SASL 메커니즘에 아이디를 매핑하면 디렉토리의 사용자 항목이 SASL 아이디의 자격 증명과 일치하는지 확인합니다. 매핑 중에 SASL 아이디에 해당하는 DN을 찾을 수 없으면 인증은 실패합니다. 이 메커니즘에 대한 자세한 내용은 Sun Java System Directory Server Enterprise Edition 6.0 Reference를 참조하십시오.
SASL 아이디는 각 메커니즘의 고유 형식으로 사용자를 나타내는 사용자라고 불리는 문자열입니다. DIGEST-MD5의 경우, 클라이언트에서는 dn: 접두어와 LDAP DN 또는 u: 접두어 뒤에 클라이언트가 지정한 텍스트가 있는 사용자를 만들어야 합니다. 클라이언트가 보낸 사용자는 매핑 중에 ${Principal} 자리 표시자에서 사용할 수 있습니다.
DIGEST-MD5에 대한 기본 아이디 매핑은 서버 구성의 다음 항목에서 지정합니다.
dn: cn=default,cn=DIGEST-MD5,cn=identity mapping,cn=config objectClass: top objectClass: nsContainer objectClass: dsIdentityMapping objectClass: dsPatternMatching cn: default dsMatching-pattern: \${Principal} dsMatching-regexp: dn:(.*) dsMappedDN: \$1 |
이 아이디 매핑에서는 사용자 dn 필드에 기존 디렉토리 사용자의 DN이 포함되어 있다고 가정합니다.
DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.
기본 매핑 항목을 편집하거나 cn=DIGEST-MD5,cn=identity mapping,cn=config에 새 매핑 항목을 만듭니다.
DIGEST-MD5에 대한 매핑 예는 instance-path/ldif/identityMapping_Examples.ldif에 있습니다.
이 예에서는 정규화되지 않은 사용자 텍스트 필드에 원하는 아이디의 사용자 이름이 포함되어 있다고 가정합니다. 다음 명령은 이 매핑이 어떻게 정의되는지 보여줍니다.
$ ldapmodify -a -h host1 -p 1636 -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn: cn=unqualified-username,cn=DIGEST-MD5,cn=identity mapping cn=config objectclass: dsIdentityMapping objectclass: dsPatternMatching objectclass: nsContainer objectclass: top cn: unqualified-username dsMatching-pattern: \${Principal} dsMatching-regexp: u:(.*)@(.*)\\.com dsSearchBaseDN: dc=\$2 dsSearchFilter: (uid=\$1) |
새 매핑을 적용하려면 디렉토리 서버를 다시 시작합니다.