DIGEST-MD5 身份識別對映

SASL 機制的身份識別對映會嘗試比對 SASL 身份識別的憑證與目錄中的使用者項目。如果在對映中找不到對應 SASL 身份識別的 DN，認證即會失敗。如需此機制的完整描述，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Reference」。

SASL 身份識別是一個名為 Principal 的字串，用以表示各機制之特定格式下的使用者。在 DIGEST-MD5 中，用戶端應建立含有 dn: 前綴與 LDAP DN，或含有 u: 前綴與任何用戶端指定文字的主體。對映期間，用戶端所傳送的主體可用於 ${Principal} 預留位置中。

伺服器配置的下列項目，即為 DIGEST-MD5 的預設身份識別對映：

dn: cn=default,cn=DIGEST-MD5,cn=identity mapping,cn=config
objectClass: top
objectClass: nsContainer
objectClass: dsIdentityMapping
objectClass: dsPatternMatching
cn: default
dsMatching-pattern: \${Principal}
dsMatching-regexp: dn:(.*)
dsMappedDN: \$1

此身份識別對映會假設主體的 dn 欄位含有現有使用者在目錄中的實際 DN。

定義您自己的 DIGEST-MD5 身份識別對映

無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。

1. 編輯預設對映項目，或在 cn=DIGEST-MD5,cn=identity mapping,cn=config 下建立新的對映項目。

   下列指令將說明此對映的定義方式：

   $ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn: cn=unqualified-username,cn=DIGEST-MD5,cn=identity mapping cn=config objectclass: dsIdentityMapping objectclass: dsPatternMatching objectclass: nsContainer objectclass: top cn: unqualified-username dsMatching-pattern: \${Principal} dsMatching-regexp: u:(.*)@(.*)\\.com dsSearchBaseDN: dc=\$2 dsSearchFilter: (uid=\$1)

2. 重新啟動目錄伺服器，使您的新對映生效。