SSL 認證

伺服器可以使用安全憑證，以下列兩種方式來確認使用者的身份：

• 使用用戶端憑證中的資訊做為身份的證明

• 驗證 LDAP 目錄 (附加) 中發佈的用戶端憑證

當您設定讓伺服器使用憑證資訊對用戶端進行認證時，伺服器將：

• 首先檢查憑證是否來自可信任的 CA。如果不是，認證將失敗，異動也將結束。

• 如果憑證來自可信任的憑證授權單位 (CA)，請使用 certmap.conf 檔案將憑證對映到使用者的項目。

• 如果憑證正確對映，請檢查為該使用者指定的 ACL 規則。即使憑證對映，ACL 規則也可拒絕該使用者的存取。

要求以用戶端認證機制控制用戶端存取特定資源，與要求所有伺服器連線皆需進行用戶端認證是不同的。如果您將伺服器設定為需要對所有連線進行用戶端認證，則用戶端只需提供一份由可信任的 CA 核發的有效憑證即可。如果您將伺服器的存取控制設定為使用 SSL 方法來認證使用者與群組，則用戶端將需要：

• 提供由可信任的 CA 核發的有效憑證

• 該憑證必須對映到 LDAP 中的有效使用者

• 存取控制清單必須正確評估

當您需要以用戶端認證進行存取控制時，便需要為您的 Web 伺服器啟用 SSL 加密。

為了成功存取 SSL 認證資源，用戶端憑證必須來自 Web 伺服器信任的 CA。如果 Web 伺服器的 certmap.conf 檔案配置為將瀏覽器中的用戶端憑證與目錄伺服器中的用戶端憑證進行比較，則需要在該目錄伺服器中發佈用戶端憑證。不過，certmap.conf 檔案也可以配置為僅將憑證中已選取的資訊與目錄伺服器項目進行比較。例如，您可以將 certmap.conf 檔案配置為僅將瀏覽器憑證中的使用者 ID 和電子郵件位址與目錄伺服器項目進行比較。

由於檢查憑證時對照的是 LDAP 目錄，因此僅 SSL 認證方法需要對 certmap.conf 檔案進行修改。要求所有對伺服器的連線進行用戶端認證則不需要如此。如果您選擇使用用戶端憑證，則應該增加 magnus.conf 中 AcceptTimeout 指令的值。