test

Sun Java System Directory Server Enterprise Edition 6.3 管理指南

验证目录代理服务器的客户端

默认情况下,为目录代理服务器配置简单绑定验证。简单绑定验证不需要任何其他配置。

有关客户端和目录代理服务器之间进行验证的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Client Authentication Overview”。有关如何配置验证的信息,请参见以下过程。

Procedure配置基于证书的验证

有关基于证书的客户端验证的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Configuring Certificates in Directory Proxy Server”。本部分介绍如何配置基于证书的验证。

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

注 –

基于证书的验证只能通过 SSL 连接执行。

  1. 将目录代理服务器配置为要求客户端在建立 SSL 连接时提供证书。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

Procedure配置匿名访问

有关匿名访问的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Anonymous Access”。有关如何将匿名客户端的标识映射到另一个标识的信息,请参见以备用用户身份转发请求

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 允许未经验证的用户执行操作。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true

Procedure将目录代理服务器配置为进行 SASL 外部绑定

有关 SASL 外部绑定的信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》中的“Using SASL External Bind”

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 不允许执行未经验证的操作。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

  2. 要求客户端在建立连接时提供证书。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

    客户端将提供一个包含 DN 的证书。

  3. 通过 SASL 外部绑定启用客户端验证。


    $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

  4. 将目录代理服务器使用的标识配置为映射后端 LDAP 服务器上的客户端证书。


    $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \
 cert-search-bind-pwd-file:filename

  5. 配置目录代理服务器所搜索的子树的基 DN。

    目录代理服务器将搜索子树,以查找映射到客户端证书的用户条目。


    $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

  6. 将客户端证书中的信息映射到 LDAP 服务器上的证书。

    1. 对 LDAP 服务器上包含证书的属性进行命名。


      $ dpconf set-server-prop cert-search-user-attribute:attribute

    2. 将客户端证书上的属性映射到 LDAP 服务器上包含证书的条目 DN。


      $ dpconf set-server-prop -h host -p port \
 cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      例如,要将 DN 为 cn=user1,o=sun,c=us 的客户端证书映射到 DN 为 uid=user1,o=sun 的 LDAP 条目,请运行以下命令:


      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \
 cert-search-attr-mappings:o:o

  7. (可选的)将 SASL 外部绑定操作的请求路由到所有数据视图或数据视图的自定义列表。

    • 要将请求路由到所有数据视图,请运行以下命令:


      $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

    • 要将请求路由到数据视图列表,请运行以下命令:


    $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \
 cert-data-view-routing-custom-list:view-name [view-name...]