服器配置使用的綱目。用戶端憑證屬性是用戶端憑證中的公開屬性之一。用戶端憑證屬性的開頭必須是錢幣符號 $ 和左大括弧 {,結尾必須是右大括弧 }。這些屬性區分大小寫。
支援的 LDAP 屬性如下:
  • uid
  • initials
  • sAMAccountName
  • displayName
  • distinguishedName
  • displayName
  • description
支援的用戶端憑證屬性如下:
  • ${SubjectCN}
  • ${SubjectDN}
  • ${IssuerCN}
  • ${IssuerDN}
  • ${SerialNumber}
啟用憑證過濾器模式的 LDAP 配置範例:
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
      host="myldap.ibm.com" port="389" ignoreCase="true"
      baseDN="o=ibm,c=us"
      certificateMapMode="CERTIFICATE_FILTER"
      certificateFilter="uid=${SubjectCN}"
      userFilter="(&amp;(uid=%v)(objectclass=ePerson))"
      groupFilter="(&amp;(cn=%v)(|(objectclass=groupOfNames)
          (objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))"
      userIdMap="*:uid"
      groupIdMap="*:cn"
      groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
          groupOfNames:member;groupOfUniqueNames:uniqueMember"
      ldapType="IBM Tivoli Directory Server" searchTimeout="8m" /> 

指示主題類型的圖示 參照主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=rwlp_sec_ldap_certmap
檔名:rwlp_sec_ldap_certmap.html