test

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

認證目錄代理伺服器的用戶端

依預設,目錄代理伺服器配置為進行簡單的連結認證。簡單連結認證不需要其他配置。

如需有關用戶端與目錄代理伺服器之間認證的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Client Authentication Overview」。如需有關如何配置認證的資訊,請參閱下列程序。

Procedure配置基於憑證的認證

如需有關用戶端基於憑證的認證的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Configuring Certificates in Directory Proxy Server」。本節說明如何配置基於憑證的認證。

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

備註 –

基於憑證的認證僅能在 SSL 連線上執行。

    將目錄代理伺服器配置為用戶端建立 SSL 連線時必須出示憑證。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

Procedure配置匿名存取

如需有關匿名存取的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Anonymous Access」。如需有關如何將匿名用戶端的識別對映到其他識別的資訊,請參閱以替代使用者身份轉寄請求

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

    允許未認證的使用者執行作業。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:true

Procedure為 SASL 外部連結配置目錄代理伺服器

如需有關 SASL 外部連結的資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Using SASL External Bind」

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 不允許未認證的作業。


    $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

  2. 要求用戶端建立連線時必須出示憑證。


    $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

    用戶端提供包含 DN 的憑證。

  3. 啟用 SASL 外部連結的用戶端認證。


    $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

  4. 配置目錄代理伺服器使用的識別,以對映至後端 LDAP 伺服器上的用戶端憑證。


    $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \
 cert-search-bind-pwd-file:filename

  5. 配置目錄代理伺服器搜尋的子樹狀結構之基底 DN。

    目錄代理伺服器搜尋子樹狀結構,以尋找對映至用戶端憑證的使用者項目。


    $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

  6. 將用戶端憑證中的資訊對映至 LDAP 伺服器上的憑證。

    1. 在包含憑證的 LDAP 伺服器上命名屬性。


      $ dpconf set-server-prop cert-search-user-attribute:attribute

    2. 將用戶端憑證的屬性對映至包含憑證的 LDAP 伺服器上項目的 DN。


      $ dpconf set-server-prop -h host -p port \
 cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      例如,若要將 DN 為 cn=user1,o=sun,c=us 的用戶端憑證對映至 DN 為 uid=user1,o=sun 的 LDAP 項目,請執行下列指令:


      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \
 cert-search-attr-mappings:o:o

  7. (可選擇) 將 SASL 外部連結作業的請求路由至所有資料檢視或自訂資料檢視清單。

    • 若要將請求路由至所有資料檢視,請執行此指令:


      $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

    • 若要將請求路由至資料檢視清單,請執行此指令:


    $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \
 cert-data-view-routing-custom-list:view-name [view-name...]