Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 8 章 配置文件参考

您配置的大多数目录服务器功能都在 目录中的 cn=config 条目中。但是,对于某些功能,目录服务器从配置文件读取设置。本章描述了这些文件及其设置。

8.1. certmap.conf
复制链接

如果您设置了基于证书的身份验证,/etc/dirsrv/slapd-instance_name/certmap.conf 文件管理目录服务器如何动态将证书映射到用户条目。

/etc/dirsrv/slapd-instance_name/certmap.conf 文件使用以下格式: 

certmap alias_name            certificate_issuer_DN
alias_name:parameter_name     value
Copy to Clipboard Toggle word wrap

您可以为不同的证书签发者可辨识名称(DN)指定单独的设置。对于没有单独的配置的签发者 DN,将使用来自 默认条目 的设置。以下是默认条目所需的最小配置: 

certmap default     default
Copy to Clipboard Toggle word wrap

另外,您可以为默认条目设置所有可用参数。如果在单独的配置中为签发者 DN 指定,目录服务器将使用它们。

例 8.1. 默认条目 和特定 发行者 DN 的配置

以下配置为设置了 o=Example Inc.,c=US issuer DN 的证书设置单独的设置。其他证书 将使用默认 条目的设置。 

certmap default         default
default:DNComps         dc
default:FilterComps     mail, cn
default:VerifyCert      on

certmap example         o=Example Inc.,c=US
example:DNComps
Copy to Clipboard Toggle word wrap

您可以设置以下参数:

DNComps

DNComps 参数决定目录服务器如何生成用于搜索目录中用户的基本 DN:

  • 如果证书的 subject 字段中的属性与基本 DN 匹配,请将 DNComps 参数设置为这些属性。使用逗号分隔多个属性。但是,DNComps 参数中属性的顺序必须与证书主题中的顺序匹配。

    例如,如果您的证书的主题是 e=user_name@example.com,cn=user_name,o=Example Inc.,c=US,并且您希望目录服务器使用 cn=user_name,o=Example Inc.,c=US 作为基本 DN,在搜索用户时将 DNComps 参数设置为 cn, o, c

    重要

    DNComps 参数中设置的属性值在数据库中必须是唯一的。

  • 如果无法从证书的 subject 字段生成基本 DN,请将参数设置为空值。在这种情况下,Directory 服务器使用 FilterComps 参数中的设置生成的过滤器在整个目录中搜索用户。

    例如,如果证书的主题是 e=user_name@example.com,cn=user_name,o=Example Inc.,c=US,但目录服务器将其数据存储在 dc=example,dc=com 条目中,目录服务器无法从证书的主题生成有效的基本 DN,因为所需的组件不是主题的一部分。在这种情况下,将 DNComps 设置为空字符串,以便在整个目录中搜索用户。

  • 如果证书的 subject 字段与 Directory Server 中的用户的 DN 完全匹配,或者您要使用 CmapLdapAttr 参数中的设置,或者不要设置此参数。

    或者,在 cn=config 条目中设置 nsslapd-certmap-basedn 参数,以使用硬编码的基本 DN。

FilterComps

此参数设置证书目录服务器的 subject 字段中哪些属性用来生成搜索过滤器来定位用户:

  • 将此参数设置为以逗号分隔的证书主题中使用的属性列表。目录服务器将在过滤器中的 AND 操作中使用这些属性。

    注意

    证书主题将 e 属性用于电子邮件地址,该地址不存在于默认的 Directory Server 模式中。因此,Directory 服务器会自动将此属性映射到 mail 属性。这意味着,如果您在 FilterComps 参数中使用 mail 属性,Directory 服务器会从证书的主题读取 e 属性的值。

    例如,如果证书的主题是 e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US,您希望动态生成 (& (mail=username@domain) (cn=user_name) 过滤器,将 FilterComps 参数设置为 mail,cn

  • 如果参数被注释掉或设置为空值,则会使用 (objectclass swig )过滤器。
verifycert

目录服务器始终验证证书是否已由可信证书颁发机构(CA)发布。但是,如果您还将 verifycert 参数设置为 on,目录服务器还会验证证书是否与用户 userCertificate 二进制属性中的 Distinguished Encoding Rules (DER)格式的证书匹配。

如果没有设置此参数,请验证cert 被禁用。

CmapLdapAttr
如果您的用户条目包含存储用户证书主题 DN 的属性,请将 CmapLdapAttr 设置为此属性名称。目录服务器将使用此属性和主题 DN 来查找用户。在这种情况下,没有根据 FilterComps 参数中的属性生成 no 过滤器。
library
将路径名称设置为共享库或 Dynamic Link Library (DLL)文件。只有在您使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
InitFn
如果使用自定义库,请设置 init 功能的名称。只有在您使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
重要

当目录服务器搜索匹配用户时,搜索必须完全返回一个条目。如果搜索返回多个条目,Directory 服务器会记录 多个匹配 错误,身份验证会失败。

详情请查看 Directory Server Administration Guide 中的对应部分。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat