使用 certmap.conf 檔案
憑證對映用於確定伺服器在 LDAP 目錄中查找使用者項目的方式。您可以使用 certmap.conf 檔案來配置將憑證 (依名稱指定) 對映至 LDAP 項目的方式。您可以編輯此檔案並增加項目,以便與 LDAP 目錄的組織相符,並列出您希望使用者擁有的憑證。您可根據 subjectDN 中所使用的使用者 ID、電子郵件地址或其他值,對使用者進行認證。特別是,對映檔案可定義以下資訊:
-
伺服器應從 LDAP 樹狀結構中開始搜尋的位置
-
在 LDAP 目錄中進行搜尋時,伺服器應該做為搜尋條件的憑證屬性
-
伺服器是否要執行其他驗證程序
server-root/userdb/certmap.conf
該檔案包含了一個或多個已命名對映,每個對映都套用於不同的 CA。對映具有下列語法:
certmap name issuerDNname :property [ value]
第一行用於指定項目的名稱以及形成 CA 憑證中區別名稱的屬性。name 為任意名稱,可依照您的喜好加以定義。不過,issuerDN 必須與核發用戶端憑證之 CA 的核發者 DN 完全相符。例如,以下兩個核發者 DN 行僅在分隔屬性的空格上有所差異,但伺服器將其視為兩個不同的項目:
certmap sun1 ou=Sun Certificate Authority,o=Sun,c=UScertmap sun2 ou=Sun Certificate Authority, o=Sun, c=US
備註 –
如果您使用的是 Sun Java System Directory Server,在確定核發者 DN 符合情況遇到問題時,請檢查 Directory Server 錯誤記錄以取得有用的資訊。
已命名對映中的第二行和隨後的行可以使屬性與值相匹配。certmap.conf 檔案具有六項預設特性。您也可以使用憑證 API 來自訂特性。預設特性為:
-
DNComps 是逗號分隔的屬性清單,用於確定伺服器從 LDAP 目錄中的何處開始搜尋與使用者 (即用戶端憑證的所有者) 資訊相符的項目。伺服器從用戶端憑證中收集這些屬性的值,並用這些值形成 LDAP DN,然後即可確定伺服器從 LDAP 目錄的哪個位置開始搜尋。例如,如果 DNComps 設定為要使用 DN 的 o 和 c 屬性,伺服器就會從 LDAP 目錄中的 o=org, c= country 項目開始搜尋,其中 org 和 country 會以憑證中 DN 的值替代。
請注意以下情形:
-
如果對映中沒有 DNComps 項目,則伺服器會使用 CmapLdapAttr 設定或用戶端憑證中的整個主體 DN,也就是一般使用者的資訊。
-
如果 DNComps 項目存在但沒有對應的值,伺服器將在整個 LDAP 樹狀結構中搜尋與篩選器相符的項目。
FilterComps 是逗號分隔的屬性清單,藉由收集用戶端憑證中使用者 DN 的資訊來建立篩選器。伺服器將使用這些屬性的值,以形成匹配 LDAP 目錄中各項目的搜尋條件。如果伺服器在 LDAP 目錄中找到的一個或多個項目,與從憑證中收集到的使用者資訊相符,則表示搜尋成功,且伺服器選擇性地執行驗證。
例如,如果將 FilterComps 設定為要使用電子郵件地址和使用者 ID 屬性 (FilterComps=e,uid),伺服器會在目錄中搜尋這樣的項目:其電子郵件及使用者 ID 值與從用戶端憑證所收集的一般使用者資訊相符合。電子郵件地址和使用者 ID 是很好的篩選器,因為它們在目錄中通常是唯一的項目。篩選器必須夠具體,才能在 LDAP 資料庫中找到一個 (且只有一個) 符合項目。
篩選器的屬性名稱必須是來自憑證 (而非來自 LDAP 目錄) 的屬性名稱。例如,某些憑證以 e 屬性代表使用者的電子郵件地址,而 LDAP 將此屬性稱為 mail。
下表列出了 x509v3 憑證的屬性。
-
|
屬性 |
說明 |
|---|---|
|
國家/地區 |
|
|
組織 |
|
|
共用名稱 |
|
|
位置 |
|
|
狀態 |
|
|
組織單元 |
|
|
UNIX/Linux 使用者 ID |
|
|
電子郵件地址 |
-
verifycert 會告知伺服器是否應將用戶端憑證與 LDAP 目錄中的憑證相比對。此特性採用以下兩個值:[on] 和 [off]。只有當 LDAP 目錄中包含憑證時才使用此特性。此功能有助於確定一般使用者所具有的憑證是否有效且未被撤銷。
-
CmapLdapAttr 是 LDAP 目錄中包含使用者全部憑證之主體 DN 的屬性名稱。該特性的預設值為 certSubjectDN。該屬性不是標準的 LDAP 屬性,因此要使用該特性,您必須延伸 LDAP 模式。如需更多資訊,請參閱「SSL 簡介」。
如果 certmap.conf 檔案中存在此特性,伺服器將在整個 LDAP 目錄中,搜尋其屬性 (以此特性命名) 與主體之完整 DN (從憑證中取得) 相符的項目。如果找不到任何項目,伺服器會使用 DNComps 和 FilterComps 對映重試搜尋。
如果使用 DNComps 和 FilterComps 進行項目比對非常困難,這就是比對憑證和 LDAP 項目的實用方式。
如需有關這些特性的更多資訊,請參閱對映範例中所述範例。
建立自訂特性
用戶端憑證 API 可用來建立您自己的特性。建立自訂對映後,就可以參照以下格式的對映:
name:library path_to_shared_libraryname :InitFN name_of_ init_function
例如︰
certmap default1 o=Sun Microsystems, c=US default1:library /usr/sun/userdb/plugin.so default1:InitFn plugin_init_fn default1:DNComps ou o c default1:FilterComps l default1:verifycert on
對映範例
certmap.conf 檔案中應至少包含一個項目。下列範例說明了 certmap.conf 的不同使用方式。
範例 #1 只有一個預設對映的 certmap.conf 檔案
certmap default defaultdefault:DNComps ou, o, cdefault:FilterComps e, uiddefault:verifycert on
以此為例,伺服器在包含 ou=orgunit, o=org, c=country 項目的 LDAP 分支點開始搜尋,其中斜體文字將由用戶端憑證中主體 DN 的值所替代。
然後,伺服器會使用憑證上電子郵件地址和使用者 ID 的值,在 LDAP 目錄中搜尋相符的項目。找到相符的項目時,伺服器會比對用戶端傳送的憑證與儲存在目錄中的憑證,以驗證該憑證。
範例 #2 具有兩個對映的 certmap.conf 檔案
以下範例檔案中包括兩個對映:一個用於預設,另一個用於美國郵政局。
certmap default defaultdefault:DNCompsdefault:FilterComps e, uid
certmap usps ou=United States Postal Service, o=usps, c=USusps:DNComps ou,o,cusps:FilterComps eusps:verifycert on
伺服器收到美國郵政局以外的人傳來憑證時會使用預設對映,該對映會從 LDAP 樹狀結構的頂層開始,搜尋與用戶端電子郵件地址和使用者 ID 相符的項目。如果憑證來自美國郵政服務,則伺服器會從包含組織單位的 LDAP 分支開始搜尋相符的電子郵件地址。此外,伺服器還會驗證該憑證。其他憑證則不加以驗證。
注意 – 憑證中的核發者 DN (即 CA 的資訊) 必須與對映第一行中所列的核發者 DN 相同。在前一個範例中,來自核發者 DN (即 o=United States Postal Service,c=US) 的憑證就不相符,因為 DN 中 o 和 c 屬性之間沒有空格。
範例 #3 搜尋 LDAP 資料庫
下列範例使用 CmapLdapAttr 特性在 LDAP 資料庫中搜尋名為 certSubjectDN 的屬性,該屬性的值與用戶端憑證中的整個主體 DN 完全相符。本範例假設 LDAP 目錄中包含具有 certSubjectDN 屬性的項目。
certmap myco ou=My Company Inc, o=myco, c=USmyco:CmapLdapAttr certSubjectDNmyco:DNComps o, c myco:FilterComps mail, uid myco:verifycert on
如果用戶端憑證的主題為:
uid=Walt Whitman, o=LeavesOfGrass Inc, c=US
伺服器將首先搜尋包含以下資訊的項目:
certSubjectDN=uid=Walt Whitman, o=LeavesOfGrass Inc, c=US
如果找到一個或多個匹配的項目,伺服器將繼續驗證各項目。如果找不到相符的項目,伺服器會使用 DNComps 和 FilterComps 來搜尋相符的項目。在本範例中,伺服器會在 o=LeavesOfGrass Inc, c=US 之下的所有項目中搜尋 uid=Walt Whitman。
- © 2010, Oracle Corporation and/or its affiliates