Caixa de diálogo Mapeamento de certificados

casso128figsbrbr
HID_certificate-mapping
Conteúdo
O
CA Single Sign-on
exige mapeamentos de certificados para esquemas de autenticação de certificado de cliente X.509. Sem um mapeamento de certificados, o
CA Single Sign-on
não pode estabelecer uma relação de confiança entre um certificado de cliente e a autoridade de certificação que emitiu o certificado. Sem uma confiança estabelecida, os certificados de cliente X.509 não podem ser usados para verificar a identidade de um usuário.
Os certificados de cliente X.509 contém o DN da autoridade de certificação emissora, o DN da entidade do certificado de cliente, a ID do algoritmo usado para o certificado e as extensões. Um mapeamento de certificados na interface administrativa descreve como o DN da entidade de um usuário pode ser mapeado para um DN de usuário em um diretório de autenticação.
O DN de usuário é uma maneira exclusiva de identificar um usuário específico. Se desejar usar um esquema de autenticação de certificado de cliente X.509 para oferecer segurança a um realm, você deve criar um mapeamento de certificados para que o esquema de autenticação funcione.
Na caixa de diálogo Mapeamento de certificados, você pode configurar mapeamentos de certificados.
Caixa de grupo Mapear do DN do emissor no certificado para o tipo de diretório
 
  • DN do emissor
    Especifica o nome distinto do certificado do servidor.
    Observação:
    os DNs do emissor não poderão exceder 255 caracteres se um banco de dados relacional for usado como um repositório de diretivas. Os DNs do emissor não poderão exceder 1000 caracteres se um servidor de diretório LDAP for usado como um repositório de diretivas.
    Para que o mapeamento de certificados funcione, o valor do campo DN do emissor deve ser idêntico ao do campo DN do emissor do certificado (todos os caracteres, todos os espaços e toda a pontuação). O servidor de políticas compara o DN do emissor do certificado do usuário com cada DN do emissor especificado para o mapeamento de certificados.
    Observação:
    o DN do emissor poderá variar de acordo com o servidor web. Por exemplo, o DN do emissor de um certificado em um servidor web do IIS é diferente do DN do emissor para o mesmo certificado em um servidor web Netscape.
    A seguir está um exemplo de um issuerDN:
    IssuerDN=CN=VeriSign Class 1 CA Individual Subscriber-Persona Not Validated, OU=\"www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98\", OU=VeriSign Trust Network, O=\"VeriSign, Inc.\"
    Para obter informações sobre como localizar o DN do emissor, entre em contato com a autoridade de certificação.
  • Tipo de diretório
    Especifica o tipo de diretório para o qual o certificado será mapeado.
    O diretório selecionado indica o tipo de diretório que será usado para autenticar os usuários. Os tipos de diretório válidos incluem LDAP/AD, WinNT e ODBC.
    Uma conexão do diretório de usuários deve ser configurada para o diretório de autenticação usando a caixa de diálogo Diretório de usuários.
  • Caixa de seleção é necessário ter o certificado no diretório
    Marque essa caixa de seleção para que o
    CA Single Sign-on
    verifique se o certificado apresentado pelo usuário corresponde ao certificado armazenado na entrada do usuário do diretório de autenticação.
    Essa caixa de seleção poderá ser selecionada apenas se o diretório de autenticação for um diretório de usuários do LDAP.
Caixa de grupo Mapeamento
Na caixa de grupo Mapeamento, você pode especificar como o certificado de cliente X.509 será mapeado para as informações do usuário no diretório de autenticação. O conteúdo da caixa de grupo é alterado de acordo com o botão de opção que você selecionar para o tipo de mapeamento. Você pode selecionar uma das seguintes opções:
  • Atributo único
    O servidor de políticas faz a correspondência entre um único atributo do DN de entidade do certificado de um usuário e um único atributo armazenado no diretório do usuário a fim de verificar a identidade do usuário.
  • Nome do atributo
    A tabela a seguir lista os tipos de atributos que você pode selecionar para um mapeamento:
Atributo
Descrição
UID
ID do usuário
CN
Nome comum
Importante:
O Novell eDirectory não pode ter o atributo CN definido como um valor com mais de 64 caracteres.
SN
Sobrenome
E
Endereço de email
Enodomain
Conteúdo do endereço de email antes do símbolo @
Observação:
para as versões do
CA Single Sign-on
que não estão em inglês, a seleção de Enodomains não é traduzida do inglês. Para que esse recurso funcione corretamente, a sequência de caracteres ASCII "Enodomain" deve ser utilizada.
OU
Unidade organizacional
O
Organização
L
Localidade ou cidade
S
Estado
C
País
Quando você configura o diretório de usuários para o qual o certificado é mapeado, o servidor de políticas usa os valores dos campos Início e Término da caixa de grupo Pesquisa de DN do usuário do LDAP de uma caixa de diálogo Diretório de usuários para localizar o atributo no diretório para o qual o certificado é mapeado.
Por exemplo, se criar um mapeamento de certificados para o atributo UID de um diretório de usuários do LDAP com os valores de Início e Término exemplificados no gráfico a seguir, o
CA Single Sign-on
mapeará a UID do DN da entidade para o diretório de usuários usando o valor:
uid=
, ou=marketing,o=myorg.org
  • Personalizado
    O servidor de políticas usa uma expressão de mapeamento personalizada para verificar a identidade do usuário. Insira a expressão no campo à direita dos botões de opção.
  • Expressão de mapeamento
    Observação:
    se você inserir um atributo único no campo Expressão de mapeamento, o servidor de políticas converterá automaticamente a expressão personalizada em um atributo único, conforme descrito na etapa 1.
  • Exato
    O servidor de políticas corresponde todo o DN do usuário do certificado com todo o DN no diretório de autenticação.
  • Test
    Esse botão está disponível, independentemente do botão de opção selecionado. Ele abre a caixa de grupo Teste de mapeamentos de certificado.
Caixa de grupo Verificação da CRL (Certificate Revocation List - Lista de Certificados Revogados)
A caixa de grupo Verificação da CRL (Certificate Revocation List - Lista de Certificados Revogados) permite que você configure a maneira como o servidor de políticas usa as CRLs para determinar se os certificados ainda são válidos. Essa seção da caixa de diálogo contém as seguintes configurações:
  • Executar verificações da CRL
    Ativa a verificação da lista de certificados revogados. Se essa opção não for selecionada, o processamento da CRL será desativado.
    A verificação de CRL é um nível de segurança adicional que envolve recuperar uma CRL de um local designado, verificar a CRL e, por fim, validar se o certificado foi revogado. Marque essa caixa de seleção para ativar a verificação da CRL. Se essa opção não for selecionada, o processamento da CRL será desativado.
    Ao selecionar essa opção, insira um valor para o campo Diretório da CRL ou selecione a opção Usar pontos de distribuição. Uma dessas opções é necessária para implementar a verificação da CRL.
  • Diretório da CRL
    Especifica o diretório em que um administrador armazenou uma CRL para verificação. Selecione um dos diretórios de usuários disponíveis na lista suspensa.
    Somente conexões de diretório de usuários que já estejam configuradas estarão disponíveis na lista suspensa. Se a conexão de diretório de usuários não estiver definida, clique em Criar para definir um novo diretório.
    Se você selecionar a opção Usar pontos de distribuição nessa caixa de diálogo, a sequência de caracteres "Assumir da extensão de certificado" se tornará disponível na lista. Se você selecionar essa opção, o servidor de políticas usará a extensão de ponto de distribuição de CRL no certificado para localizar a CRL, e não o diretório especificado por você.
  • Criar
    Abre a caixa de diálogo Diretório de usuários para criar um diretório para armazenar as CRLs.
  • DN no diretório de CRL
    Indica o DN (Distinguished Name -Nome Distinto) no diretório de CRL em que o servidor de políticas procura para localizar a CRL. Insira um DN válido para o diretório no campo Diretório da CRL.
  • Verificar assinatura
    Permite que o servidor de políticas verifique a assinatura da CRL.
    Ao ativar a verificação de assinatura, o servidor de políticas verifica a assinatura da CRL com o certificado do emissor. Esse certificado está armazenado no ponto de entrada de DN do diretório da CRL ou no ponto de entrada especificado pelo campo IssuerDN para o mapeamento de certificados.
    O servidor de políticas exige um host LDAP acessível para recuperar o certificado necessário para verificar a assinatura da CRL. Certifique-se de que você tenha configurado um host LDAP como uma conexão do diretório de usuários na interface administrativa.
    Observe o seguinte:
    • Se a opção Usar pontos de distribuição estiver selecionada e o ponto de distribuição for um URI de LDAP ou um URI de HTTP, o servidor de políticas poderá verificar a assinatura da CRL em relação a um host LDAP. Especifique esse host LDAP no campo Diretório da CRL.
    • Se você selecionar a entrada Assumir da extensão de certificado para o campo Diretório da CRL e o ponto de distribuição for um URI de HTTP, não selecione essa opção, pois a assinatura não poderá ser verificada e a autenticação falhará.
  • Usar pontos de distribuição
    Instrui o servidor de políticas a usar CDPs (CRL distribution points - Pontos de Distribuição de CRL) para localizar uma CRL. CDP é uma extensão no certificado que lista os links para localizar a mesma CRL. A extensão CDP pode incluir várias origens para localizar a mesma CRL, como um ponto de entrada no diretório da CRL ou um arquivo de CRL armazenado em um servidor HTTP.
    Observação
    se você selecionar Usar pontos de distribuição e a sequência de caracteres Assumir da extensão de certificado para o campo Diretório da CRL, não selecione a opção Verificar assinatura. Se nenhum diretório tiver sido especificado no campo Diretório da CRL, o servidor de políticas não poderá recuperar o certificado a ser usado na verificação.
  • Cache
    Instrui o servidor de políticas a armazenar a CRL na memória cache.
    Ao marcar essa caixa de seleção, o servidor de políticas anotará a data no campo NextUpdate na CRL. Essa data indica quando excluir a CRL em cache e substituí-la por uma CRL atualizada. O servidor de políticas usa a CRL em cache até a data especificada no campo NextUpdate.