C.2.5. LdapDNCompsMap
LdapDNCompsMap 插件模块实施 DN 组件映射程序。此映射映射通过从组件构建条目到 LDAP 目录条目来映射证书,如 cn、ou、o 和 c,在证书主题名称中指定的,然后在证书主题名称中指定,然后将其用作搜索 DN 在 目录中定位条目。mapper 查找以下条目:
- CA 的条目位于 目录中,以发布 CA 证书和 CRL。
- 目录中用于发布终止证书的端点条目。
mapper 使用 DN 组件来构建搜索 DN。mapper 还使用一个可选的根搜索 DN。服务器使用 DN 组件组成 LDAP 条目,以开始子树搜索和过滤器组件组成子树的搜索过滤器。如果不配置 DN 组件,服务器将为子树使用基本 DN。如果基础 DN 为空,且任何 DN 组件都不匹配,则返回一个错误。如果 DN 组件和过滤组件都不匹配,则返回错误。如果过滤器组件是 null,则执行基本搜索。
DNComps 和 filterComps 参数接受用逗号分开的有效 DN 组件或属性。参数不接受多个属性的条目;例如,filterComps 可以设置为 cn,但不要设置为 cn,ou 2,ou1。要使用同一属性的多个实例创建过滤器,如如果目录条目包含多个内容,请修改 LdapDNCompsMap 模块的源代码。
以下组件通常用于 DN:
- UID 代表目录中用户的用户 ID。
- cn 代表 目录中用户的通用名称。
- ou 代表目录中的一个机构单元。
- O 代表目录中的组织。
- l 代表本地性(city)。
- st 代表状态。
- c 表示国家/地区。
例如,以下 DN 代表一个名为 Jane Doe 的用户,它适用于 Example Corporation 的销售部门,该部门位于加利福尼亚州的 Mountain View, California:
cn=Jane Doe, ou=Sales, o=Example Corporation, l=Mountain View, st=California, c=US
证书管理器可以使用部分或全部组件(cn、ou、o、k、和 c)来构建用于搜索目录的 DN。 在创建映射程序规则时,可为服务器指定这些组件以构建 DN;即,组件与目录中的属性匹配。这通过 dnComps 参数进行设置。
例如,组件 cn、ou、o 和 c 被设置为 dnComps 参数的值。要在 目录中找到 Jane Doe 的条目,证书管理器通过读取证书的 DN 属性值来构造以下 DN,并使用 DN 作为搜索目录的基础:
cn=Jane Doe, ou=Sales, o=Example Corporation, c=US
- 主题名称不需要具有 dnComps 参数中指定的所有组件。服务器会忽略任何不属于主体名称的组件,如 l 和 st。
- 未指定的组件不会用于构建 DN。在示例中,如果 ou 组件没有包括,服务器使用此 DN 作为搜索目录的基础:
cn=Jane Doe, o=Example Corporation, c=US
对于 dnComps 参数,输入这些 DN 组件,供证书管理器用来完全用来形成 LDAP DN。但在某些情况下,证书中的主题名称可能与目录中的多个条目匹配。然后,证书管理器可能无法从 DN 中获取不同的匹配条目。例如,Subject name cn=Jane Doe, ou= sales, o=Example Corporation, c=US 可能与目录中名为 Jane Doe 的两个用户匹配。如果出现这种情况,证书管理器需要额外的条件来决定哪个条目与证书的主题对应。
要指定证书管理器要使用的组件来区分目录中的不同条目,请使用 filterComps 参数 ; 详情请查看 表 C.10 “LdapDNCompsMap 配置参数”。例如,如果 cn、ou、o 和 c 是 dnComps 参数的值,则只有使用 l 属性来区分与相同 cn、ou、o、o 和 c 值相同的条目。
如果两个 Jane Doe 条目通过 uid 属性的值区分,那么一个条目的 uid 是 janedoe1,而另一个条目的 uid 是 janedoe2 - 可将证书的主题名称设置为包含 uid 组件。
注意
e、l 和 st 组件不包括在为终端实体提供的标准证书请求表单集中。这些组件可以在表单中添加,或者在编辑证书中的主题名称时,需要发出代理来插入这些组件。
C.2.5.1. LdapDNCompsMap 的配置参数
使用这个配置时,证书管理器使用 dnComps 值将证书映射到 LDAP 目录中的证书,以形成 DN 和 过滤器Comps 值组成子树的搜索过滤器。
- 如果格式 DN 为 null,服务器会使用子树的 baseDN 值。如果格式的 DN 和基础 DN 为 null,服务器会记录错误。
- 如果过滤器是 null,服务器会使用 baseDN 值来搜索。如果过滤器和基础 DN 为 null,服务器会记录错误。
表 C.10 “LdapDNCompsMap 配置参数” 描述这些参数。
表 C.10. LdapDNCompsMap 配置参数
| 参数 | 描述 |
|---|---|
| baseDN | 指定开始搜索发布目录中条目的 DN。如果 dnComps 字段为空,服务器使用基础 DN 值在 目录中开始其搜索。 |
| dnComps |
指定发布目录中的证书管理器应开始搜索与 CA 或终端用户信息匹配的 LDAP 条目。
例如,如果 dnComps 使用 DN 的 o 和 c 属性,服务器会从 目录中的 o=机构、c= country 条目开始搜索,其中机构和国家/地区的值替换为证书中的 DN 的值。
如果 dnComps 字段为空,服务器会检查 baseDN 字段,搜索由该 DN 指定的条目与 filterComps 参数值指定的过滤器指定的目录树。
允许的数值是有效的 DN 组件或以逗号分开的属性。
|
| filterComps |
指定证书管理器应使用的组件来过滤搜索结果中的条目。服务器使用 filterComps 值组成子树的 LDAP 搜索过滤器。服务器通过从证书主题名称收集这些属性的值来构建过滤器;它使用过滤器搜索和匹配 LDAP 目录中的条目。
如果服务器在 目录中找到多个与从证书收集的信息匹配的条目,则搜索将成功,并且服务器可以选择性地执行验证。例如,如果 filterComps 设为使用电子邮件和用户 ID 属性(filterComps=e,uid),服务器会在目录中搜索与从证书收集的信息匹配的条目。
允许的数值是用逗号分隔的证书 DN 中的有效目录属性。过滤器的属性名称需要是来自证书的属性名称,而不是从 LDAP 目录中的一个属性名称。例如,大多数证书都有一个用于用户电子邮件地址的 e 属性;LDAP 调用该属性 mail。
|
