Dialogfeld "Zertifikatszuordnungen"
casso128figsbrde
HID_certificate-mapping
CA Single Sign-on
benötigt Zertifikatszuordnungen für Authentifizierungsschemen des X.509-Client-Zertifikats. Ohne eine Zertifikatszuordnung kann CA Single Sign-on
keine Vertrauensstellung zwischen einem Client-Zertifikat und der Zertifizierungsstelle, die das Zertifikat ausgestellt hat, erstellen. Ohne Vertrauensstellung können X.509-Client-Zertifikate nicht verwendet werden, um die Identität eines Benutzers zu überprüfen.X.509-Client-Zertifikate enthalten den DN von der ausstellenden Zertifizierungsstelle (CA), den Betreff-DN des Client-Zertifikats, die ID des Algorithmus, der für das Zertifikat verwendet wird, und Erweiterungen. Eine Zertifikatszuordnung in der Verwaltungsoberfläche beschreibt, wie der Betreff-DN eines Benutzers zu einem Benutzer-DN in einem Authentifizierungsverzeichnis zugeordnet werden kann.
Der Benutzer-DN ist die einzige Möglichkeit, einen bestimmten Benutzer zu identifizieren. Wenn Sie ein Authentifizierungsschema des X.509-Client-Zertifikats verwenden möchten, um Sicherheit für einen Bereich bereitzustellen, müssen Sie eine Zertifikatszuordnung erstellen, damit das Authentifizierungsschema funktioniert.
Im Dialogfeld "Zertifikatszuordnungen" konfigurieren Sie Zertifikatszuordnungen.
Gruppenfeld "Zuordnung vom Aussteller-DN im Zertifikat zum Verzeichnistyp"
- Aussteller-DNGibt den DN (Distinguished Name) des Serverzertifikats an.Hinweis:Aussteller-DNs dürfen maximal 255 Zeichen enthalten, wenn eine relationale Datenbank als Richtlinienspeicher verwendet wird. Aussteller-DNs dürfen maximal 1.000 Zeichen enthalten, wenn ein LDAP-Verzeichnisserver als Richtlinienspeicher verwendet wird.Damit die Zertifikatszuordnung funktioniert, muss der Wert im Feld "Aussteller-DN" mit der Aussteller-DN des Zertifikats identisch sein (alle Zeichen, Leerzeichen und Satzzeichen). Der Richtlinienserver vergleicht den Aussteller-DN aus dem Zertifikat des Benutzers mit jedem Aussteller-DN, der für die Zertifikatszuordnung angegeben wurde.Hinweis:Der Aussteller-DN variiert je nach Webserver-Anbieter. Zum Beispiel unterscheidet sich der Aussteller-DN für ein Zertifikat auf einem IIS-Webserver vom Aussteller-DN für das gleiche Zertifikat auf einem Netscape-Webserver.Dies ist ein Beispiel für einen Aussteller-DN:IssuerDN=CN=VeriSign Class 1 CA Individual Subscriber-Persona Not Validated, OU=\"www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98\", OU=VeriSign Trust Network, O=\"VeriSign, Inc.\"Für weitere Informationen zur Suche des Aussteller-DN wenden Sie sich an Ihre Zertifizierungsstelle (CA).
- VerzeichnistypGibt den Verzeichnistyp an, zu dem das Zertifikat zugeordnet wird.Das Verzeichnis, das Sie auswählen, zeigt den Verzeichnistyp an, der verwendet wird, um Benutzer zu authentifizieren. Gültige Verzeichnistypen sind LDAP/AD, WinNT und ODBC.Eine Verbindung des Benutzerverzeichnisses muss mithilfe des Dialogfelds "Benutzerverzeichnis" für das Authentifizierungsverzeichnis konfiguriert werden.
- Kontrollkästchen "Zertifikat ist im Verzeichnis erforderlich"Aktivieren Sie dieses Kontrollkästchen, damitCA Single Sign-onüberprüft, ob das Zertifikat des Benutzers mit dem Zertifikat übereinstimmt, das im Benutzereintrag im Authentifizierungsverzeichnis gespeichert ist.Sie dürfen dieses Kontrollkästchen nur aktivieren, wenn das Authentifizierungsverzeichnis ein LDAP-Benutzerverzeichnis ist.
Gruppenfeld "Zuordnung"
Im Gruppenfeld "Zuordnung" geben Sie an, wie das X.509-Client-Zertifikat zu den Benutzerinformationen im Authentifizierungsverzeichnis zugeordnet wird. Die Inhalte des Gruppenfelds ändern sich abhängig vom Optionsfeld, das Sie für den Zuordnungstyp auswählen. Folgende Optionen stehen zur Verfügung:
- Einzelnes AttributDer Richtlinienserver stimmt ein einzelnes Attribut aus dem Betreff-DN des Zertifikats eines Benutzers mit einem einzelnen Attribut überein, das im Benutzerverzeichnis gespeichert ist, um die Identität des Benutzers zu überprüfen.
- AttributnameFolgende Tabelle listet die Attributtypen auf, die Sie für eine Zuordnung auswählen können:
Attribut
| Beschreibung
|
UID | Benutzer-ID |
CN | Allgemeiner Name Wichtig! Novell eDirectory kann das CN-Attribut nicht auf einen Wert festlegen, der länger ist als 64 Zeichen. |
SN | Nachname |
E | E-Mail-Adresse |
Enodomain | Inhalte der E-Mail-Adresse, die dem @-Symbol vorangestellt sind Hinweis: Für nicht englischsprachige CA Single Sign-on -Versionen wird die Auswahl "Enodomains" nicht aus dem Englischen übersetzt. Damit diese Funktion richtig funktioniert, muss die ASCII-Zeichenfolge "Enodomain" verwendet werden. |
OU | Organizational unit (Organisationseinheit) |
O | Organisation |
L | Ort oder Stadt |
S | Bundesland/Kanton |
C | Land |
Wenn Sie das Benutzerverzeichnis konfigurieren, zu dem das Zertifikat zugeordnet ist, verwendet der Richtlinienserver die Werte der Start- und Endfelder des Gruppenfelds "LDAP-Benutzer-DN-Suche" im Dialogfeld "Benutzerverzeichnis", um das Attribut im Verzeichnis zu suchen, zu dem das Zertifikat zugeordnet ist.
Wenn Sie beispielsweise eine Zertifikatszuordnung zum UID-Attribut eines LDAP-Benutzerverzeichnisses mit den Start- und Endfeldern, die in folgender Grafik abgebildet sind, erstellen, dann ordnet
CA Single Sign-on
die UID vom Betreff-DN zum Benutzerverzeichnis zu, wobei folgender Wert verwendet wird:uid=
<value of UID attribute from subject DN>
, ou=marketing,o=myorg.org- BenutzerdefiniertDer Richtlinienserver verwendet einen benutzerdefinierten Zuordnungsausdruck, um die Identität des Benutzers zu überprüfen. Geben Sie den Ausdruck in das Feld rechts neben den Optionsfeldern ein.
- ZuordnungsausdruckHinweis:Wenn Sie ein einzelnes Attribut ins Feld "Zuordnungsausdruck" eingeben, konvertiert der Richtlinienserver automatisch den benutzerdefinierten Ausdruck in ein einzelnes Attribut, wie in Schritt 1 beschrieben.
- GenauDer Richtlinienserver stimmt den gesamten DN des Benutzers vom Zertifikat mit dem gesamten DN im Authentifizierungsverzeichnis ab.
- TestDiese Schaltfläche ist verfügbar, unabhängig davon, welches Optionsfeld ausgewählt ist. Das Gruppenfeld "Zertifikatszuordnungstest" wird geöffnet.
Gruppenfeld "Überprüfung der Zertifikatsperrungsliste (CRL)"
Mit dem Gruppenfeld "Überprüfung der Zertifikatsperrungsliste (CRL)" können Sie konfigurieren, wie der Richtlinienserver CRLs verwenden soll, um zu festzustellen, ob Zertifikate noch gültig sind. Dieser Abschnitt des Dialogfelds enthält folgende Einstellungen:
- CRL-Überprüfungen ausführenErmöglicht die Überprüfung der Zertifikatsperrungsliste (CRL). Wenn diese Option nicht aktiviert ist, dann ist die CRL-Verarbeitung deaktiviert.Die CRL-Überprüfung ist eine zusätzliche Sicherheitsebene, bei der eine CRL aus einem bestimmten Speicherort abgerufen wird. Die CRL wird überprüft, und anschließend wird validiert, ob das Zertifikat widerrufen wird. Aktivieren Sie dieses Kontrollkästchen, um CRL-Überprüfung zu aktivieren. Wenn diese Option nicht aktiviert ist, dann ist die CRL-Verarbeitung deaktiviert.Wenn Sie diese Option auswählen, geben Sie einen Wert für das Feld "CRL-Verzeichnis" ein, oder wählen Sie die Option "Verteilungspunkte verwenden" aus. Einer dieser Optionen ist erforderlich, um CRL-Überprüfung zu implementieren.
- CRL-VerzeichnisGibt das Verzeichnis an, in dem ein Administrator eine CRL für die CRL-Überprüfung gespeichert hat. Wählen Sie ein verfügbares Benutzerverzeichnis aus der Pull-down-Liste aus.In der Pull-down-Liste sind nur Verbindungen zum Benutzerverzeichnis verfügbar, die bereits konfiguriert sind. Wenn die Verbindung zum Benutzerverzeichnis nicht definiert ist, klicken Sie auf "Erstellen", um ein neues Verzeichnis zu definieren.Wenn Sie die Option "Verteilungspunkte verwenden" in diesem Dialogfeld auswählen, dann ist die Zeichenfolge "Aus der Zertifikatserweiterung entnehmen" in der Liste verfügbar. Wenn Sie diese Option auswählen, dann verwendet der Richtlinienserver die Erweiterung der CRL-Verteilungspunkte im Zertifikat, um die CRL zu suchen und nicht ein Verzeichnis, das Sie angeben.
- ErstellenÖffnet das Dialogfeld "Benutzerverzeichnis", um ein Verzeichnis für das Speichern der CRLs zu erstellen.
- DN in CRL-VerzeichnisZeigt den Distinguished Name (DN) im CRL-Verzeichnis an, in dem der Richtlinienserver nach der CRL sucht. Geben Sie einen gültigen DN für das Verzeichnis in das Feld "CRL-Verzeichnis" ein.
- Signatur überprüfenErmöglicht es dem Richtlinienserver, die CRL-Signatur zu überprüfen.Wenn Sie die Signaturprüfung aktivieren, überprüft der Richtlinienserver die CRL-Signatur mit dem Ausstellerzertifikat. Dieses Zertifikat wird im DN-Eingangspunkt des CRL-Verzeichnisses gespeichert, oder es wird im Eingangspunkt gespeichert, der im Feld "Aussteller-DN" für die Zertifikatszuordnung angegeben ist.Der Richtlinienserver benötigt einen zugreifbaren LDAP-Host, um das erforderliche Zertifikat für die Überprüfung der CRL-Signatur abzurufen. Stellen Sie sicher, dass Sie einen LDAP-Host als Verbindung zum Benutzerverzeichnis in der Verwaltungsoberfläche konfiguriert haben.Beachten Sie Folgendes:
- Wenn "Verteilungspunkte verwenden" aktiviert ist und der Verteilungspunkt ein LDAP-URI oder ein HTTP-URI ist, dann kann der Richtlinienserver die CRL-Signatur anhand eines LDAP-Host überprüfen. Geben Sie diesen LDAP-Host im Feld "CRL-Verzeichnis" an.
- Wenn Sie den Eintrag "Aus der Zertifikatserweiterung entnehmen" für das Feld "CRL-Verzeichnis" auswählen und der Verteilungspunkt ein HTTP-URI ist, dann wählen Sie diese Option nicht aus, da die Signatur nicht überprüft werden kann und die Authentifizierung fehlschlagen wird.
- Verteilungspunkte verwendenWeist den Richtlinienserver an, CRL-Verteilungspunkte (CDPs) zu verwenden, um eine CRL zu suchen. Der CDP ist eine Erweiterung im Zertifikat, der Verknüpfungen für die Suche der gleichen CRL auflistet. Die CDP-Erweiterung kann mehrere Quellen enthalten, um die gleiche CRL zu suchen, wie z. B. ein Eingangspunkt im CRL-Verzeichnis oder eine CRL-Datei, die auf einem HTTP-Server gespeichert ist.HinweisWenn Sie "Verteilungspunkte verwenden" und die Zeichenfolge "Aus der Zertifikatserweiterung entnehmen" für das Feld "CRL-Verzeichnis" auswählen, dann aktivieren Sie nicht die Option "Signatur überprüfen". Wenn im Feld "CRL-Verzeichnis" kein Verzeichnis angegeben ist, dann kann der Richtlinienserver das Zertifikat nicht abrufen, das für die Überprüfung verwendet wird.
- ZwischenspeicherTeilt dem Richtlinienserver mit, dass die CRL im Zwischenspeicher gespeichert werden soll.Wenn Sie dieses Kontrollkästchen aktivieren, dann beachtet der Richtlinienserver das Datum im Feld "Nächste Aktualisierung" in der CRL. Dieses Datum zeigt an, wann die zwischengespeicherte CRL gelöscht und durch eine aktualisierte CRL ersetzt werden soll. Der Richtlinienserver verwendet die zwischengespeicherte CRL bis zum Datum, das im Feld "Nächste Aktualisierung" angegeben ist.