红帽全球峰会第 8 章 配置文件参考
您配置的大多数目录服务器功能都在 目录中的 cn=config 条目中。但是,对于某些功能,目录服务器从配置文件读取设置。本章描述了这些文件及其设置。
8.1. certmap.conf
如果您设置了基于证书的身份验证,/etc/dirsrv/slapd-instance_name/certmap.conf 文件管理目录服务器如何动态将证书映射到用户条目。
/etc/dirsrv/slapd-instance_name/certmap.conf 文件使用以下格式:
certmap alias_name certificate_issuer_DN
alias_name:parameter_name value
您可以为不同的证书签发者可辨识名称(DN)指定单独的设置。对于没有单独的配置的签发者 DN,将使用来自 默认条目 的设置。以下是默认条目所需的最小配置:
certmap default default
另外,您可以为默认条目设置所有可用参数。如果在单独的配置中为签发者 DN 指定,目录服务器将使用它们。
例 8.1. 默认条目 和特定 发行者 DN 的配置
以下配置为设置了 o=Example Inc.,c=US issuer DN 的证书设置单独的设置。其他证书 将使用默认 条目的设置。
certmap default default
default:DNComps dc
default:FilterComps mail, cn
default:VerifyCert on
certmap example o=Example Inc.,c=US
example:DNComps您可以设置以下参数:
- DNComps
DNComps参数决定目录服务器如何生成用于搜索目录中用户的基本 DN:如果证书的
subject字段中的属性与基本 DN 匹配,请将DNComps参数设置为这些属性。使用逗号分隔多个属性。但是,DNComps参数中属性的顺序必须与证书主题中的顺序匹配。例如,如果您的证书的主题是
e=user_name@example.com,cn=user_name,o=Example Inc.,c=US,并且您希望目录服务器使用cn=user_name,o=Example Inc.,c=US作为基本 DN,在搜索用户时将DNComps参数设置为cn, o, c。重要DNComps参数中设置的属性值在数据库中必须是唯一的。如果无法从证书的
subject字段生成基本 DN,请将参数设置为空值。在这种情况下,Directory 服务器使用FilterComps参数中的设置生成的过滤器在整个目录中搜索用户。例如,如果证书的主题是
e=user_name@example.com,cn=user_name,o=Example Inc.,c=US,但目录服务器将其数据存储在dc=example,dc=com条目中,目录服务器无法从证书的主题生成有效的基本 DN,因为所需的组件不是主题的一部分。在这种情况下,将DNComps设置为空字符串,以便在整个目录中搜索用户。如果证书的
subject字段与 Directory Server 中的用户的 DN 完全匹配,或者您要使用CmapLdapAttr参数中的设置,或者不要设置此参数。或者,在
cn=config条目中设置nsslapd-certmap-basedn参数,以使用硬编码的基本 DN。
- FilterComps
此参数设置证书目录服务器的
subject字段中哪些属性用来生成搜索过滤器来定位用户:将此参数设置为以逗号分隔的证书主题中使用的属性列表。目录服务器将在过滤器中的
AND操作中使用这些属性。注意证书主题将
e属性用于电子邮件地址,该地址不存在于默认的 Directory Server 模式中。因此,Directory 服务器会自动将此属性映射到mail属性。这意味着,如果您在FilterComps参数中使用mail属性,Directory 服务器会从证书的主题读取e属性的值。例如,如果证书的主题是
e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US,您希望动态生成(& (mail=username@domain) (cn=user_name)过滤器,将FilterComps参数设置为mail,cn。-
如果参数被注释掉或设置为空值,则会使用
(objectclass swig)过滤器。
- verifycert
目录服务器始终验证证书是否已由可信证书颁发机构(CA)发布。但是,如果您还将
verifycert参数设置为on,目录服务器还会验证证书是否与用户userCertificate二进制属性中的 Distinguished Encoding Rules (DER)格式的证书匹配。如果没有设置此参数,
请验证cert被禁用。- CmapLdapAttr
-
如果您的用户条目包含存储用户证书主题 DN 的属性,请将
CmapLdapAttr设置为此属性名称。目录服务器将使用此属性和主题 DN 来查找用户。在这种情况下,没有根据FilterComps参数中的属性生成 no 过滤器。 - library
- 将路径名称设置为共享库或 Dynamic Link Library (DLL)文件。只有在您使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
- InitFn
-
如果使用自定义库,请设置
init功能的名称。只有在您使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
当目录服务器搜索匹配用户时,搜索必须完全返回一个条目。如果搜索返回多个条目,Directory 服务器会记录 多个匹配 错误,身份验证会失败。
详情请查看 Directory Server Administration Guide 中的对应部分。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}