Sun Java System Web Proxy Server 4.0.4 管理指南

將用戶端憑證對映到 LDAP

本小節說明 Proxy Server 採用何種程序,將用戶端憑證對映至 LDAP 目錄中的項目。將用戶端憑證對映至 LDAP 之前,還必須配置必要的 ACL。如需更多資訊,請參閱第 8 章, 控制對伺服器的存取

伺服器收到來自用戶端的請求時,會在處理前索取用戶端的憑證。某些用戶端會在向伺服器傳送申請的同時傳送用戶端憑證。

伺服器將嘗試檢視該 CA 是否與 Administration Server 中的某個可信任 CA 匹配。如果不存在相符的項目,Proxy Server 將會結束連線。如果存在相符的項目,伺服器將繼續處理請求。

伺服器驗證憑證是來自可信任的 CA 之後,便會透過執行下列操作將憑證對映至 LDAP 項目:

伺服器使用憑證對映檔案 (稱為 certmap.conf) 來確定 LDAP 搜尋的執行方式。對映檔案將告知伺服器要採用用戶端憑證中的哪些值,如一般使用者名稱、電子郵件地址等。伺服器將使用這些值來搜尋 LDAP 目錄中的使用者項目,但伺服器必須先確定要從 LDAP 目錄中的何處開始搜尋。憑證對映檔案也會告訴伺服器開始搜尋的位置。

一旦伺服器知道從何處開始搜尋以及所搜尋的內容之後,便會在 LDAP 目錄 (第二個點) 中執行搜尋。如果找不到任何相符項目或找到多個相符項目,並且設定對映必須驗證憑證,則搜尋將會失敗。

下表列出了預期的搜尋結果運作方式。您可以在 ACL 中指定預期的運作方式。例如,您可以指定找不到相符憑證時,Proxy Server 就只接受您。如需有關如何設定 ACL 喜好設定的更多資訊,請參閱使用存取控制檔案

表 5–1 LDAP 搜尋結果

LDAP 搜尋結果 

憑證驗證「開啟」 

憑證驗證「關閉」 

未找到項目 

認證失敗 

認證失敗 

恰好找到一個項目 

認證失敗 

認證成功 

找到多個項目 

認證失敗 

授權失敗 

伺服器在 LDAP 目錄中找到相符的項目和憑證之後,即可使用該資訊處理作業事件。例如,某些伺服器使用憑證到 LDAP 的對映來確定對某個伺服器的存取權限。