Credenciais de usuário em vinculações do DXlink

Os servidores LDAP só esperam conexões de usuários LDAP; portanto, o DXlink deve fazer com que o backbone do X.500 se pareça com um usuário LDAP comum.
cad140br
Os servidores LDAP só esperam conexões de usuários LDAP; portanto, o DXlink deve fazer com que o backbone do X.500 se pareça com um usuário LDAP comum.
Uma complicação surge com a segurança de nome e senha (credenciais simples). No DSP, um único link entre os DSAs pode suportar qualquer número de usuários, porque as informações de usuário são passadas com cada solicitação do DSP. No entanto, no LDAP, os links não podem ser compartilhados, então, o DSA do CA Directory deve configurar links separados para cada usuário LDAP.
Quando o DSA está atuando como uma passagem direta de um usuário para um servidor LDAP e o nome do usuário está no servidor LDAP, o DSA configura um link separado para esse usuário e usa suas credenciais no link.
Definindo credenciais de usuário para operações LDAP
Se uma das condições a seguir for verdadeira, você poderá definir as credenciais usadas nas conexões DXlink no arquivo de configuração do servidor LDAP:
  • O usuário que está invocando a solicitação é autenticado usando um DN que está fora do servidor LDAP.
  • Mais de um DSA está no caminho para o servidor LDAP.
    Por exemplo:
    set dsa LDAP1 = { ... ldap-dsa-name   = <c US><o "Ace Industry"><cn "Fred Smith"> ldap-dsa-password = fredspassword ... };
O nome do DSA de LDAP deve ser uma entrada válida no servidor LDAP, porque todas as solicitações do backbone usam as permissões que são concedidas a essa entrada.
O DSA do exemplo anterior espera que as credenciais sejam retornadas na confirmação da vinculação enviada pelo servidor LDAP. Se nenhuma credencial for retornada, a vinculação será rejeitada.
A referência de conhecimento do servidor LDAP pode incluir o sinalizador de confiabilidade 
no-server-credentials
, que indica ao DSA que o servidor LDAP não retornará credenciais em uma vinculação.
Quando esse sinalizador for definido, o DSA aceitará o resultado de uma confirmação de vinculação retornado do servidor LDAP se ele não incluir as credenciais, como no exemplo a seguir:
set dsa LDAP1 = { ... trust-flags = no-server-credentials ...  };
Autorizando operações LDAP automaticamente
Quando um backbone de diretório executa operações por meio do DXlink, algumas operações no servidor LDAP de destino podem exigir que o usuário seja autorizado para a operação.
Você pode incluir o sinalizador de link
dsp-ldap-proxy
no conhecimento do DXlink para fazer com que o último DSA da cadeia use a autorização do usuário de origem para executar operações no servidor LDAP.
isso pode comprometer a segurança porque o usuário de origem nunca é autenticado pelo servidor LDAP.
Geralmente, o último DSA da cadeia se vincula ao servidor LDAP usando as credenciais especificadas nos sinalizadores 
ldap-dsa-name
 e 
ldap-dsa-password
.
Se o sinalizador 
dsp-ldap-proxy
 também for definido, o DN do usuário que fez a vinculação inicial será adicionado às seguintes solicitações subsequentes:
  • search
  • compare
  • modify
  • add
  • delete
  • modify DN
Se a vinculação inicial tiver sido anônima, nenhum DN será adicionado às solicitações subsequentes.
O usuário proxy é transmitido pelo DSA que cria a cadeira de operações por meio do DXlink, incluindo o DN originador do usuário que está executando a operação no controle de autorização do proxy LDAP na solicitação. O servidor LDAP deve permitir que o usuário
ldap-dsa-name
configurado, a autoridade, atue como proxy para todos os usuário.
Observação
o sinalizador de link
dsp-ldap-proxy
só poderá ser usado se o servidor LDAP de destino suportar o controle de autorização de proxy LDAP.