第 19 章�
證書認證屬性
證書認證屬性為組織屬性。在服務配置下套用於這些屬性的值會成為證書認證範本的預設值。組織註冊服務後,需要建立服務範本。註冊後組織的管理員可以變更預設值。組織屬性不會由組織子樹中的項目繼承。證書認證屬性包括:
與 LDAP 中的證書相符
此選項指定是否檢查登入時出示的使用者證書是否儲存在 LDAP 伺服器中。如果找不到相符的證書,則會拒絕使用者存取。如果找到相符的證書,並且不需要其他驗證,則允許使用者存取。依預設,證書認證服務不會檢查使用者證書。
|
|
注意
|
儲存在 Directory Server 中的證書不一定有效,證書廢止清單中也可能存在該證書。請參閱證書與 CRL 相符。但是,Web 容器可能會檢查登入時所出示使用者證書的有效性。
|
|
用於在 LDAP 中搜尋證書的主旨 DN 屬性
此欄位指定證書 SubjectDN 值的屬性,該值將用於在 LDAP 中搜尋證書。該屬性必須唯一地識別使用者項目。搜尋將使用此實際值。預設值為 CN。
證書與 CRL 相符
此選項指定是否針對 LDAP 伺服器中的證書廢止清單 (CRL) 比對使用者證書。此 CRL 的位置由發行者的 SubjectDN 中的某個屬性名稱確定。如果 CRL 中存在此證書,則拒絕使用者存取;如果不存在,則允許使用者存取。依預設,此屬性是停用的。
|
|
注意
|
發生以下情況時應該廢止證書:證書所有者的狀態已經變更,不再具有使用此證書的權限;或者證書所有者的私密密鑰已經洩漏。
|
|
用於在 LDAP 中搜尋 CRL 的發行者 DN 屬性
此欄位指定已收到證書的發行者 subjectDN 值的屬性,此值將用於在 LDAP 中搜尋 CRL。僅在 [證書與 CRL 相符] 屬性啟用時,才使用此欄位。搜尋將使用此實際值。預設值為 CN。
用於 CRL 更新的 HTTP 參數
此欄位指定 HTTP 參數 (用於從 servlet 取得 CRL) 以更新 CRL。請聯絡您的 CA 管理員,以取得這些參數。
啟用 OCSP 驗證
此參數透過與相應的 OCSP 回應者進行聯絡,來啟用要執行的 OCSP 驗證。在運行時間,OCSP 回應者如下決定:
- 如果 com.sun.identity.authentication.ocspCheck 為 true,且在 com.sun.identity.authentication.ocsp.repsonder.url 屬性中設定了 OCSP 回應者,則此屬性的值將作為 OCSP 回應者。
- 如果將 com.sun.identity.authentication.ocspCheck 設定為 true,且未在 AMConfig.properties 檔案中設定此屬性值,則在您的用戶端證書中顯示的 OCSP 回應者會作為 OCSP 回應者。
如果將 com.sun.identity.authentication.ocspCheck 設定為 false,或將 com.sum.identity.authentication.ocspCheck 設定為 true,且無法找到 OCSP 回應者,則不會執行任何 OCSP 驗證。
|
|
注意
|
在啟用 OCSP 驗證之前,請確定 Identity Server 機器與 OCSP 回應者機器上的時間儘可能同步。而且,Identity Server 機器上的時間不能晚於 OCSP 回應者機器上的時間。例如:
OCSP 回應者機器 - 中午 12:00:00
Identity Server 機器 - 下午 12:00:30
|
|
儲存證書的 LDAP 伺服器
此欄位指定儲存證書的 LDAP 伺服器名稱與連接埠號。預設值為安裝 Identity Server 時指定的主機名稱與連接埠。可以使用任何儲存證書的 LDAP 伺服器之主機名稱與連接埠。格式為 hostname:port。
LDAP 起始搜尋 DN
此欄位指定應該開始搜尋使用者證書的節點 DN。無預設值。此欄位將識別任何有效 DN。多重項目必須以本機伺服器名稱作為字首。格式如下所示:
servername|search dn
對於多重項目
servername1|search dn servername2|search dn servername3|search dn...
如果同一次搜尋找到多個使用者,則認證將失敗。
LDAP 伺服器主體使用者
此欄位會接受儲存證書的 LDAP 伺服器之主體使用者 (通常為目錄管理員) DN。此欄位將辨識任何有效 DN,沒有預設值。必須授與主體使用者讀取與搜尋儲存於 Directory Server 中之認證資訊的權限。
LDAP 伺服器主體密碼
此欄位具有與 [LDAP 伺服器主體使用者] 欄位中指定的使用者關聯的 LDAP 密碼。此欄位沒有預設值,它將辨識指定的主體使用者之有效 LDAP 密碼。
設定檔 ID 的 LDAP 屬性
此欄位指定與證書 (應該使用其值識別正確的使用者設定檔) 相符的 Directory Server 項目中之屬性。此欄位沒有預設值,它將辨識使用者項目中可以作為使用者 ID 的任何有效屬性 (cn、sn 等)。
使用 SSL 存取 LDAP
此選項指定是否使用 SSL 存取 LDAP 伺服器。預設情況下,證書認證服務不使用 SSL 存取 LDAP。
用於存取使用者設定檔的證書欄位
此功能表指定應該使用證書主題 DN 中的哪個欄位來搜尋相符的使用者設定檔。例如,如果選擇 email address,則證書認證服務將搜尋與使用者證書中 emailAddr 屬性相符的使用者設定檔。然後使用者會使用此相符設定檔進行登入。預設欄位為 subject CN。此清單包含:
- 電子郵件位址
- 主旨 CN
- 主旨 DN
- 主旨 UID
- 其他
用於存取使用者設定檔的其他證書欄位
如果將 [用於存取使用者設定檔的證書欄位] 屬性值設定為 other,則此欄位指定要從接收的證書 subjectDN 值中選取的屬性。然後,此認證服務將搜尋與該屬性值相符的使用者設定檔。
可信任的遠端主機
此屬性定義可信任的主機清單,這些主機可被信任以向 Identity Server 傳送證書。Identity Server 必須驗證證書是否來自這些主機中的一個。此配置僅用於 Sun Java System Portal Server。
此屬性接受以下值:
- none。會停用此屬性。這是依預設而設定的。
- any。會接受來自任意用戶端 IP 位址的 Portal Server Gateway 樣式之證書認證。
- IP ADDR。會列出接受 Portal Server Gateway 樣式之證書認證請求的 IP 位址 (Gateway 的 IP 位址)。此屬性可基於組織配置。
SSL 連接埠號
此屬性指定安全套接層的連接埠號。目前,此屬性僅由 Gateway servlet 使用。加入或變更 SSL 連接埠號之前,請參閱「Identity Server Developer’s Guide」的第 7 章中「Policy-Based Resource Management」一節。
認證層級
會分別為每個認證方法設定認證層級。此值指示信任認證的程度。使用者進行認證後,此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時,應用程式將使用此儲存值以決定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求,應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。預設值為 0。
|
|
注意
|
如果未指定任何認證層級,SSO 記號會將 [核心認證] 屬性中指定的值儲存為預設認證層級。請參閱預設認證層級,以取得詳細資訊。 在 2004Q2 版本中,此功能無法正常運作。 在先前的版本則可以。
|
|
