Sun Java System Web Proxy Server 4.0.8 管理指南

将客户机证书映射到 LDAP

本节介绍 Proxy Server 用来将客户机证书映射到 LDAP 目录中的条目的过程。在将客户机证书映射到 LDAP 之前,还必须配置所需的 ACL。有关更多信息,请参见第 8 章

服务器收到客户机的请求后,将在处理请求之前要求提供客户机的证书。某些客户机会在向服务器发送请求的同时发送客户机证书。

服务器将尝试查看该 CA 是否与 Administration Server 中的某个信任 CA 相匹配。如果不存在匹配条目,Proxy Server 将结束连接。如果存在匹配条目,服务器将继续处理请求。

验证证书是来自受信任的 CA 之后,服务器会通过以下方式将证书映射到 LDAP 条目:

服务器使用名为 certmap.conf 的证书映射文件来确定如何执行 LDAP 搜索。映射文件将告诉服务器要使用客户机证书中的哪些值(例如最终用户的名称、电子邮件地址等)。服务器将使用这些值搜索 LDAP 目录中的用户条目,但服务器首先必须确定从 LDAP 目录中的哪个位置开始搜索。证书映射文件也会告诉服务器开始搜索的位置。

服务器了解了开始搜索的位置和要搜索的内容之后,将在 LDAP 目录中执行搜索(第二步)。如果未找到匹配条目或找到多个匹配条目,并且映射设置为验证证书,搜索将失败。

下表列出了预期的搜索结果行为。您可以在 ACL 中指定期望的行为。例如,可以指定,如果证书匹配失败,Proxy Server 将仅接受您。有关如何设置 ACL 首选项的更多信息,请参见使用访问控制文件

表 5–1 LDAP 搜索结果

LDAP 搜索结果 

证书验证打开 

证书验证关闭 

未找到条目 

验证失败 

验证失败 

恰好找到一个条目 

验证失败 

验证成功 

找到多个条目 

验证失败 

授权失败 

服务器在 LDAP 目录中找到匹配条目和证书后,就可以使用该信息处理事务。例如,某些服务器使用证书-到-LDAP (certificate-to-LDAP) 映射来确定对某台服务器的访问权限。