為 SASL 外部連結配置目錄代理伺服器

如需有關 SASL 外部連結的資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」中的「Using SASL External Bind」。

您可以使用 DSCC 執行此作業。如需有關資訊，請參閱目錄服務控制中心介面與 DSCC 線上說明。

1. 不允許未認證的作業。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

2. 要求用戶端建立連線時必須出示憑證。

   $ dpconf set-server-prop -h host -p port allow-cert-based-auth:require

   用戶端提供包含 DN 的憑證。

3. 啟用 SASL 外部連結的用戶端認證。

   $ dpconf set-server-prop -h host -p port allow-sasl-external-authentication:true

4. 配置目錄代理伺服器使用的識別，以對映至後端 LDAP 伺服器上的用戶端憑證。

   $ dpconf set-server-prop -h host -p port cert-search-bind-dn:bind-DN \ cert-search-bind-pwd-file:filename

5. 配置目錄代理伺服器搜尋的子樹狀結構之基底 DN。

   目錄代理伺服器搜尋子樹狀結構，以尋找對映至用戶端憑證的使用者項目。

   $ dpconf set-server-prop -h host -p port cert-search-base-dn:base-DN

6. 將用戶端憑證中的資訊對映至 LDAP 伺服器上的憑證。

   1. 在包含憑證的 LDAP 伺服器上命名屬性。

      $ dpconf set-server-prop cert-search-user-attribute:attribute

   2. 將用戶端憑證的屬性對映至包含憑證的 LDAP 伺服器上項目的 DN。

      $ dpconf set-server-prop -h host -p port \ cert-search-attr-mappings:client-side-attribute-name:server-side-attribute-name

      例如，若要將 DN 為 cn=user1,o=sun,c=us 的用戶端憑證對映至 DN 為 uid=user1,o=sun 的 LDAP 項目，請執行下列指令：

      $ dpconf set-server-prop -h host1 -p 1389 cert-search-attr-mappings:cn:uid \ cert-search-attr-mappings:o:o

7. (可選擇) 將 SASL 外部連結作業的請求路由至所有資料檢視或自訂資料檢視清單。

   • 若要將請求路由至所有資料檢視，請執行此指令：

     $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:all-routable

   • 若要將請求路由至資料檢視清單，請執行此指令：

   $ dpconf set-server-prop -h host -p port cert-data-view-routing-policy:custom \ cert-data-view-routing-custom-list:view-name [view-name...]