第 27 章 目录代理服务器客户端验证
有关目录代理服务器中的客户端验证的概述,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的第 21 章 “Directory Proxy Server Client Authentication”。
本章包含以下主题:
配置客户端和目录代理服务器之间的侦听器
目录代理服务器提供了安全和非安全的侦听器,以便与客户端进行通信。有关目录代理服务器的侦听器的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Directory Proxy Server Client Listeners”。本部分介绍如何配置侦听器。
配置客户端和目录代理服务器之间的侦听器
注 –
此过程将配置客户端和目录代理服务器之间的非安全侦听器。要配置安全侦听器,请执行同一过程,但要将 ldap 替换为 ldaps。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。 在 DSCC 中,可以在“性能”选项卡上配置此属性。
-
查看非安全侦听器的属性。
$ dpconf get-ldap-listener-prop -h host -p port
非安全侦听器的默认属性如下:
connection-idle-timeout : 1h connection-read-data-timeout : 2s connection-write-data-timeout : 1h is-enabled : true listen-address : 0.0.0.0 listen-port : port-number max-connection-queue-size : 128 max-ldap-message-size : unlimited number-of-threads : 2 use-tcp-no-delay : true
-
根据需求更改步骤 1 中列出的一个或多个属性。
$ dpconf set-ldap-listener-prop -h host -p port property:new-value
例如,要禁用 host1 上运行的目录代理服务器实例的非安全端口,请运行以下命令:
$ dpconf set-ldap-listener-prop -h host1 -p 1389 is-enabled:false
注意 – 如果要使用非特权端口号,则必须以超级用户身份运行目录代理服务器。
要更改非安全端口号,请运行以下命令:
$ dpconf set-ldap-listener-prop -h host -p port listen-port:new-port-number
-
重新启动目录代理服务器实例以使更改生效(如有必要)。
对某些侦听器属性所做的更改需要重新启动服务器才能生效。如果必须重新启动服务器,dpconf 会向您发出警报。有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
验证目录代理服务器的客户端
默认情况下,为目录代理服务器配置简单绑定验证。简单绑定验证不需要任何其他配置。
有关客户端和目录代理服务器之间进行验证的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Client Authentication Overview”。有关如何配置验证的信息,请参见以下过程。
配置基于证书的验证
有关基于证书的客户端验证的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Configuring Certificates in Directory Proxy Server”。本部分介绍如何配置基于证书的验证。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
注 –
基于证书的验证只能通过 SSL 连接执行。
-
将目录代理服务器配置为要求客户端在建立 SSL 连接时提供证书。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require
配置匿名访问
有关匿名访问的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Anonymous Access”。有关如何将匿名客户端的标识映射到另一个标识的信息,请参见以备用用户身份转发请求。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
将目录代理服务器配置为进行 SASL 外部绑定
有关 SASL 外部绑定的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Using SASL External Bind”。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
-
不允许执行未经验证的操作。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
-
要求客户端在建立连接时提供证书。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require
客户端将提供一个包含 DN 的证书。
-
通过 SASL 外部绑定启用客户端验证。
$ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true
-
将目录代理服务器使用的标识配置为映射后端 LDAP 服务器上的客户端证书。
$ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \ cert-search-bind-pwd-file:filename
-
配置目录代理服务器所搜索的子树的基 DN。
目录代理服务器将搜索子树,以查找映射到客户端证书的用户条目。
$ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN
-
将客户端证书中的信息映射到 LDAP 服务器上的证书。
-
对 LDAP 服务器上包含证书的属性进行命名。
$ dpconf set-server-prop cert-search-user-attribute:attribute
-
将客户端证书上的属性映射到 LDAP 服务器上包含证书的条目 DN。
$ dpconf set-server-prop -h host -p port \ cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name
例如,要将 DN 为 cn=user1,o=sun,c=us 的客户端证书映射到 DN 为 uid=user1,o=sun 的 LDAP 条目,请运行以下命令:
$ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o
-
-
(可选的)将 SASL 外部绑定操作的请求路由到所有数据视图或数据视图的自定义列表。
-
要将请求路由到所有数据视图,请运行以下命令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable
-
要将请求路由到数据视图列表,请运行以下命令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...]
-
- © 2010, Oracle Corporation and/or its affiliates