在用戶端中使用 SASL DIGEST-MD5

在用戶端中使用 DIGEST-MD5 機制時，無須安裝使用者憑證。但若要使用加密的 SSL 連線，則仍須如管理憑證中所述，信任伺服器憑證。

指定範圍

範圍可定義用以從中選取認證身份識別的名稱空間。在 DIGEST-MD5 認證中，必須對特定的範圍進行認證。

目錄伺服器會以機器完全合格的主機名稱做為 DIGEST-MD5 的預設範圍。伺服器會使用位於 nsslapd-localhost 配置屬性中的主機名稱小寫值。

若未指定範圍，則會使用伺服器所提供的預設範圍。

指定環境變數

在 UNIX 環境中，您必須設定 SASL-PATH 環境變數，LDAP 工具才找得到 DIGEST-MD5 程式庫。DIGEST-MD5 程式庫是一種可由 SASL 外掛程式動態載入的共用程式庫。請以下列方式設定 SASL_PATH 環境變數：

export SASL_PATH=SASL-library

此路徑假設目錄伺服器安裝於呼叫 LDAP 工具的相同主機上。

ldapsearch 指令範例

您可以在未使用 SSL 的情況下，執行 DIGEST-MD5 用戶端認證。下列範例將使用預設的 DIGEST-MD5 身份識別對映，判斷連結 DN：

$ ldapsearch -h host1 -p 1389 \
 -o mech=DIGEST-MD5 [ \
 -o realm="example.com"] \
 -o authid="dn:uid=bjensen,dc=example,dc=com" \
 -w - \
 -o authzid="dn:uid=bjensen,dc=example,dc=com" \
 -o secProp="minssf=56,maxssf=256,noplain" \
 -b "dc=example,dc=com" "(givenname=Richard)"

上述範例說明如何使用 -o (小寫字母 o) 選項，指定 SASL 選項。realm 是可選擇的項目，但若要指定此項目，則必須使用伺服器主機電腦完全合格的網域名稱。authid 與 authzid 皆須存在同時完全相同，但並不會使用為代理伺服器作業所設定的 authzid。-w 密碼選項會套用至 authid。

authid 的值為身份識別對映中所使用的主體。authid 應包含 dn: 前綴與目錄中的有效使用者 DN，或包含 u: 前綴與用戶端所決定的任何字串。authid 的此項用法可讓您使用DIGEST-MD5 身份識別對映中所述的對映。

讓 SSL 連線透過 LDAPS 安全連接埠提供加密，以及讓 DIGEST-MD5 提供用戶端認證，是最常見的配置。下列範例將透過 SSL 執行相同的作業：

$ ldapsearch -h host1 -p 1636 \
 -Z -P .mozilla/bjensen/BJE6001.slt/cert8.db \
 -N "cert-example" -w - \
 -o mech=DIGEST-MD5 [-o realm="example.com"] \
 -o authid="dn:uid=bjensen,dc=example,dc=com" \
 -o authzid="dn:uid=bjensen,dc=example,dc=com" \
 -o secProp="minssf=0,maxssf=0,noplain" \
 -b "dc=example,dc=com" "(givenname=Richard)"

在此範例中，由於作業會透過 SSL 執行，因此 ldapsearch 指令必須使用 -N 與 -w 選項。但這些選項並不會使用於用戶端認證上。伺服器會在 authid 值中執行主體的其他 DIGEST-MD5 身份識別對映。