클라이언트 인증서를 LDAP로 매핑
이 절에서는 Proxy Server가 클라이언트 인증서를 LDAP 디렉토리의 항목으로 매핑하는 프로세스에 대해 설명합니다. 클라이언트 인증서를 LDAP에 매핑하기 전에 필수 ACL을 구성해야 합니다. 자세한 내용은 8 장서버 액세스 제어를 참조하십시오.
서버가 클라이언트의 요청을 수신하면 이를 처리하기 전에 클라이언트의 인증서를 요구합니다. 클라이언트에 따라 서버에 요청과 함께 클라이언트를 전송하는 경우도 있습니다.
서버는 CA를 Administration Server에 있는 신뢰할 수 있는 CA의 목록과 일치시키려 합니다. 일치 항목이 없으면 Proxy Server는 연결을 종료합니다. 일치 항목이 있으면 서버가 요청 처리를 계속합니다.
신뢰할 수 있는 CA의 인증서임을 확인한 후 서버는 다음과 같이 인증서를 LDAP 항목으로 매핑합니다.
-
클라이언트 인증서에 있는 발행자와 대상 DN을 LDAP 디렉토리의 분기점에 매핑합니다.
-
LDAP 디렉토리에 클라이언트 인증서의 대상(최종 사용자)에 대한 정보와 일치하는 항목이 있는지 검색합니다.
-
(선택 사항) 클라이언트 인증서를 DN에 해당하는 LDAP 항목 중 하나와 확인합니다.
서버는 certmap.conf라는 인증서 매핑 파일을 사용하여 LDAP 검색이 수행되는 방법을 결정합니다. 서버는 매핑 파일에 따라 클라이언트 인증서에서 가져올 값(예: 최종 사용자의 이름, 전자 메일 주소 등)을 결정합니다. 서버는 이 값을 사용하여 LDAP 디렉토리에서 사용자 항목을 검색하지만, 우선 서버가 LDAP 디렉토리에서 검색을 시작할 위치를 결정해야 합니다. 서버는 또한 인증서 매핑 파일에서 시작 위치를 알 수 있습니다.
서버가 검색을 시작할 위치와 검색할 항목을 결정하면 LDAP 디렉토리에서 검색을 수행합니다(두 번째 지점). 일치 항목이 없거나 일치 항목이 여러 개인 경우 인증서를 확인하도록 매핑이 설정되지 않고 검색은 실패합니다.
예상되는 검색 결과의 목록은 다음 표와 같습니다. ACL에서 예상 동작을 지정할 수 있습니다. 예를 들어, 인증서 일치에 실패하면 Proxy Server가 해당사용자만 허용하도록 지정할 수 있습니다. ACL 기본 설정을 지정하는 방법에 대한 자세한 내용은 액세스 제어 파일 사용을 참조하십시오.
표 5–1 LDAP 검색 결과|
LDAP 검색 결과 |
인증서 검증 ON |
인증서 검증 OFF |
|---|---|---|
|
검색된 항목 없음 |
인증 실패 |
인증 실패 |
|
정확히 한 개 항목 일치 |
인증 실패 |
인증 성공 |
|
여러 항목 일치 |
인증 실패 |
인증 실패 |
서버가 LDAP 디렉토리에서 일치 항목과 인증서를 찾으면 서버는 해당 정보를 사용하여 트랜잭션을 처리할 수 있습니다. 예를 들어 서버에 따라 인증서 LDAP 매핑을 사용하여 서버에 대한 액세스를 결정합니다.
- © 2010, Oracle Corporation and/or its affiliates