1. Oracle Internet Directoryの管理
  2. 付録
  3. ディレクトリでのユーザー証明書の検索

A.10 ディレクトリでのユーザー証明書の検索

Oracle Internet Directoryで証明書マッピングおよび証明書一致方法に従ってユーザー証明書を検索できます。

バイナリ属性usercertificateのコマンドライン検索を実行できます。

10g リリース2(10.1.2.0.2)より前のリリースでは、証明書からユーザーを特定するには、証明書で指定されている識別名を使用する必要がありました。これを証明書の一致といいます。Oracle Internet Directoryでは、証明書の一致に加えて、証明書マッピングもサポートされるようになりました。証明書の一致では、ユーザー証明書がディレクトリにプロビジョニングされている必要があります。証明書のマッピングでは、ユーザー証明書のプロビジョニングは必要はありません。

次の項が含まれます:

A.10.1 証明書のマッピング

証明書のマッピングを使用すれば、証明書とユーザーの識別名とのマッピング・ルールを定義できます。証明書のマッピング・ルールは、証明書を解析するためのルールと、ディレクトリにユーザー・アイデンティティを問い合せるためのルールの集まりです。マッピング・ルールでは、証明書のカスタム拡張のみを使用できます。

次のタスクを実行できます。

A.10.1.1 証明書マッピング・ルールの追加

マッピング・ルールを追加するには、次のように、ldapmodifyコマンドを使用します。 

ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleAdd.ldif

certMapRuleAdd.ldifファイルは次のようになります。 

dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations
cn: maprule1
objectclass: orclidmapping
objectclass: orclcertidmapping
orclSearchScope: subtree
orclSearchFilter: (cn=$(2.16.750.5.14.2.81.2.5.1))
orclcertExtensionOID: 2.16.750.5.14.2.81.2.5
orclcertExtensionAttribute: 2.16.750.5.14.2.81.2.5.1

A.10.1.2 証明書マッピング・ルールの削除

マッピング・ルールを削除するには、次のように、ldapdeleteコマンドを使用します。 

ldapdelete hostName -D "cn=orcladmin" -q -p port_number \
  "cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server \
  Configurations"

A.10.1.3 証明書マッピング・ルールの変更

マッピング・ルールを変更するには、次のように、ldapmodifyコマンドを使用します。 

ldapmodify -D "cn=orcladmin" -q -h hostName -p port_number -f certMapRuleMod.ldif

certMapRuleMod.ldifファイルは次のようになります。 

dn: cn=maprule1,cn=SASL-EXTERNAL,cn=Identity Mapping Configurations,cn=Server Configurations
changetype:modify
replace: attrName
attrName: attrValue

A.10.2 検索タイプ

次の2種類の証明書検索フィルタを使用できます。

証明書検索フィルタには、次の2種類があります。

  • "usercertificate=certificate_serial_number$certificate_issuer_DN"形式のフィルタ。証明書の検索には、証明書のシリアル番号および証明書発行者のDNの組合せが使用されます。この組合せを、証明書の一致値と言います。

  • "usercertificate;binary=base_64_encoded_value_of_certificate"形式のフィルタ。このフィルタを使用すると、次の2つの事柄に応じて、6つの検索タイプのいずれかを使用できます。

    • DSA構成設定の属性(DN: "cn=dsaconfig,cn=configsets,cn=oracle internet directory")の値、orclpkimatchingrule

    • LDAP制御GSL_CERTIFICATE_CONTROL、2.16.840.1.113894.1.8.23の有無

    "usercertificate;binary=base_64_encoded_value_of_certificate"形式のフィルタで使用可能な6つの検索タイプは次のとおりです。

    LDAP制御の存在 orclpkimatchingruleの値 検索の動作

    なし

    使用しません

    usercertificateの検索に、クライアント証明書のハッシュ値を使用する。

    あり

    0

    完全一致検索を実行する。クライアント証明書のサブジェクトDNが検索ベースとなる。このDNとディレクトリ内のユーザーDNとが比較される。検索範囲はBase。フィルタはobjectclass=*

    あり

    1

    usercertificateの検索に、クライアント証明書のハッシュ値を使用する。

    あり

    2 (デフォルト値)

    usercertificateの検索に、クライアント証明書のハッシュ値を使用する。この検索の結果がない場合は、完全一致検索を実行する。

    あり

    3

    マッピング・ルールが使用される。

    あり

    4

    最初にマッピング・ルールが使用される。何も検索されない場合は、値を2とみなして検索が続行される。

    LDAP制御の使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』LDAPプロトコルに対する拡張機能に関する項を参照してください。

ノート:

  • サブストリング・フィルタを使用してusercertificate属性を検索することはできません。

  • 完全一致検索では、検索フィルタに使用できる属性値のアサーションは1つのみです。

  • 1レベル検索およびサブツリー検索のみがサポートされています。

  • catalogツールでは、ユーザー証明書のカタログ(ct_orclcertificatehashおよびct_orclcertificatematch)はサポートされていません。

  • 証明書のハッシュ値では、証明書を以前のリリースからアップグレードする必要があります。『Oracle Fusion Middleware Oracle Identity Managementリファレンス』upgradecert.plコマンド行ツールのリファレンスを参照してください。

関連項目:

直接認証について