本节介绍 Proxy Server 用来将客户机证书映射到 LDAP 目录中的条目的过程。在将客户机证书映射到 LDAP 之前,还必须配置所需的 ACL。有关更多信息,请参见第 8 章。
服务器收到客户机的请求后,将在处理请求之前要求提供客户机的证书。某些客户机会在向服务器发送请求的同时发送客户机证书。
服务器将尝试查看该 CA 是否与 Administration Server 中的某个信任 CA 相匹配。如果不存在匹配条目,Proxy Server 将结束连接。如果存在匹配条目,服务器将继续处理请求。
验证证书是来自受信任的 CA 之后,服务器会通过以下方式将证书映射到 LDAP 条目:
将颁发者和主题 DN 从客户机证书映射到 LDAP 目录中的分支点
在 LDAP 目录中搜索与客户机证书的主题(最终用户)相关信息相匹配的条目
(可选)验证客户机证书是否与对应于 DN 的 LDAP 条目中的证书相匹配
服务器使用名为 certmap.conf 的证书映射文件来确定如何执行 LDAP 搜索。映射文件将告诉服务器要使用客户机证书中的哪些值(例如最终用户的名称、电子邮件地址等)。服务器将使用这些值搜索 LDAP 目录中的用户条目,但服务器首先必须确定从 LDAP 目录中的哪个位置开始搜索。证书映射文件也会告诉服务器开始搜索的位置。
服务器了解了开始搜索的位置和要搜索的内容之后,将在 LDAP 目录中执行搜索(第二步)。如果未找到匹配条目或找到多个匹配条目,并且映射未设置为验证证书,搜索将失败。
下表列出了预期的搜索结果行为。您可以在 ACL 中指定期望的行为。例如,可以指定,如果证书匹配失败,Proxy Server 将仅接受您。有关如何设置 ACL 首选项的更多信息,请参见使用访问控制文件。
表 5–1 LDAP 搜索结果
LDAP 搜索结果 |
证书验证打开 |
证书验证关闭 |
---|---|---|
未找到条目 |
验证失败 |
验证失败 |
恰好找到一个条目 |
验证失败 |
验证成功 |
找到多个条目 |
验证失败 |
授权失败 |
服务器在 LDAP 目录中找到匹配条目和证书后,就可以使用该信息处理事务。例如,某些服务器使用证书-到-LDAP (certificate-to-LDAP) 映射来确定对某台服务器的访问权限。