K ディレクトリでのユーザー証明書の検索

この付録では、Oracle Internet Directoryでユーザー証明書を検索する方法について説明します。

10g (10.1.4.0.1)より、コマンド行からのバイナリ属性usercertificateの検索が可能になりました。

10g リリース2(10.1.2.0.2)より前のリリースでは、証明書からユーザーを特定するには、証明書で指定されている識別名を使用する必要がありました。これを証明書の一致といいます。Oracle Internet Directoryでは、10g リリース2(10.1.2.0.2)から、証明書の一致に加えて、証明書のマッピングも使用できるようになりました。証明書の一致では、ユーザー証明書がディレクトリにプロビジョニングされている必要があります。証明書のマッピングでは、ユーザー証明書のプロビジョニングは必要はありません。

この付録の内容は次のとおりです。

第K.1項「証明書のマッピング」
第K.2項「検索タイプ」

K.1 証明書のマッピング

証明書のマッピングを使用すれば、証明書とユーザーの識別名とのマッピング・ルールを定義できます。証明書のマッピング・ルールは、証明書を解析するためのルールと、ディレクトリにユーザー・アイデンティティを問い合せるためのルールの集まりです。マッピング・ルールでは、証明書のカスタム拡張のみを使用できます。

次の例は、証明書マッピング・ルールを追加、削除および変更する方法を示しています。

証明書マッピング・ルールの追加

ldapmodifyを使用してマッピング・ルールを追加する方法は次のとおりです。

ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleAdd.ldif

certMapRuleAdd.ldifファイルは次のようになります。

dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations
cn: maprule1
objectclass: orclidmapping
objectclass: orclcertidmapping
orclSearchScope: subtree
orclSearchFilter: (cn=$(2.16.750.5.14.2.81.2.5.1))
orclcertExtensionOID: 2.16.750.5.14.2.81.2.5
orclcertExtensionAttribute: 2.16.750.5.14.2.81.2.5.1

証明書マッピング・ルールの削除

ldapdeleteを使用してマッピング・ルールを削除する方法は次のとおりです。

ldapdelete hostName -D "cn=orcladmin" -q -p port_number \
  "cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server \
  Configurations"

証明書マッピング・ルールの変更

ldapmodifyを使用してマッピング・ルールを変更する方法は次のとおりです。

ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleMod.ldif

certMapRuleMod.ldifファイルは次のようになります。

dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations
changetype:modify
replace: attrName
attrName: attrValue

K.2 検索タイプ

次の2種類の証明書検索フィルタを使用できます。

"usercertificate=certificate_serial_number$certificate_issuer_DN"形式のフィルタ。証明書の検索には、証明書のシリアル番号および証明書発行者のDNの組合せが使用されます。この組合せを、証明書の一致値と言います。

"usercertificate;binary=base_64_encoded_value_of_certificate"形式のフィルタ。このフィルタを使用すると、次の2つの事柄に応じて、6つの検索タイプのいずれかを使用できます。

DSA構成設定の属性(DN: "cn=dsaconfig,cn=configsets,cn=oracle internet directory")の値、orclpkimatchingrule
LDAP制御GSL_CERTIFICATE_CONTROL、2.16.840.1.113894.1.8.23の有無

"usercertificate;binary=base_64_encoded_value_of_certificate"形式のフィルタで使用可能な6つの検索タイプは次のとおりです。

LDAP制御の存在	orclpkimatchingruleの値	検索の動作
なし	使用しない	`usercertificate`の検索に、クライアント証明書のハッシュ値を使用する。
存在	0	完全一致検索を実行する。クライアント証明書のサブジェクトDNが検索ベースとなる。このDNとディレクトリ内のユーザーDNとが比較される。検索範囲は`Base`。フィルタは`objectclass=*`。
存在	1	`usercertificate`の検索に、クライアント証明書のハッシュ値を使用する。
存在	2(デフォルト)	`usercertificate`の検索に、クライアント証明書のハッシュ値を使用する。この検索の結果がない場合は、完全一致検索を実行する。
存在	3	マッピング・ルールが使用される。
存在	4	最初にマッピング・ルールが使用される。何も検索されない場合は、値を2とみなして検索が続行される。

LDAP制御の使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「LDAPプロトコルに対する拡張機能」を参照してください。

注意:

サブストリング・フィルタを使用してusercertificate属性を検索することはできません。
完全一致検索では、検索フィルタに使用できる属性値のアサーションは1つのみです。
1レベル検索およびサブツリー検索のみがサポートされています。
catalogツールでは、ユーザー証明書のカタログ(ct_orclcertificatehashおよびct_orclcertificatematch)はサポートされていません。
10g(10.1.4.0.1)に証明書のハッシュ値を導入する場合は、証明書を以前のリリースからアップグレードする必要があります。『Oracle Fusion Middleware Oracle Identity Managementリファレンス』のupgradecert.plコマンド行ツールのリファレンス。