目录
|
证书验证属性
证书验证模块属性是组织属性。在“服务配置”下证书验证属性所采用的值将成为证书验证模板的缺省值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织子树中的条目继承。证书验证属性包括:
在 LDAP 中匹配证书
该选项用于指定是否检查用户登录时提交的证书是否存储在 LDAP Server 中。如果没有找到匹配的证书,用户将被拒绝访问。如果找到匹配的证书,且不需要其他验证,则允许用户访问。在缺省情况下,证书验证模块不会检查用户证书。
用于在 LDAP 中搜索证书的主题 DN 属性
该字段指定证书的 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索证书。该属性必须唯一标识用户条目。搜索将使用实际值。缺省值是 CN。
将证书与 CRL 匹配
该选项用于指定是否将用户证书与 LDAP Server 中的证书撤回列表 (CRL) 进行对照。CRL 由发布者的 SubjectDN 中的其中一个属性名称来定位。如果 CRL 中存在该证书,用户将被拒绝访问;如果不存在,则允许用户继续进行操作。在缺省情况下,该属性被禁用。
用于在 LDAP 中搜索 CRL 的发送者 DN 属性
该字段指定接收到的证书的发布者 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索 CRL。仅在启用“将证书与 CRL 匹配”属性时,才能使用该字段。搜索将使用实际值。缺省值是 CN。
用于 CRL 更新的 HTTP 参数
此字段用于指定 HTTP 参数 f 以从 servlet 获得 CRL 用于 CRL 更新。要获得这些参数,请与您的 CA 管理员联系。
启用 OCSP 验证
此参数通过与相应的 OCSP 响应器联系来启用要执行的 OCSP 验证。运行时,将按照以下步骤确定 OCSP 响应器:
如果将 com.sun.identity.authentication.ocspCheck 设置为 false,或者将 com.sum.identity.authentication.ocspCheck 设置为 true,但无法找到 OCSP 响应器,则不能执行 OCSP 验证。
注
在启用 OCSP 验证之前,请确保 Access Manager 计算机和 OCSP 响应器计算机的时间尽可能同步。而且,Access Manager 计算机的时间不能晚于 OCSP 响应器的时间。例如:
OCSP 响应器计算机 - 12:00:00 pm
Access Manager 计算机 - 12:00:30 pm
存储证书的 LDAP 服务器
该字段用于指定存储证书的 LDAP 服务器的名称和端口号。缺省值是安装 Access Manager 时指定的主机名和端口号。可以使用存储证书的任意 LDAP 服务器的主机名和端口号。格式为:hostname:port。
LDAP 搜索起始 DN
该字段指定节点的 DN,应从该节点开始搜索用户证书。该字段没有缺省值。它接受任何有效的 DN。如果指定多个条目,条目前面必须带有本地服务器名称。格式如下所示:
servername|search dn
对于多个条目
servername1|search dn servername2|search dn servername3|search dn...
如果同一搜索找到多个用户,则验证失败。
LDAP Server 主要用户
该字段用于指定存储证书的 LDAP Server 的主要用户的 DN。该字段没有缺省值,它接受任何有效的 DN。需要向主要用户授予读取和搜索 Directory Server 中存储的信息的权限。
LDAP Server 主要口令
该字段用于指定与“LDAP Server 主要用户”字段中指定的用户相关联的 LDAP 口令。该字段没有缺省值,它接受指定主要用户的有效 LDAP 口令。
配置文件 ID 的 LDAP 属性
该字段用于指定 Directory Server 条目中与证书匹配的属性,其值将用于标识正确的用户配置文件。该字段不存在缺省值,它接受用户条目中能够用作用户 ID 的任何有效属性(例如 cn、sn 等)。
使用 SSL 进行 LDAP 访问
该选项用于指定是否使用 SSL 来访问 LDAP 服务器。在缺省情况下,证书验证模块不使用 SSL 进行 LDAP 访问。
用于访问用户配置文件的证书字段
该菜单指定应使用证书的“主题 DN”中的哪个字段来搜索匹配的用户配置文件。例如,如果选择 email address,证书验证模块将搜索与用户证书中 emailAddr 属性匹配的用户配置文件。用户将使用匹配的配置文件进行登录。缺省字段是 subject CN。该列表包含以下内容:
用于访问用户配置文件的其他证书字段
如果将“用于访问用户配置文件的证书字段”属性的值设置为 other,则该字段指定将从接收到的证书的 subjectDN 值中选择的属性。验证模块将搜索与该属性值匹配的用户配置文件。
可信赖的远程主机
该属性定义可信赖的主机列表,这些主机是可信赖的,可以向 Access Manager 发送证书。Access Manager 必须检验证书是否是由这些主机中的某一台送出的。此配置仅与 Sun Java System Portal Server 一起使用。
此属性接受以下值:
SSL 端口号
该属性指定安全套接字层的端口号。目前,该属性只由网关 servlet 使用。在添加或更改 SSL 端口号之前,请参见“Access Manager Developer's Guide”第 7 章中的“Policy-Based Resource Management”一节。
验证级别
各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。缺省值为 0。
目录 |