設定基於憑證的登入
除了基於密碼的認證之外,Sun Java System 伺服器還支援透過檢查使用者的數位憑證對使用者進行認證。在基於憑證的認證中,用戶端會與伺服器建立 SSL 階段作業,然後向伺服器提交使用者的憑證。伺服器會評估提交的憑證是否真實。如果憑證被證實,則認為使用者通過認證。
若要設定您的 Messaging Server 以進行基於憑證的登入,請:
設定基於憑證的登入
步驟
-
為您的伺服器獲得伺服器憑證。(如需詳細資訊,請參閱透過 Administration Console 取得憑證)
-
執行憑證安裝精靈以安裝所有信任的憑證授權機構 (將對您伺服器要認證的使用者發放憑證的機構) 的憑證。(如需詳細資訊,請參閱安裝信任的 CA 之憑證)
請注意,只要伺服器的資料庫中至少有一個可信任的 CA,伺服器便會請求每個連線用戶端提供用戶端憑證。
-
開啟 SSL。(如需詳細資訊,請參閱啟用 SSL 和選取密碼算法)
-
(可選擇) 編輯伺服器的 certmap.conf 檔案,以便伺服器可根據提交的憑證中的資訊相應地搜尋 LDAP 使用者目錄。
如果使用者憑證中的電子郵件位址與使用者目錄項目中的電子郵件位址相符,則無需編輯 certmap.conf 檔案,並且無需根據使用者項目中的憑證最佳化搜尋或驗證提交的憑證。
如需 certmap.conf 之格式和您可做之變更的詳細資訊,請參閱「Managing Servers with iPlanet Console」中的 SSL 一章。
執行這些步驟後,當用戶端建立 SSL 階段作業以便使用者可以登入 IMAP 或 HTTP 時,Messaging Server 便會請求用戶端提供使用者的憑證。如果用戶端提交的憑證是由已被伺服器確立為信任的 CA 所發放的,並且憑證中的身份符合使用者目錄中的項目,則使用者通過認證並被授予存取權 (取決於控制該使用者的存取控制規則)。
啟用基於憑證的登入時,無需禁止基於密碼的登入。如果允許基於密碼的登入 (此為預設狀態),並且您已執行本節所述的作業,則系統同時支援基於密碼的登入和基於憑證的登入。在這種情況下,如果用戶端建立 SSL 階段作業並提供憑證,則使用基於憑證的登入。如果用戶端不使用 SSL 或不提供憑證,則伺服器會請求提供密碼。
- © 2010, Oracle Corporation and/or its affiliates