對映範例

certmap.conf 檔案中應至少包含一個項目。下列範例說明了 certmap.conf 的不同使用方式。

範例 #1 只有一個預設對映的 certmap.conf 檔案

certmap default defaultdefault:DNComps ou, o, cdefault:FilterComps e, uiddefault:verifycert on

以此為例，伺服器在包含 ou=orgunit, o=org, c=country 項目的 LDAP 分支點開始搜尋，其中斜體文字將由用戶端憑證中主體 DN 的值所替代。

然後，伺服器會使用憑證上電子郵件地址和使用者 ID 的值，在 LDAP 目錄中搜尋相符的項目。找到相符的項目時，伺服器會比對用戶端傳送的憑證與儲存在目錄中的憑證，以驗證該憑證。

範例 #2 具有兩個對映的 certmap.conf 檔案

以下範例檔案中包括兩個對映：一個用於預設，另一個用於美國郵政局。

certmap default defaultdefault:DNCompsdefault:FilterComps e, uid

certmap usps ou=United States Postal Service, o=usps, c=USusps:DNComps ou,o,cusps:FilterComps eusps:verifycert on

伺服器收到美國郵政局以外的人傳來憑證時會使用預設對映，該對映會從 LDAP 樹狀結構的頂層開始，搜尋與用戶端電子郵件地址和使用者 ID 相符的項目。如果憑證來自美國郵政服務，則伺服器會從包含組織單位的 LDAP 分支開始搜尋相符的電子郵件地址。此外，伺服器還會驗證該憑證。其他憑證則不加以驗證。

憑證中的核發者 DN (即 CA 的資訊) 必須與對映第一行中所列的核發者 DN 相同。在前一個範例中，來自核發者 DN (即 o=United States Postal Service,c=US) 的憑證就不相符，因為 DN 中 o 和 c 屬性之間沒有空格。

範例 #3 搜尋 LDAP 資料庫

下列範例使用 CmapLdapAttr 特性在 LDAP 資料庫中搜尋名為 certSubjectDN 的屬性，該屬性的值與用戶端憑證中的整個主體 DN 完全相符。本範例假設 LDAP 目錄中包含具有 certSubjectDN 屬性的項目。

certmap myco ou=My Company Inc, o=myco, c=USmyco:CmapLdapAttr certSubjectDNmyco:DNComps o, c myco:FilterComps mail, uid myco:verifycert on

如果用戶端憑證的主題為：

uid=Walt Whitman, o=LeavesOfGrass Inc, c=US

伺服器將首先搜尋包含以下資訊的項目：

certSubjectDN=uid=Walt Whitman, o=LeavesOfGrass Inc, c=US

如果找到一個或多個匹配的項目，伺服器將繼續驗證各項目。如果找不到相符的項目，伺服器會使用 DNComps 和 FilterComps 來搜尋相符的項目。在本範例中，伺服器會在 o=LeavesOfGrass Inc, c=US 之下的所有項目中搜尋 uid=Walt Whitman。