有关 SASL 外部绑定的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Using SASL External Bind”。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
不允许执行未经验证的操作。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false |
要求客户端在建立连接时提供证书。
$ dpconf set-server-prop -h host -p port allow-cert-based-auth:require |
客户端将提供一个包含 DN 的证书。
通过 SASL 外部绑定启用客户端验证。
$ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true |
将目录代理服务器使用的标识配置为映射后端 LDAP 服务器上的客户端证书。
$ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \ cert-search-bind-pwd-file:filename |
配置目录代理服务器所搜索的子树的基 DN。
目录代理服务器将搜索子树,以查找映射到客户端证书的用户条目。
$ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN |
将客户端证书中的信息映射到 LDAP 服务器上的证书。
对 LDAP 服务器上包含证书的属性进行命名。
$ dpconf set-server-prop cert-search-user-attribute:attribute |
将客户端证书上的属性映射到 LDAP 服务器上包含证书的条目 DN。
$ dpconf set-server-prop -h host -p port \ cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name |
例如,要将 DN 为 cn=user1,o=sun,c=us 的客户端证书映射到 DN 为 uid=user1,o=sun 的 LDAP 条目,请运行以下命令:
$ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o |
(可选的)将 SASL 外部绑定操作的请求路由到所有数据视图或数据视图的自定义列表。
要将请求路由到所有数据视图,请运行以下命令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable |
要将请求路由到数据视图列表,请运行以下命令:
$ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...] |