Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-02 |
|
前 |
次 |
10g(10.1.4.0.1)より、コマンドラインからのバイナリ属性usercertificate
の検索が可能になりました。
10g リリース2(10.1.2.0.2)より前のリリースでは、証明書からユーザーを特定するには、証明書で指定されている識別名を使用する必要がありました。これを証明書の一致といいます。Oracle Internet Directoryでは、10g リリース2(10.1.2.0.2)から、証明書の一致に加えて、証明書のマッピングも使用できるようになりました。証明書の一致では、ユーザー証明書がディレクトリにプロビジョニングされている必要があります。証明書のマッピングでは、ユーザー証明書のプロビジョニングは必要はありません。
この付録の項目は次のとおりです。
証明書のマッピングを使用すれば、証明書とユーザーの識別名とのマッピング・ルールを定義できます。証明書のマッピング・ルールは、証明書を解析するためのルールと、ディレクトリにユーザー・アイデンティティを問い合せるためのルールの集まりです。マッピング・ルールでは、証明書のカスタム拡張のみを使用できます。
次の例は、証明書マッピング・ルールを追加、削除および変更する方法を示しています。
証明書マッピング・ルールの追加
ldapmodify
を使用してマッピング・ルールを追加する方法は次のとおりです。
ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleAdd.ldif
certMapRuleAdd.ldif
ファイルは次のようになります。
dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations cn: maprule1 objectclass: orclidmapping objectclass: orclcertidmapping orclSearchScope: subtree orclSearchFilter: (cn=$(2.16.750.5.14.2.81.2.5.1)) orclcertExtensionOID: 2.16.750.5.14.2.81.2.5 orclcertExtensionAttribute: 2.16.750.5.14.2.81.2.5.1
証明書マッピング・ルールの削除
ldapdelete
を使用してマッピング・ルールを削除する方法は次のとおりです。
ldapdelete hostName -D "cn=orcladmin" -q -p port_number \ "cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server \ Configurations"
証明書マッピング・ルールの変更
ldapmodify
を使用してマッピング・ルールを変更する方法は次のとおりです。
ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleMod.ldif
certMapRuleMod.ldif
ファイルは次のようになります。
dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations changetype:modify replace: attrName attrName: attrValue
次の2種類の証明書検索フィルタを使用できます。
"usercertificate=
certificate_serial_number
$
certificate_issuer_DN
"
形式のフィルタ。証明書の検索には、証明書のシリアル番号および証明書発行者のDNの組合せが使用されます。この組合せを、証明書の一致値と言います。
"usercertificate;binary=
base_64_encoded_value_of_certificate
"
形式のフィルタ。このフィルタを使用すると、次の2つの事柄に応じて、6つの検索タイプのいずれかを使用できます。
DSA構成設定の属性(DN: "cn=dsaconfig,cn=configsets,cn=oracle internet directory"
)の値、orclpkimatchingrule
LDAP制御GSL_CERTIFICATE_CONTROL
、2.16.840.1.113894.1.8.23の有無
"usercertificate;binary=
base_64_encoded_value_of_certificate
"
形式のフィルタで使用可能な6つの検索タイプは次のとおりです。
LDAP制御の存在 | orclpkimatchingruleの値 | 検索の動作 |
---|---|---|
なし | 使用しない | usercertificate の検索に、クライアント証明書のハッシュ値を使用する。 |
存在 | 0 | 完全一致検索を実行する。クライアント証明書のサブジェクトDNが検索ベースとなる。このDNとディレクトリ内のユーザーDNとが比較される。検索範囲はBase 。フィルタはobjectclass=* 。 |
存在 | 1 | usercertificate の検索に、クライアント証明書のハッシュ値を使用する。 |
存在 | 2(デフォルト) | usercertificate の検索に、クライアント証明書のハッシュ値を使用する。この検索の結果がない場合は、完全一致検索を実行する。 |
存在 | 3 | マッピング・ルールが使用される。 |
存在 | 4 | 最初にマッピング・ルールが使用される。何も検索されない場合は、値を2とみなして検索が続行される。 |
LDAP制御の使用方法は、『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「LDAPプロトコルに対する拡張機能」を参照してください。
注意:
|