Menu Close
Settings Close

Language and Page Formatting Options

附录 A. 参考资料

A.1. Elytron 子系统组件参考

表 A.1. add-prefix-role-mapper Attributes

属性描述

prefix

要添加到每个角色的前缀。

表 A.2. add-suffix-role-mapper Attributes

属性描述

suffix

要添加到各个角色的后缀。

表 A.3. aggregate-http-server-mechanism-factory Attributes

属性描述

http-server-mechanism-factories

要聚合的 HTTP 服务器工厂列表。

表 A.4. aggregate-principal-decoder Attributes

属性描述

principal-decoders

要聚合的主体解码器列表。

表 A.5. aggregate-principal-transformer Attributes

属性描述

principal-transformers

要聚合的主体转换器列表。

表 A.6. aggregate-providers Attributes

属性描述

providers

要聚合的引用 Provider[] 资源的列表。

表 A.7. aggregate-realm Attributes

属性描述

authentication-realm

引用用于身份验证步骤的安全域。这用于获取或验证凭证。

authorization-realm

引用用于加载授权步骤的身份的安全域。

authorization-realms

引用安全域,以聚合用于加载授权步骤的身份。

有关使用多个授权域的详情,请参考 如何配置身份管理指南中的使用多个身份存储配置身份验证和授权

注意

authorization-realmauthorization-realms 属性是互斥的。在域中仅定义两个属性中的一个。

表 A.8. aggregate-role-mapper 属性

属性描述

role-mappers

要聚合的角色映射器列表。

表 A.9. aggregate-sasl-server-factory Attributes

属性描述

sasl-server-factories

要聚合的 SASL 服务器工厂列表。

表 A.10. 身份验证配置属性

属性描述

匿名

如果允许 true 匿名身份验证。默认值为 false

authentication-name

要使用的身份验证名称。

authorization-name

要使用的授权名称。

credential-reference

用于身份验证的凭据。这可以是明文,也可以是对存储在凭据存储中的 凭据的引用。

extends

扩展的现有身份验证配置。

主机

要使用的主机。

kerberos-security-factory

参考用于获取 GSS kerberos 凭证的 Kerberos 安全工厂。

mechanism-properties

SASL 身份验证机制的配置属性。

port

要使用的端口。

protocol

要使用的协议.

realm

要使用的域。

sasl-mechanism-selector

SASL 机制选择器字符串。有关 sasl-mechanism-selector 所需要的 getmmar 的更多信息,请参阅 JBoss EAP 配置服务器 安全性的sasl -mechanism-selector Grammar

security-domain

引用安全域以获取转发身份。

表 A.11. authentication-context 属性

属性描述

extends

要扩展的现有身份验证上下文。

match-rules

针对此身份验证上下文与 匹配的规则。

表 A.12. authentication-context match-rules Attributes

属性描述

authentication-configuration

引用用于成功匹配的身份验证配置。

match-abstract-type

要匹配的抽象类型。

match-abstract-type-authority

要匹配的抽象类型权威。

match-host

要匹配的主机。

match-local-security-domain

要匹配的本地安全域。

match-no-user

如果为 true,则规则将匹配任何用户。

match-path

要匹配的补丁。

match-port

要匹配的端口。

match-protocol

要匹配的协议。

match-urn

要匹配的 URN。

match-user

要匹配的用户。

ssl-context

引用用于成功匹配的 ssl-context.

表 A.13. cache-realm 属性

属性描述

maximum-age

项目可在缓存中保留的时间(毫秒)。-1 代表无限期保留项目。默认值为 -1

maximum-entries

要在缓存中保留的最大条目数。默认值为 16

realm

对可缓存的安全域的引用,如 jdbc-realmldap-realmsystem-realm 或自定义安全域。

表 A.14. case-principal-transformer 属性

属性描述

upper-case

可选属性,将主转换器的名称转换为大写字符(设置为 true ),这是默认设置。将 属性设置为 false,将主体转换器的名称转换为小写字符。

表 A.15. certificate-authority-account Attributes

属性描述

alias

密钥存储中证书颁发机构帐户密钥的别名。如果密钥存储中尚不存在别名,则会自动生成证书颁发机构帐户密钥,并将其存储为别名下的 PrivateKeyEntry

certificate-authority

要使用的证书颁发机构的名称。默认值为 LetsEncrypt

contact-urls

证书认证机构可以就与此帐户相关的问题联系的 URL 列表。

credential-reference

访问证书颁发机构帐户密钥时使用的凭证。

key-store

包含证书颁发机构帐户密钥的密钥存储。

表 A.16. chained-principal-transformer 属性

属性描述

principal-transformers

到链的主要转换器列表.

表 A.17. client-ssl-context 属性

属性描述

cipher-suite-filter

要应用的过滤器来指定启用的密码套件。此过滤器取以冒号、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称,也可以是关键字,如 TLSv1.2DES。完整的关键字列表以及创建过滤器的详情,请参考 CipherSuiteSelector 类的 Javadoc 中。默认值为 DEFAULT,它对应于所有没有 NULL 加密的已知密码套件,并排除任何没有身份验证的密码套件。

key-manager

引用 SSLContext 中使用的 key-manager

协议

启用的协议。允许的选项: SSLv2SSLv3TLSv1TLSv1.1TLSv1.2TLSv1.3.默认为启用 TLSv1, TLSv1.1, TLSv1.2, 和 TLSv1.3

警告

红帽建议显式禁用 SSLv2、SSLv3 和 TLSv1.0,以便在所有受影响的软件包中明确禁用 TLSv1.1 或 TLSv1.2。

provider-name

要使用的供应商的名称。如果未指定,则来自提供程序的所有提供程序都将传递到 SSLContext。

providers

要获取用于加载 SSLContextProvider[] 的提供程序名称。

session-timeout

SSL 会话的超时时间。

trust-manager

引用 SSLContext 中使用的 trust-manager

表 A.18. Concatenating-principal-decoder Attributes

属性描述

joiner

用于加入 principal-decoders 属性中值的字符串。

principal-decoders

要连接的主要解码器列表。

表 A.19. 可配置-http-server-mechanism-factory 属性

属性描述

过滤器

要应用的过滤器列表,以便根据名称启用或禁用机制。

http-server-mechanism-factory

引用要包装的 http 服务器工厂。

属性

要传递给 HTTP 服务器工厂调用的自定义属性。

表 A.20. 可配置-http-server-mechanism-factory 过滤器属性

属性描述

pattern-filter

基于正则表达式模式进行过滤.

启用

如果为 true,则如果机制匹配,则会启用过滤器。默认值为 true

表 A.21. 可配置-sasl-server-factory 属性

属性描述

过滤器

要按顺序评估的过滤器列表,并使用 or

属性

要传递给 SASL 服务器工厂调用的自定义属性。

protocol

创建机制时,协议传递到工厂。

sasl-server-factory

参考要包装的 SASL 服务器工厂.

server-name

创建机制时传递到工厂的服务器名称。

表 A.22. 可配置-sasl-server-factory 过滤器属性

属性描述

启用

如果为 true,则如果工厂匹配,则会启用过滤器。默认值为 true

predefined-filter

用于过滤机制名称的预定义过滤器。允许的值有 HASH_MD5HASH_SHAHASH_SHA_256HASH_SHA_384HASH_SHA_512GS2SCRAMDIGESTIEC_ISO_9798EAPMUTUALBINDINGRECOMMENDED.

pattern-filter

基于正则表达式的机制名称的过滤器。

表 A.23. 恒定权限映射器属性

属性描述

permission-sets

匹配项时要分配的权限集。权限集可用于为身份分配权限。

permission-set 可以接受以下属性:

  • permission-set

    权限集的引用。

注意

permissions 属性已弃用,它被 permission-sets 替代。

表 A.24. constant-principal-decoder Attributes

属性描述

恒定

主体解码器将始终返回的恒定值。

表 A.25. constant-principal-transformer Attributes

属性描述

恒定

这个主要转换器始终会返回的恒定值。

表 A.26. constant-realm-mapper Attributes

属性描述

realm-name

对将返回的域的引用。

表 A.27. constant-role-mapper Attributes

属性描述

roles

将返回的角色列表。

表 A.28. credential-store 属性

属性描述

create

指定凭证存储是否应在不存在时创建存储。默认值为 false

credential-reference

对用于创建保护参数的凭据的引用。这可以是明文,也可以是对存储在凭据存储中的 凭据的引用。

实施属性

凭据的映射存储特定于实施的属性。

modifiable

能否修改凭证存储。默认值为 true

other-providers

要获取供应商的名称,在凭证存储中创建所需的 Jakarta Connectors 对象。这只适用于基于密钥存储的凭据存储。如果未指定,则改为使用全局供应商列表。

path

凭证存储的文件名。

provider-name

用于实例化 CredentialStoreSpi 的提供程序名称。如果没有指定提供程序,则使用找到的第一个可创建指定类型的实例的供应商。

providers

要获取供应商的名称,以搜索可创建所需凭据存储类型。如果未指定,则改为使用全局供应商列表。

relative-to

此凭证存储路径相对于的基本路径。

type

凭据存储的类型,如 KeyStoreCredentialStore

表 A.29. credential-store 别名

属性描述

entry-type

存储在凭据存储中的凭证条目类型。

secret-value

secret 值,如 password。

表 A.30. credential-store KeyStoreCredentialStore 实施属性

属性描述

cryptoAlg

用于加密外部存储上的条目的密码算法名称。此属性仅在启用了 external 时有效。默认值为 AES

external

指定数据是否存储到外部存储并由 keyAlias 加密。默认值为 false

externalPath

指定到外部存储的路径。此属性仅在启用了 external 时有效。

keyAlias

凭据存储中的机密密钥别名,用于存储用于加密或解密数据到外部存储。

keyStoreType

密钥存储类型,如 PKCS11。默认为 KeyStore.getDefaultType( )。

表 A.31. custom-credential-security-factory Attributes

属性描述

class-name

实施自定义安全工厂的类名称。

配置

自定义安全工厂的可选键和值配置。

module

用于加载自定义安全工厂的模块。

表 A.32. custom-modable-realm 属性

属性描述

class-name

自定义域实施的类名称。

配置

自定义域的可选键和值配置。

module

用于加载自定义域的模块。

表 A.33. custom-permission-mapper Attributes

属性描述

class-name

权限映射器的完全限定类名称。

配置

权限映射器的可选键和值配置。

module

用于加载权限映射器的模块名称。

表 A.34. custom-principal-decoder Attributes

属性描述

class-name

主体解码器的完全限定类名称。

配置

主体解码器的可选键和值配置。

module

用于加载主体解码器的模块名称。

表 A.35. custom-principal-transformer Attributes

属性描述

class-name

主体转换器的完全限定类名称。

配置

主体转换器的可选键和值配置。

module

用于载入主体转换器的模块名称。

表 A.36. custom-realm 属性

属性描述

class-name

自定义域的完全限定域名。

配置

自定义域的可选键和值配置。

module

用于加载自定义域的模块名称。

表 A.37. custom-realm-mapper 属性

属性描述

class-name

域映射程序的完全限定域名。

配置

域映射程序的可选键和值配置。

module

用于加载 realm 映射器的模块名称。

表 A.38. custom-role-decoder Attributes

属性描述

class-name

角色解码器的完全限定类名称。

配置

角色解码器的可选键和值配置。

module

用于加载角色解码器的模块名称。

表 A.39. custom-role-mapper 属性

属性描述

class-name

角色映射程序的完全限定域名。

配置

角色映射程序的可选键和值配置。

module

用于加载角色映射程序的模块名称。

表 A.40. dir-context 属性

属性描述

authentication-context

获取用于连接 LDAP 服务器的登录凭据的身份验证上下文。如果 authentication-levelnone,则可以省略,这等同于匿名身份验证。

authentication-level

要使用的身份验证级别,即安全级别或身份验证机制。对应于 SECURITY_AUTHENTICATIONjava.naming.security.authentication 环境属性。允许的值为 none, simple 和 sasl_mech 格式。sasl_mech 格式是 SASL 机制名称的空格分隔列表。

connection-timeout

以毫秒为单位连接到 LDAP 服务器的超时。

credential-reference

用于进行身份验证并连接到 LDAP 服务器的凭据引用。如果 authentication-levelnone,则可以省略它,这等同于匿名身份验证。

enable-connection-pooling

如果启用了 true 连接池。默认值为 false

module

用作类加载基础的模块名称。

主体

验证并连接到 LDAP 服务器的主体。如果 authentication-levelnone 则这个会被忽略,这等同于匿名身份验证。

属性

DirContext 的额外连接属性。

read-timeout

LDAP 操作的读取超时(以毫秒为单位)。

referral-mode

用于确定是否应遵循引用的模式。允许的值是 FOLLOW IGNORETHROW。默认值为 IGNORE

ssl-context

用于安全连接到 LDAP 服务器的 SSL 上下文的名称。

url

连接 URL。

表 A.41. expression=encryption 属性

属性描述

default-resolver

可选属性。当在没有加密表达式的情况下,要使用的解析器使用。例如,如果您将 "exampleResolver" 设置为 默认的解析程序,并且创建带有命令 /subsystem=elytron/expression=encryption:create-expression(clear-text=TestPassword) 的加密表达式,则 Elytron 使用"exampleResolver"作为该加密表达式的解析程序。

prefix

在加密表达式中使用的前缀。默认为 ENC。为可能已经定义 ENC 的情形中提供此属性。除非与已定义的 ENC 前缀冲突,否则不应更改这个值。

解析器

定义的解析器列表。解析器有以下属性:

  • name - 用于引用它的独立配置的名称。
  • credential-store - 对包含此解析器使用的 secret 密钥的凭证存储实例的引用。
  • secret-key - 从给定凭证存储中使用 secret 键的别名。

表 A.42. filesystem-realm 属性

属性描述

编码

身份名称是否应以文件名形式存储编码(Base32)。

要应用的目录散列数量。默认值为 2

path

包含域的文件的路径。

relative-to

path 一起使用的预定义相对路径。例如 jboss.server.config.dir

表 A.43. filtering-key-store 属性

属性描述

alias-filter

用于应用到从 key-store 返回的别名的过滤器。它可以是逗号分隔的别名列表,用于返回或以下格式之一:

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2
注意

alias-filter 属性区分大小写。由于使用混合案例或大写别名(如 elytronAppServer )可能无法被某些密钥存储提供程序识别,因此建议使用小写别名,如 elytronappserver

key-store

对要过滤的 key-store 的引用。

表 A.44. generate-key-pair 属性

属性描述

算法

指定加密算法,如 RSA、DSA 或 EC。默认值为 RSA。

size

以位为单位指定私钥的大小。密钥对类型的默认大小值如下:RSA 为 2048 ; DSA 为 2048,而 EC 为 256

表 A.45. HTTP-authentication-factory 属性

属性描述

http-server-mechanism-factory

HttpServerAuthenticationMechanismFactory 与这个资源关联。

mechanism-configurations

特定于机制的配置列表。

security-domain

与此资源关联的安全域。

表 A.46. HTTP-authentication-factory mechanism-configurations 属性

属性描述

credential-security-factory

用于根据机制要求获取凭证的安全因素。

final-principal-transformer

应用于此机制域的最后一个主要转换器。

host-name

此配置应用到的主机名。

mechanism-name

此配置仅应用使用指定名称的机制。如果省略此属性,则它将匹配任何机制名称。

mechanism-realm-configurations

机制理解的 realm 名称的定义列表。

pre-realm-principal-transformer

在选择了域前应用主体转换器。

post-realm-principal-transformer

选择域后要应用的主体转换器。

protocol

此配置适用的协议。

realm-mapper

机制使用的 realm mapper。

表 A.47. HTTP-authentication-factory mechanism-configurations mechanism-realm-configurations 属性

属性描述

final-principal-transformer

应用于此机制域的最后一个主要转换器。

post-realm-principal-transformer

选择域后要应用的主体转换器。

pre-realm-principal-transformer

在选择了域前应用主体转换器。

realm-mapper

机制使用的 realm mapper。

realm-name

要按机制显示的域的名称。

表 A.48. identity-realm 属性

属性描述

attribute-name

与这个身份关联的属性名称。

attribute-values

与 identity 属性关联的值列表。

identity

安全域中提供的身份。

表 A.49. import-key-pair 属性

属性描述

key-passphrase

可选属性。设置密码短语来解密私钥。

private-key-location

包含私钥的文件的路径。只有您尚未指定 private-key-string 属性时指定。

private-key-string

将私钥设置为字符串。只有您尚未指定 private-key-location 属性,才指定。

public-key-location

如果私钥采用 OpenSSH 以外的任何格式,则需要此项。包含公钥的文件的路径。只有您尚未指定 public-key-string 属性时指定。

public-key-string

如果私钥采用 OpenSSH 以外的任何格式,则需要此项。将公钥设置为字符串。只有您尚未指定 public-key-location 属性,才指定。

表 A.50. jaspi-configuration 属性

属性描述

application-context

在将此配置注册到 AuthConfigFactory 时使用。可以省略以允许通配符匹配。

description

用于向 AuthConfigFactory 提供描述。

在将此配置注册到 AuthConfigFactory 时使用。可以省略以允许通配符匹配。

name

允许在管理模型中引用资源的名称。

表 A.51. jaspi-configuration server-auth-module Attributes

属性描述

class-name

ServerAuthModule 的完全限定域名。

flag

指示此模块如何与其他模块相关的控制标记。

module

从中加载 ServerAuthModule 的模块。

options

在初始化时要传递到 ServerAuthModule 的配置选项。

表 A.52. JDBC-realm 属性

属性描述

principal-query

用于根据特定密钥类型验证用户身份的身份验证查询列表。

表 A.53. JDBC-realm principal-query 属性

属性描述

attribute-mapping

为这个资源定义的属性映射列表。

bcrypt-mapper

密钥映射器,用于将从 SQL 查询返回的列映射到 Bcrypt 键类型。

clear-password-mapper

密钥映射程序将从 SQL 查询返回的列映射到明文密钥类型。它具有 password-index 子元素,这是列入代表用户密码的身份验证查询的索引。

data-source

用于连接到数据库的数据源的名称。

salted-simple-digest-mapper

密钥映射器,用于将从 SQL 查询返回的列映射到 Salted Simple Digest 键类型。

scram-mapper

密钥映射器,用于将从 SQL 查询返回的列映射到 SCRAM 密钥类型。

simple-digest-mapper

键映射映射从 SQL 查询返回的列到 简单 Digest 键类型。

sql

用于获取特定用户表列的密钥的 SQL 语句,并使用其类型对其进行映射。

表 A.54. jdbc-realm principal-query attribute-mapping 属性

属性描述

index

列索引中代表映射属性的查询。

从从 SQL 查询返回的一列映射的身份属性的名称。

表 A.55. JDBC-realm principal-query bcrypt-mapper 属性

属性描述

iteration-count-index

列索引中代表密码迭代计数(如果受支持)。

password-index

列从代表用户密码的身份验证查询的索引。

salt-index

列从代表密码 salt 的身份验证查询的索引(如果受支持)。

表 A.56. JDBC-realm principal-query salted-simple-digest-mapper 属性

属性描述

算法

特定密码密钥映射器的算法。允许的值是 password-salt-digest-md5,password-salt-digest-sha-1,password-salt-digest-sha-256,password-salt-digest-sha-384,password-salt-digest-sha-512,salt-password-digest-md5, salt-password-digest-sha-1,salt-password-digest-sha-256,salt-password-digest-sha-384, 和 salt-password-digest-512.默认为 password-salt-digest-md5

password-index

列从代表用户密码的身份验证查询的索引。

salt-index

列从代表密码 salt 的身份验证查询的索引(如果受支持)。

表 A.57. JDBC-realm principal-query simple-digest-mapper 属性

属性描述

算法

特定密码密钥映射器的算法。允许的值是 simple-digest-md2simple-digest-md5simple-digest-sha-1simple-digest-sha-256simple-digest-sha-384simple-digest-sha-512。默认值为 simple-digest-md5

password-index

列从代表用户密码的身份验证查询的索引。

表 A.58. jdbc-realm principal-query scram-mapper 属性

属性描述

算法

特定密码密钥映射器的算法。允许的值有 scram-sha-1scram-sha-256。默认值为 scram-sha-256

iteration-count-index

列索引中代表密码迭代计数(如果受支持)。

password-index

列从代表用户密码的身份验证查询的索引。

salt-index

列从代表密码 salt 的身份验证查询的索引(如果受支持)。

表 A.59. Kerberos-security-factory 属性

属性描述

debug

如果为 true,则获取凭证的 JAAS 步骤将启用 debug 日志记录。默认值为 false

mechanism-names

凭据应使用的机制名称。名称将转换为 OID,并与 mechanism-oids 属性中的 OID 一起使用。

mechanism-oids

凭证应当可供使用的机制 OID 列表。

minimum-remaining-lifetime

在重新创建缓存凭证前,缓存凭证的时间(以秒为单位)。

obtain-kerberos-ticket

如果 KerberosTicket 也被获取并与凭证相关联。在将凭据委派给服务器时,需要满足此要求。

options

Krb5LoginModule 其他选项。

path

要加载的 keytab 的路径,以获取凭证。

主体

keytab 代表的主体。

relative-to

到 keytab 的相对路径。

request-lifetime

为新创建的凭证请求多少生命周期。

required

当服务启动时,带有适当的主体的 keytab 文件是否需要存在。

server

如果为 true,则这个因素用于 Kerberos 验证的服务器端。如果为 false,它将用于客户端。默认值为 true

wrap-gss-credential

是否应该换行 GSS 凭证以防止不当使用。

表 A.60. key-manager 属性

属性描述

算法

用于创建底层的 KeyManagerFactory 的算法名称。这是 JDK 提供的。例如,使用 SunJSSE 的 JDK 提供了 PKIXSunX509 算法。有关 SunJSSE 的详细信息,请参阅 Java 安全套接字扩展(JSSE)参考指南

alias-filter

适用于从密钥存储返回的别名的过滤器。这可以是逗号分隔的别名列表,用于返回或以下格式之一:

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2

credential-reference

用于解密密钥存储项目的凭据引用。这可以以明文形式指定,也可以作为存储在 credentials -store 中的凭证 的引用。这不是密钥存储的密码。

key-store

对用于初始化底层 KeyManageronnectionFactorykey-store 的引用。

provider-name

用于创建底层的 KeyManagerFactory 的供应商名称。

providers

参考以获取创建底层 KeyManagerFactory 时要使用的 Provider[]

表 A.61. key-store 属性

属性描述

alias-filter

要应用到密钥存储返回的别名的过滤器,可以是逗号分隔的别名列表,可以返回或以下格式之一:

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2
注意

alias-filter 属性区分大小写。由于使用混合案例或大写别名(如 elytronAppServer )可能无法被某些密钥存储提供程序识别,因此建议使用小写别名,如 elytronappserver

credential-reference

用于访问密钥存储的密码。这可以以明文形式指定,也可以作为存储在 credentials -store 中的凭证 的引用。

path

密钥存储文件的路径。

provider-name

用于加载密钥存储的供应商名称。设置此属性将禁用搜索可以创建指定类型的密钥存储的第一个提供程序。

providers

对应该用来获取搜索的供应商实例列表的引用。如果未指定,则改为使用全局供应商列表。

relative-to

这个存储相对于的基本路径。这可以是完整路径或预定义的路径,如 jboss.server.config.dir

required

如果为 true,则密钥存储服务启动时需要存在引用的密钥存储文件。默认值为 false

type

密钥存储的类型,如 JKS

注意

以下密钥存储类型会自动检测到:

  • JKS
  • JCEKS
  • PKCS12
  • BKS
  • BCFKS
  • UBER

您必须手动指定其他密钥存储类型。

JDK 8 的 Java Cryptography 架构标准 Algorithm Name 文档中找到完整的密钥存储类型列表。

表 A.62. key-store-realm 属性

属性描述

key-store

引用用于支持此安全域的密钥存储。

表 A.63. LDAP-key-store 属性

属性描述

alias-attribute

存储项目别名的 LDAP 属性的名称。

certificate-attribute

存储证书的 LDAP 属性的名称。

certificate-chain-attribute

存储证书链的 LDAP 属性的名称。

certificate-chain-encoding

证书链的编码。

certificate-type

证书的类型。

dir-context

用于与 LDAP 服务器通信的 dir-context 的名称。

filter-alias

用于按别名获取密钥存储中的项目的 LDAP 过滤器。

filter-certificate

用于根据证书获取密钥存储中的项目的 LDAP 过滤器。

filter-iterate

用于迭代密钥存储所有项目的 LDAP 过滤器。

key-attribute

存储密钥的 LDAP 属性的名称。

key-type

以序列化方式保存在 LDAP 属性中的密钥存储类型。例如,JKS。在 JDK 8 的 Java Cryptography 架构标准 Algorithm Name 文档中找到完整的密钥存储类型列表。

new-item-template

用于创建项目的配置。这将定义新创建的密钥存储项的 LDAP 条目将如何查找。

search-path

将搜索密钥存储项的 LDAP 中的路径。

search- recursive

如果 LDAP 搜索应该递归。

search-time-limit

从 LDAP 获取密钥存储项目的时间限值(毫秒)。默认值为 10000

表 A.64. LDAP-key-store new-item-template Attributes

属性描述

new-item-attributes

为新创建的项目设置的 LDAP 属性。这取一个带有名称对的项目列表。

new-item-path

将存储新创建的密钥存储项的 LDAP 中的路径。

new-item-rdn

新创建的项目的 LDAP RDN 的名称。

表 A.65. LDAP-realm 属性

属性描述

allow-blank-password

此域是否支持空白密码直接验证。否则,空白密码尝试将被拒绝。

dir-context

用于连接到 LDAP 服务器的 dir-context 的名称。

direct-verification

如果为 true,这个域支持通过直接连接到 LDAP 作为被身份验证的帐户来验证凭据;否则,密码从 LDAP 服务器检索并在 JBoss EAP 中验证。如果启用,JBoss EAP 服务器必须能够从客户端获取纯文本,这需要 PLAIN SASL 或 BASIC HTTP 机制进行身份验证。默认值为 false

identity-mapping

定义主体如何映射到底层 LDAP 服务器中的对应条目的配置选项。

表 A.66. LDAP-realm 身份映射属性

属性描述

attribute-mapping

为这个资源定义的属性映射列表。

filter-name

用于按名称获取身份的 LDAP 过滤器。

iterator-filter

用于迭代域身份的 LDAP 过滤器。

new-identity-attributes

新创建的身份的属性列表,域中的 modifiability 需要。这是名称对对象的列表。

otp-credential-mapper

OTP 凭证的凭证映射。

new-identity-parent-dn

新创建的身份的父用户的 DN。该域的 modifiability 需要此项。

rdn-identifier

用于从 LDAP 条目获取主体 DN 的 RDN 部分。这在创建新身份时也使用它。

search-base-dn

用于搜索身份的基本 DN。

use-recursive-search

如果为 true 身份搜索查询是递归的。默认值为 false

user-password-mapper

与 userPassword 类似的凭证的凭证映射。

x509-credential-mapper

允许使用 LDAP 作为 X509 凭证的存储配置。如果未定义 -from 子属性,则此配置将被忽略。如果定义了多个 -from 子属性,则用户证书必须与所有定义的标准匹配。

表 A.67. LDAP-realm identity-mapping 属性

属性描述

extract-rdn

用作属性的值的 RDN 键,以 X.500 格式表示值。

filter

用于获取特定属性的值的过滤器。

filter-base-dn

执行该过滤器的上下文名称。

from

映射到身份属性的 LDAP 属性的名称。如果没有定义,则使用条目的 DN。

reference

包含要从中获取值的条目 DN 的 LDAP 属性名称。

role-recursion

递归角色分配的最大深度。使用 0 来指定递归。默认值为 0。

role-recursion-name

确定角色条目的 LDAP 属性,在搜索角色角色时,在 filter-name 中替换 "{0}"。

search- recursive

如果 true 属性 LDAP 搜索查询为递归。默认值为 true

从特定 LDAP 属性映射的身份属性的名称。如果没有提供,则属性的名称与 from 中的定义相同。如果 from 尚未定义,则使用值 dn

表 A.68. LDAP-realm identity-mapping user-password-mapper 属性

属性描述

from

映射到身份属性的 LDAP 属性的名称。如果没有定义,则使用条目的 DN。

verifiable

如果 true 密码可用来验证用户。默认值为 true

writable

如果更改了 true 密码。默认值为 false

表 A.69. LDAP-realm identity-mapping otp-credential-mapper Attributes

属性描述

algorithm-from

OTP 算法 LDAP 属性的名称。

hash-from

OTP hash 功能的 LDAP 属性的名称。

seed-from

OTP seed 的 LDAP 属性的名称。

sequence-from

OTP 序列号的 LDAP 属性的名称。

表 A.70. LDAP-realm identity-mapping x509-credential-mapper 属性

属性描述

certificate-from

映射到编码的用户证书的 LDAP 属性的名称。如果没有定义,则不会检查编码的证书。

digest-algorithm

摘要算法,即哈希功能,用于计算用户证书摘要。仅在定义了 digest-from 时使用。

digest-from

映射到用户证书摘要的 LDAP 属性的名称。如果没有定义,则不会检查证书摘要。

serial-number-from

映射到用户证书的序列号的 LDAP 属性的名称。如果未定义,则不会检查序列号。

subject-dn-from

映射到用户证书的主题 DN 的 LDAP 属性的名称。如果未定义,则不会检查主题 DN。

表 A.71. 逻辑权限映射程序属性

属性描述

left

请参考用于操作左侧的权限映射程序。

逻辑协作

用于组合权限映射映射的逻辑操作。允许的值为 and, or, xor, 和 unless

right

请参考用于操作右侧的权限映射程序。

表 A.72. logical-role-mapper 属性

属性描述

left

对要在操作左侧使用的角色映射器的引用。

逻辑协作

要对角色映射执行的逻辑操作。允许的值有: 减去、和 xor

right

对要在操作右侧使用的角色映射器的引用。

表 A.73. mapped-regex-realm-mapper 属性

属性描述

delegate-realm-mapper

如果没有使用 模式匹配的域映射程序。

pattern

正则表达式,必须至少包含一个捕获组才能从名称中提取域。

realm-map

使用正则表达式提取的域名称到定义的域名。

表 A.74. mechanism-provider-filtering-sasl-server-factory Attributes

属性描述

启用

如果 true 没有启用供应商加载的机制,除非与其中一个过滤器匹配。默认值为 true

过滤器

比较提供程序机制时要应用的过滤器列表。当所有指定值与机制和提供程序对匹配时,过滤器会匹配。

sasl-server-factory

对该定义嵌套到 SASL 服务器工厂的引用。

表 A.75. mechanism-provider-filtering-sasl-server-factory 过滤器属性

属性描述

mechanism-name

此过滤器与 SASL 机制的名称匹配。

provider-name

此过滤器匹配的供应商名称。

provider-version

比较提供程序版本时使用的版本。

version-comparison

评估供应商版本时使用的同等程度。允许的值为 less-thangreater-than。默认值为 less-than

表 A.76. online-certificate-status-protocol Attributes

属性描述

responder

覆盖从证书解析的 OCSP Responder URI。

responder-certificate

如果未定义 responder-keystore,则响应者证书包包括在 responseer-keystoretrust-manager 密钥存储中。

responder-keystore

响应者证书的替代密钥存储。必须定义 responder-certificate

prefer-crls

当同时配置 OCSP 和 CRL 机制时,会首先调用 OCSP 机制。当将 prefer-crls 设为 true 时,会首先调用 CRL 机制。

表 A.77. 权限设置权限属性

属性描述

action

构成权限时要传递给权限的操作。

class-name

权限的完全限定域名。

module

用于加载权限的模块。

target-name

构造后要传递给权限的目标名称。

表 A.78. periodic-rotating-file-audit-log Attributes

属性描述

autoflush

指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 synchronized 的值为默认值。

格式

使用 SIMPLE 进行人类可读的文本格式,或者使用 JSON 存储单个事件。

path

定义日志文件的位置。

relative-to

可选属性。定义日志文件的位置。

suffix

可选属性。在轮转日志中添加日期后缀。您必须使用 java.time.format.DateTimeFormatter 格式。例如 .yyyy-MM-dd

同步

默认值为 true。指定文件描述符在每个审计事件后同步。

表 A.79. properties-realm 属性

属性描述

groups-attribute

返回的 AuthorizationIdentity 中的属性名称,它应包含身份的组成员资格信息。

groups-properties

包含用户及其组的属性文件。

users-properties

包含用户及其密码的属性文件。

表 A.80. properties-realm 用户-properties 属性

属性描述

digest-realm-name

如果属性文件中未发现,用于摘要密码的默认 realm 名称。

path

包含用户及其密码的 文件的路径。该文件应包含 realm 名称声明。

plain-text

如果为 true,则属性文件中的密码以纯文本形式存储。如果为 false,它们预先会进行哈希处理,格式为 HEX( MD5( username \":\" realm \":\" password)))。默认值为 false

relative-to

路径相对于的预定义路径。

表 A.81. properties-realm groups-properties Attributes

属性描述

path

包含用户及其组的文件的路径。

relative-to

路径相对于的预定义路径。

表 A.82. provider-http-server-mechanism-factory Attributes

providers用于定位因素的供应商。如果未指定,将使用全局注册的供应商列表。

表 A.83. provider-loader Attributes

属性描述

参数

作为 Provider 实例化而要传递给构造器的参数。

class-names

要加载的供应商的完全限定类名称列表。这些会在服务加载器发现的供应商后加载,并跳过所有重复数据。

配置

要传递至提供程序的键和值配置,以初始化它。

module

要从中加载提供程序的模块名称。

path

用于初始化提供程序的文件的路径。

relative-to

配置文件的基本路径。

表 A.84. provider-sasl-server-factory Attributes

属性描述

providers

用于定位因素的供应商。如果未指定,将使用全局注册的供应商列表。

表 A.85. regex-principal-transformer Attributes

属性描述

pattern

用于定位要替换的名称部分的正则表达式。

replace-all

如果为 true,将替换所有出现的模式匹配。如果为 false,则仅替换第一个出现的。默认值为 false

替换

用作替换的值。

表 A.86. regex-role-mapper 属性

属性描述

pattern

用于匹配角色的正则表达式。如果您想在替换中使用一部分原始角色,您可以使用组捕获。例如,要在角色(如 "app-admin", "batch-admin" 等角色后面捕获字符串),请使用模式 .*-([a-z]*)$

替换

替换匹配项的字符串。您可以使用固定字符串,或引用从 pattern 属性中指定的正则表达式捕获的组。例如,在上面的模式中,您可以使用 $1 来指代第一个捕获的 group the group the the string "admin",角色为 "app-admin" 和 "batch-admin"。

keep-non-mapped

将值设为 true 以保留与 pattern 属性中指定的正则表达式不匹配的角色。

表 A.87. regex-validating-principal-transformer Attributes

属性描述

匹配

如果为 true,该名称必须与给定模式匹配才能成功验证。如果为 false,该名称必须与给定模式不匹配才能成功验证。默认值为 true

pattern

主体转换器使用的正则表达式。

表 A.88. SASL-authentication-factory 属性

属性描述

mechanism-configurations

特定于机制的配置列表。

sasl-server-factory

SASL 服务器与这个资源关联。

security-domain

与此资源关联的安全域。

表 A.89. SASL-authentication-factory mechanism-configurations 属性

属性描述

credential-security-factory

用于根据机制要求获取凭证的安全因素。

final-principal-transformer

应用于此机制域的最后一个主要转换器。

host-name

此配置应用到的主机名。

mechanism-name

此配置仅应用使用指定名称的机制。如果省略此属性,则它将匹配任何机制名称。

mechanism-realm-configurations

机制理解的 realm 名称的定义列表。

protocol

此配置适用的协议。

post-realm-principal-transformer

选择域后要应用的主体转换器。

pre-realm-principal-transformer

在选择了域前应用主体转换器。

realm-mapper

机制使用的 realm mapper。

表 A.90. SASL-authentication-factory mechanism-configurations mechanism-realm-configurations 属性

属性描述

final-principal-transformer

应用于此机制域的最后一个主要转换器。

post-realm-principal-transformer

选择域后要应用的主体转换器。

pre-realm-principal-transformer

在选择了域前应用主体转换器。

realm-mapper

机制使用的 realm mapper。

realm-name

要按机制显示的域的名称。

表 A.91. secret-key-credential-store Attributes

属性描述

create

如果您不希望 ELytron 创建它不存在,则将值设为 false。默认值为 true

default-alias

默认生成的密钥的别名名称。默认值为 key

key-size

生成密钥的大小。默认大小为 256 位。您可以将值设为以下之一:

  • 128
  • 192
  • 256

path

凭证存储的路径。

populate

如果凭证存储不包含 default-alias,则此属性指示 Elytron 是否应该创建。默认值是 true

relative-to

对之前定义的路径的引用,该属性 路径相对于.

表 A.92. server-ssl-context 属性

属性描述

authentication-optional

如果为 安全域拒绝客户端证书,则不会防止连接。这样,当安全域拒绝客户端证书时,回退到使用其他验证机制,如表单登录。这只有在设置安全域时才会生效。默认值为 false

cipher-suite-filter

要应用的过滤器指定启用的密码套件。此过滤器采用以冒号分隔、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称,也可以是关键字,如 TLSv1.2DES。完整的关键字列表以及创建过滤器的详情,请参考 CipherSuiteSelector 类的 Javadoc 中。默认值为 DEFAULT,它对应于所有没有 NULL 加密的密码套件,并排除没有身份验证的任何加密套件。

final-principal-transformer

应用于此机制域的最后一个主要转换器。

key-manager

参考在 SSLContext 中使用的主要管理器。

maximum-session-cache-size

要缓存的最大 SSL/TLS 会话数量。

need-client-auth

如果为 true,在 SSL 握手中需要客户端证书。没有可信客户端证书的连接将被拒绝。默认值为 false

post-realm-principal-transformer

选择域后要应用的主体转换器。

pre-realm-principal-transformer

在选择了域前应用主体转换器。

协议

启用的协议。允许的选项有 SSLv2SSLv3、 TLSv1、 TLSv1.1TLSv1.2TLSv1.3。默认为启用 TLSv1, TLSv1.1, TLSv1.2, 和 TLSv1.3

警告

红帽建议显式禁用 SSLv2、SSLv3 和 TLSv1.0,以便在所有受影响的软件包中明确禁用 TLSv1.1 或 TLSv1.2。

provider-name

要使用的供应商的名称。如果未指定,则来自提供程序的所有提供程序都将传递到 SSLContext

providers

要获取用于加载 SSLContextProvider[] 的提供程序名称。

realm-mapper

用于 SSL 验证的域映射程序。

security-domain

在 SSL/TLS 会话建立过程中用于身份验证的安全域。

session-timeout

SSL/TLS 会话超时。

trust-manager

对 SSLContext 中使用的 trust-manager 的引用。

use-cipher-suites-order

如果为 true,则将使用服务器中定义的密码套件顺序。如果为 false,将使用客户端提供的密码套件顺序。默认值为 true

want-client-auth

如果为 true,则需要在 SSL 握手中请求客户端证书但不是必需的。如果引用安全域并支持 X509 证据,则会自动将其设置为 true。当设置了 need-client-auth 时,这会被忽略。默认值为 false

wrap

如果为 true,则返回的 SSLEngineSSLSocketSSLServerSocket 实例将被嵌套,以防止进一步修改。默认值为 false

注意

server-ssl-context 的 realm mapper 和主要转换器属性仅适用于 SASL EXTERNAL 机制,其中的证书由信任管理器验证。HTTP CLIENT-CERT 身份验证设置在 http-authentication-factory 中配置。

表 A.93. service-loader-http-server-mechanism-factory Attributes

属性描述

module

用于获取加载的类加载器的模块。如果没有指定要加载资源的类加载加载的类加载程序。

表 A.94. service-loader-sasl-server-factory Attributes

属性描述

module

用于获取加载的类加载器的模块。如果没有指定要加载资源的类加载加载的类加载程序。

表 A.95. simple-permission-mapper 属性

属性描述

mapping-mode

在多个匹配项时应使用的映射模式。允许的值为 are, and, or, xor, unless, 和 first。默认值是 第一个

权限映射

定义的权限映射列表。

表 A.96. simple-permission-mapper 权限属性

属性描述

permission-sets

匹配时要分配的权限集。权限集可用于为身份分配权限。

permission-sets 可以采用以下属性:

  • permission-set

    权限集的引用。

重要

permissions 属性已弃用,并被 permission-sets 替换。

主体

在映射权限时要比较的主体列表,如果身份主体与列表中任何一个匹配,则要比较的主体列表。

roles

在映射权限时要比较的角色列表,如果身份是列表中某个对象的成员匹配。

表 A.97. simple-regex-realm-mapper 属性

属性描述

delegate-realm-mapper

如果没有使用 模式匹配的域映射程序。

pattern

正则表达式,必须至少包含一个捕获组才能从名称中提取域。

表 A.98. simple-role-decoder Attributes

属性描述

attribute

身份要直接映射到角色的属性名称。

表 A.99. source-address-role-decoder Attributes

属性描述

pattern

指定客户端 IP 地址或要匹配的客户端 IP 地址的正则表达式。

source-address

指定客户端的 IP 地址。

roles

提供要分配给用户的角色列表,如果客户端的 IP 地址与 pattern 属性或 source-address 属性指定的值匹配。

注意

您必须在 source-address 属性或 pattern 属性中至少指定一个 IP 地址。否则,您无法根据客户端的 IP 地址来做出授权决策。

表 A.100. syslog-audit-log 属性

属性描述

格式

审计事件应该记录的格式。

支持的值:

  • JSON
  • SIMPLE

默认值:

  • SIMPLE

host-name

要嵌入到发送到 syslog 服务器的所有事件中的主机名。

port

syslog 服务器上的监听端口。

reconnect-attempts

Elytron 将在关闭连接前尝试向 syslog 服务器发送连续消息的次数上限。只有使用的传输协议是 UDP 时,此属性的值才有效。

支持的值:

  • 任何 正整数 值。
  • -1 表示无限重新连接尝试。

默认值:

  • 0

server-address

syslog 服务器的 IP 地址或一个可由 Java 的 InetAddress.getByName() 方法解析的名称。

ssl-context

连接到 syslog 服务器时使用的 SSL 上下文。只有在 传输 设置为 SSL_TCP 时,才需要此属性。

syslog-format

用于描述审计事件的 RFC 格式。

支持的值:

  • RFC3164
  • RFC5424

默认值:

  • RFC5424

传输

用于连接到 syslog 服务器的传输层协议。

支持的值:

  • SSL_TCP
  • TCP
  • UDP

默认值:

  • TCP

表 A.101. 文件审计日志记录属性

属性描述

autoflush

指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 synchronized 的值为默认值。

格式

默认值为 SIMPLE。使用 SIMPLE 进行人类可读的文本格式,或者使用 JSON 存储单个事件。

path

定义日志文件的位置

relative-to

可选属性。定义日志文件的位置

同步

默认值为 true。指定文件描述符在每个审计事件后同步。

表 A.102. 大小轮转文件审计日志属性

属性描述

autoflush

指定每个审计事件后是否输出流需要刷新。如果没有定义属性,则 synchronized 的值为默认值。

格式

默认值为 SIMPLE。使用 SIMPLE 进行人类可读的文本格式,或者使用 JSON 存储单个事件。

max-backup-index

轮转时要备份的最大文件数。默认值为:1

path

定义日志文件的位置。

relative-to

可选属性。定义日志文件的位置。

rotate-on-boot

默认情况下,当您重新启动服务器时,Elytron 不会创建新的日志文件。将此属性设置为 true 以在服务器重启时轮转日志。

rotate-size

日志文件在轮转日志前可访问的最大大小。默认值为 10m10 MB。您还可以使用 k、g、b 或 t 单元定义日志的最大大小。您可以在大写或小写字符中指定单位。

suffix

可选属性。在轮转日志中添加日期后缀。您必须使用 java.text.format.DateTimeFormatter 格式。例如 .yyyy-MM-dd-HH

同步

默认值为 true。指定文件描述符在每个审计事件后同步。

表 A.103. token-realm 属性

属性描述

jwt

用于与基于令牌的域结合使用的令牌验证器,该域根据 JWT/JWS 标准处理安全令牌。

oauth2-introspection

用于与基于令牌的域结合使用的令牌验证器,该域处理 OAuth2 访问令牌,并使用与 RFC-7662 OAuth2 令牌 Introspection 规范兼容的端点进行验证。

principal-claim

应该用来获取主体名称的声明名称。默认为 用户名

表 A.104. token-realm jwt 属性

属性描述

培训对象

代表此配置支持的听众的字符串列表。在验证 JWT 令牌时,必须有一个 aud 声明,其中包含此处定义的值之一。

certificate

带有公钥从密钥存储加载的证书名称,该密钥存储由 key-store 属性定义。

client-ssl-context

用于远程 JSON Web 密钥(JWK) 的 SSL 上下文。这可让您使用 jku (JSON Key URL)标头参数的 URL 获取令牌验证的公钥。

host-name-verification-policy

一个策略,用于定义在使用远程 JSON Web Keys 时如何验证主机名的策略。您可以为属性设置以下值之一:

  • ANY,禁用主机名验证。
  • DEFAULT,它可以拒绝从证书和连接主机间的证书不匹配的连接。

issuer

代表此配置支持的签发者的字符串列表。在验证 JWT 令牌时,必须具有一个 iss 声明,其中包含此处定义的值之一。

key-store

应从中加载带有公钥的证书的密钥存储。此属性以及 certificate 属性也可用作 公钥 的替代选择。

public-key

PEM 格式的公钥。在验证过程中,如果提供了公钥,将基于此属性提供的键值来验证签名。

或者,您可以定义一个密钥存储 和证书 来配置公钥。这个替代密钥用来在没有 kid (密钥 ID)声明的情况下验证令牌。

表 A.105. token-realm oauth2-introspection Attributes

属性描述

client-id

OAuth2 授权服务器上的客户端的标识符。

client-secret

客户端的机密。

client-ssl-context

如果内省端点使用 HTTPS,则将使用 SSL 上下文。

host-name-verification-policy

定义在使用 HTTPS 时如何验证主机名的策略。您可以为属性设置以下值之一:

  • ANY,禁用主机名验证。
  • DEFAULT,它可以拒绝从证书和连接主机间的证书不匹配的连接。

introspection-url

令牌内省端点的 URL。

表 A.106. trust-manager 属性

属性描述

算法

用于创建底层 TrustManager factory 的算法名称。这是 JDK 提供的。例如,使用 SunJSSE 的 JDK 提供了 PKIXSunX509 算法。有关 SunJSSE 的详细信息,请参阅 Java 安全套接字扩展(JSSE)参考指南

alias-filter

适用于从密钥存储返回的别名的过滤器。这可以是逗号分隔的别名列表,用于返回或以下格式之一:

  • ALL:-alias1:-alias2
  • NONE:+alias1:+alias2

certificate-revocation-list

启用信任管理器可以检查的证书撤销列表。certificate-revocation-list 的属性有:

  • maximum-cert-path - 认证路径中可存在的最大非签发的中间证书。默认值为 5。(已弃用。在 trust-manager中使用 maximum-cert-path
  • path - 用于初始化提供程序的配置文件的路径。
  • relative-to - 证书撤销列表文件的基本路径。

如需更多信息,请参阅使用证书撤销列表

key-store

对用于初始化底层 TrustManagerFactorykey-store 的引用。

maximum-cert-path

认证路径中可以存在的最大非签发的中间证书。默认值为 5

此属性已从 JBoss EAP 7.3 中的 trust-manager 内的 certificate-revocation-list 移到 trust-manager 中。为了向后兼容,属性也会出现在 certificate-revocation-list 中。下一步,在 trust-manager 中使用 maximum-cert-path

注意

trust-managercertificate-revocation-list 中没有定义两者中的 maximum-cert-path

only-leaf-cert

只检查叶证书的撤销状态。这是一个可选属性。默认值为 false

provider-name

用于创建底层 TrustManager factory 的供应商名称

providers

参考以获取创建底层 TrustManagerFactory 时要使用的 Provider[]

soft-fail

当设置为 true 时,接受带有未知撤销状态的证书。这是一个可选属性。默认值为 false

表 A.107. x500-attribute-principal-decoder Attributes

属性描述

attribute-name

要映射的 X.500 属性的名称。这也可使用 oid 属性来定义。

convert

当设置为 true 时,如果主体解码器还没有将主体转换为 X500Principal,则主体解码器将尝试转换该主体。如果转换失败,原始值将用作主体。

joiner

加入的字符串。默认值为句点 (.)。

最大数据量

要映射的属性的最大数量。默认值为 2147483647

oid

要映射的 X.500 属性的 OID。这也可通过 attribute-name 属性来定义。

required-attributes

主体中必须存在的属性名称列表

required-oids

主体中必须存在的属性的 OID 列表。

reverse

如果为 true,则属性值将按照相反的顺序处理并返回。默认值为 false

start-segment

您要映射的属性的开头。这使用基于零的索引,默认值为 0

表 A.108. x509-subject-alternative-name-evidence-decoder Attributes

属性描述

alt-name-type

主题替代名称类型。必须是以下主题替代名称之一:

  • directoryName
  • dNSName
  • iPAddress
  • registeredID
  • rfc822Name
  • uniformResourceIdentifier

这是必需属性。

片段

  • 基于 0 出现的主题备用名称进行映射。
  • 如果给定类型有多个主题名称,则使用此属性。默认值为 0