伺服器可以利用下列兩種方法,以安全憑證確認使用者的身份:
使用用戶端憑證中的資訊做為身份的證明
驗證 LDAP 目錄中發佈的用戶端憑證 (附加)
如果將伺服器配置為使用憑證資訊來認證用戶端,則伺服器會執行下列動作:
檢查以判斷憑證是否來自可信任的CA (憑證授權單位)。如果不是,則認證會失敗,且作業事件會結束。若要瞭解如何啟用用戶端認證,請參閱設定安全性喜好設定。
如果憑證是來自可信任的 CA,則會使用 certmap.conf 檔案將憑證對映至使用者項目。若要瞭解如何配置憑證對映檔案,請參閱使用 certmap.conf 檔案。
如果憑證正確進行了對映,請檢查為該使用者指定的 ACL 規則。即使憑證正確進行了對映,ACL 規則也可能會拒絕該使用者的存取。
要求用戶端認證以控制對特定資源進行存取的作法,與要求所有針對伺服器的連線需經用戶端認證不同。如果將伺服器配置為要求對所有連線進行用戶端認證,則用戶端必須只能提供由可信任的 CA 核發的有效憑證。如果將伺服器配置為使用 SSL 方法來認證使用者和群組,則必須執行下列動作:
用戶端必須出示由可信任的 CA 所核發的有效憑證
憑證必須對映到 LDAP 中的有效使用者
存取控制清單必須進行正確評估
當您需要具有存取控制的用戶端認證時,您的 Proxy Server 必須啟用 SSL 加密。請參閱第 5 章, 使用憑證和金鑰以取得有關啟用 SSL 的更多資訊。
若要成功地對採用 SSL 認證的資源進行存取,用戶端憑證必須來自 Proxy Server 所信任的 CA。如果將 Proxy Server 的 certmap.conf 檔案配置為將瀏覽器中的用戶端憑證與目錄伺服器中的用戶端憑證進行比對,則必須在此目錄伺服器中發佈用戶端憑證。不過,您也可以將 certmap.conf 檔案配置為只將憑證中所選取的資訊與目錄伺服器項目進行比對。例如,您可以將 certmap.conf 配置為只將瀏覽器憑證中的使用者 ID 和電子郵件地址,與目錄伺服器項目進行比對。如需有關 certmap.conf 和憑證對映的更多資訊,請參閱第 5 章, 使用憑證和金鑰。另請參閱「Sun Java System Web Proxy Server 4.0.4 Configuration File Reference」。