本小節說明 Proxy Server 採用何種程序,將用戶端憑證對映至 LDAP 目錄中的項目。將用戶端憑證對映至 LDAP 之前,還必須配置必要的 ACL。如需更多資訊,請參閱第 8 章控制對伺服器的存取。
伺服器收到來自用戶端的請求時,會在處理前索取用戶端的憑證。某些用戶端會在向伺服器傳送申請的同時傳送用戶端憑證。
伺服器將嘗試檢視該 CA 是否與 Administration Server 中的某個可信任 CA 匹配。如果不存在相符的項目,Proxy Server 將會結束連線。如果存在相符的項目,伺服器將繼續處理請求。
伺服器驗證憑證是來自可信任的 CA 之後,便會透過執行下列操作將憑證對映至 LDAP 項目:
將核發者和主體 DN 從用戶端憑證對映至 LDAP 目錄中的分支點。
在 LDAP 目錄中,搜尋與用戶端憑證的主體 (一般使用者) 相關資訊相符的項目。
(可選) 驗證用戶端憑證是否與 LDAP 項目中對應於 DN 的憑證相符。
伺服器使用憑證對映檔案 (稱為 certmap.conf) 來確定 LDAP 搜尋的執行方式。對映檔案將告知伺服器要採用用戶端憑證中的哪些值,如一般使用者名稱、電子郵件地址等。伺服器將使用這些值來搜尋 LDAP 目錄中的使用者項目,但伺服器必須先確定要從 LDAP 目錄中的何處開始搜尋。憑證對映檔案也會告訴伺服器開始搜尋的位置。
一旦伺服器知道從何處開始搜尋以及所搜尋的內容之後,便會在 LDAP 目錄 (第二個點) 中執行搜尋。如果找不到任何相符項目或找到多個相符項目,並且未設定對映必須驗證憑證,則搜尋將會失敗。
下表列出了預期的搜尋結果運作方式。您可以在 ACL 中指定預期的運作方式。例如,您可以指定找不到相符憑證時,Proxy Server 就只接受您。如需有關如何設定 ACL 喜好設定的更多資訊,請參閱使用存取控制檔案。
表 5–1 LDAP 搜尋結果
LDAP 搜尋結果 |
憑證驗證「開啟」 |
憑證驗證「關閉」 |
---|---|---|
未找到項目 |
認證失敗 |
認證失敗 |
恰好找到一個項目 |
認證失敗 |
認證成功 |
找到多個項目 |
認證失敗 |
授權失敗 |
伺服器在 LDAP 目錄中找到相符的項目和憑證之後,即可使用該資訊處理作業事件。例如,某些伺服器使用憑證到 LDAP 的對映來確定對某個伺服器的存取權限。