Inhalt    

Attribute für Zertifikatauthentifizierung

Bei den Attributen für das Zertifikatauthentifizierungsmodul handelt es sich um Organisationsattribute. Die diesen Attributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Zertifikatauthentifizierung verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge in den Unterbäumen der Organisation vererbt. Die Attribute für die Zertifikatauthentifizierung sind:

Zertifikat auf LDAP-Server vergleichen

Mit dieser Option wird festgelegt, ob überprüft werden soll, ob das bei der Anmeldung vorgelegte Benutzerzertifikat auf dem LDAP-Server gespeichert werden soll. Wenn keine Übereinstimmung gefunden wird, wird dem Benutzer der Zugriff verweigert. Wenn eine Übereinstimmung gefunden wird und keine weitere Validierung erforderlich ist, erhält der Benutzer Zugriff. In der Standardeinstellung führt das Zertifikatauthentifizierungsmodul keine Prüfung des Benutzerzertifikats durch.


Hinweis

Ein auf dem Directory Server gespeichertes Zertifikat ist nicht in jedem Fall gültig; unter Umständen befindet es sich auf der Liste zurückgezogener Zertifikate. Der Web-Container prüft die Gültigkeit des bei der Anmeldung vorgelegten Benutzerzertifikats.


Zum Durchsuchen von LDAP nach Zertifikaten verwendetes DN-Attribut des Betreffs

Über dieses Feld wird das Attribut des SubjectDN-Werts für das Zertifikat angegeben, der für die Suche nach LDAP für Zertifikate verwendet wird. Dieses Attribut muss einen Benutzereintrag eindeutig identifizieren. Es wird der angegebene Wert für die Suche verwendet. Der Standardwert ist CN.

Zertifikat mit CRL vergleichen

Mit dieser Option wird festgelegt, ob das Benutzerzertifikat mit der CRL (Certificate Revocation List, Liste zurückgezogener Zertifikate) auf dem LDAP-Server verglichen werden soll. Die CRL befindet sich unter einem Attributnamen im SubjectDN des Herausgebers. Wenn das Zertifikat in der CRL gespeichert ist, wird dem Benutzer der Zugriff verweigert; anderenfalls darf er fortfahren. Dieses Attribut ist standardmäßig nicht aktiviert.


Hinweis

Zertifikate werden in der Regel zurückgezogen, wenn der Status des Zertifikateigentümers sich geändert hat, sodass er nicht mehr zur Verwendung des Zertifikats berechtigt ist, oder wenn der private Schlüssel eines Zertifikateigentümers ungültig geworden ist.


Zum Durchsuchen von LDAP nach CRLs verwendetes DN-Attribut des Herausgebers

Über dieses Feld wird das Attribut des subjectDN-Werts für das Zertifikat angegeben, der für die Suche nach LDAP für CRLs verwendet wird. Dieses Feld wird nur verwendet, wenn das Attribut "Zertifikat mit CRL vergleichen" aktiviert ist. Es wird der angegebene Wert für die Suche verwendet. Der Standardwert ist CN.

HTTP-Parameter für CRL-Aktualisierung

Über dieses Feld werden die HTTP-Parameter zum Abrufen einer CRL von einem Servlet für eine CRL-Aktualisierung angegeben. Diese Parameter erhalten Sie vom Administrator Ihrer Zertifizierungsstelle.

OCSP-Überprüfung aktivieren

Dieser Parameter aktiviert die Durchführung der OCSP-Validierung durch einen Verbindungsaufbau zum jeweiligen OCSP-Empfänger. Der OCSP-Empfänger wird bei der Ausführung wie folgt festgelegt:

Wenn com.sun.identity.authentication.ocspCheck auf falsch oder com.sum.identity.authentication.ocspCheck auf wahr eingestellt ist und kein OCSP-Empfänger gefunden werden kann, wird keine OCSP-Überprüfung vorgenommen.


Hinweis

Stellen Sie vor dem Aktivieren der OCSP-Überprüfung sicher, dass die Uhrzeit des Access Manager-Computers und des Empfängercomputers so exakt wie möglich synchronisiert sind. Zudem darf die Uhrzeit des Access Manager-Rechners nicht nach der Uhrzeit des OCSP-Empfängers liegen. Beispielsweise:

OCSP-Empfängercomputer - 12:00:00 Uhr

Access Manager-Computer - 12:00:30 Uhr


LDAP-Server, auf dem die Zertifikate gespeichert sind

In diesem Feld werden der Name und die Anschlussnummer des LDAP-Servers angegeben, auf dem die Zertifikate gespeichert werden. Der Standardwert ist der bei der Installation von Access Manager verwendete Host-Name und Anschluss. Hier können Host-Name und Anschluss jedes LDAP-Servers angegeben werden, auf dem Zertifikate gespeichert werden. Das Format ist hostname:port.

Start-DN der LDAP-Suche

In diesem Feld wird der DN des Knotens angegeben, bei dem die Suche nach dem Benutzerzertifikat beginnen soll. Für diese Option gibt es keinen Standardwert. In diesem Feld ist jeder gültige DN zulässig. Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten. Das Format ist folgendermaßen aufgebaut:

servername|search dn

Für Mehrfacheingaben

servername1|search dn servername2|search dn servername3|search dn...

Wenn durch einen Suchvorgang mehrere Benutzer ermittelt werden, schlägt die Authentifizierung fehl.

Principal-Benutzer für LDAP-Server

In diesem Feld wird der DN des Principal-Benutzers des LDAP-Servers angegeben, auf dem die Zertifikate gespeichert sind. Für dieses Feld gibt es keinen Standardwert; jeder gültige DN ist hier zulässig. Der Principal-Benutzer muss zum Lesen und Durchsuchen der auf dem Directory Server gespeicherten Zertifikatdaten berechtigt sein.

Principal-Passwort für LDAP-Server

In diesem Feld wird das LDAP-Passwort des im Feld Principal-Benutzer für LDAP-Server festgelegten Benutzers angegeben. Für dieses Feld gibt es keinen Standardwert; das gültige LDAP-Passwort für den angegebenen Principal-Benutzer ist hier zulässig.


Hinweis

Dieser Wert wird als lesbarer Text im Verzeichnis gespeichert.


LDAP-Attribut für Profil-ID

In diesem Feld wird das Attribut des Directory Server-Eintrags angegeben, das dem zur Identifizierung des richtigen Benutzerprofils zu verwendenden Zertifikat entspricht. Für dieses Feld gibt es keinen Standardwert; jedes als Benutzer-ID verwendbare gültige Attribut in einem Benutzereintrag (z. B. cn oder sn) ist hier zulässig.

SSL für LDAP-Zugriff verwenden

Mit dieser Option wird festgelegt, ob SSL für den Zugriff auf den LDAP-Server eingesetzt werden soll. In der Standardeinstellung verwendet das Zertifikatauthentifizierungsmodul kein SSL für den LDAP-Zugriff.

Für den Zugriff auf das Benutzerprofil verwendetes Zertifikatsfeld

In diesem Menü wird angegeben, welches Feld im Betreff-DN des Zertifikats für die Suche nach einem übereinstimmenden Benutzerprofil verwendet werden soll. Wenn Sie beispielsweise den Eintrag E-Mail-Adresse auswählen, sucht das Zertifikatauthentifizierungsmodul das Benutzerprofil, das mit dem Attribut emailAddr im Benutzerzertifikat übereinstimmt. Für den Benutzer, der sich daraufhin anmeldet, wird dann das ermittelte Profil verwendet. Das Standardfeld ist subject CN. Diese Liste enthält folgende Komponenten:

Für den Zugriff auf das Benutzerprofil verwendetes weiteres Zertifikatsfeld

Wenn der Wert des Attributs Für den Zugriff auf das Benutzerprofil verwendetes Zertifikatsfeld auf weitere gesetzt wird, gibt dieses Feld das Attribut an, das aus dem subjectDN-Wert des empfangenen Zertifikats ausgewählt wird. Das Authentifizierungsmodul sucht dann nach dem Benutzerprofil, das dem Wert dieses Attributs entspricht.

Vertrauenswürdige Remote-Hosts

Über dieses Attribut wird eine Liste von vertrauenswürdigen Hosts definiert, denen die Versendung von Zertifikaten an den Access Manager anvertraut werden kann. Access Manager muss überprüfen, ob das Zertifikat von einem dieser Hosts stammt. Diese Konfiguration wird nur mit Sun Java System Portal Server verwendet.

Dieses Attribut akzeptiert die folgenden Werte:

SSL-Anschlussnummer

Über dieses Attribut wird die Anschlussnummer für die Secure Socket Layer (SSL)-Schicht angegeben. Derzeit wird dieses Attribut nur vom Gateway-Servlet verwendet. Lesen Sie vor dem Hinzufügen oder Ändern einer SSL-Anschlussnummer den Abschnitt "Policy-Based Resource Management" in Kapitel 7 des Access Manager Developer’s Guide.

Authentifizierungsebene

Die Authentifizierungsebene wird für jede Authentifizierungsmethode separat eingestellt. Mit diesem Wert wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, bestimmt die Anwendung anhand des gespeicherten Werts, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren. Der Standardwert ist 0.


Hinweis

Wenn keine Authentifizierungsebene angegeben wird, wird im SSO-Token der im Kern-Authentifizierungsattribut "Standard-Authentifizierungsebene" angegebene Wert verwendet.



Inhalt