LDAP 憑證對映模式
憑證對映模式用來指定利用 Liberty 設定檔中的 EXACT_DN 或 CERTIFICATE_FILTER,將 X.509 憑證至 LDAP 目錄。
EXACT_DN 表示憑證中的識別名稱 (DN) 必須完全符合 LDAP 伺服器中的使用者登錄,包括大小寫和空格。 如果要使用指定的憑證過濾器來進行對映,您可以使用 CERTIFICATE_FILTER。
- 憑證過濾器
- 指定 LDAP 過濾器的過濾器憑證對映內容。 過濾器用來將用戶端憑證中的屬性對映至 LDAP 登錄中的項目。
- 如果執行時期有不只一個 LDAP 項目符合過濾器規格,鑑別會失敗,因為無法得到完全相符的項目。 這個過濾器的語法如下:
.LDAP attribute=${Client certificate attribute}
簡式憑證過濾器的範例如下:uid=${SubjectCN}。
- 您也可以在憑證過濾器中,指定多個內容和值。 過濾器規格的 LDAP 屬性取決於 LDAP 伺服器配置使用的綱目。用戶端憑證屬性是用戶端憑證中的公開屬性之一。用戶端憑證屬性的開頭必須是錢幣符號 $ 和左大括弧 {,結尾必須是右大括弧 }。這些屬性區分大小寫。
- 支援的 LDAP 屬性如下:
- uid
- initials
- sAMAccountName
- displayName
- distinguishedName
- displayName
- description
- ${SubjectCN}
- ${SubjectDN}
- ${IssuerCN}
- ${IssuerDN}
- ${SerialNumber}
啟用憑證過濾器模式的 LDAP 配置範例:
<ldapRegistry id="LDAP" realm="SampleLdapIDSRealm"
host="myldap.ibm.com" port="389" ignoreCase="true"
baseDN="o=ibm,c=us"
certificateMapMode="CERTIFICATE_FILTER"
certificateFilter="uid=${SubjectCN}"
userFilter="(&(uid=%v)(objectclass=ePerson))"
groupFilter="(&(cn=%v)(|(objectclass=groupOfNames)
(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))"
userIdMap="*:uid"
groupIdMap="*:cn"
groupMemberIdMap="ibm-allGroups:member;ibm-allGroups:uniqueMember;
groupOfNames:member;groupOfUniqueNames:uniqueMember"
ldapType="IBM Tivoli Directory Server" searchTimeout="8m" />