Credenciales de usuario en enlaces DXlink

Los servidores LDAP esperan solamente conexiones desde usuarios LDAP; por lo tanto, DXlink debe hacer que la red troncal de X.500 tenga una apariencia similar a la de un usuario LDAP normal.
cad126es
Los servidores LDAP esperan solamente conexiones desde usuarios LDAP; por lo tanto, DXlink debe hacer que la red troncal de X.500 tenga una apariencia similar a la de un usuario LDAP normal.
Se produce una complicación con la seguridad del nombre y la contraseña (credenciales simples). En DSP, un único vínculo entre diferentes agentes de sistema de directorio puede admitir cualquier número de usuarios porque la información de usuario se transfiere con cada solicitud DSP. Sin embargo, en LDAP, los vínculos no se pueden compartir, de modo que el agente de sistema de directorio de CA Directory debe configurar vínculos distintos para cada usuario LDAP.
Cuando el agente de sistema de directorio actúa como una transferencia directa de un usuario a un servidor LDAP y el nombre del usuario se encuentra en el servidor LDAP, el agente de sistema de directorio configura un vínculo independiente para ese usuario y utiliza sus credenciales en ese vínculo.
Configuración de las credenciales de usuario para las operaciones LDAP
Si se cumple alguna de las siguientes afirmaciones, se pueden establecer las credenciales utilizadas en las conexiones DXlink en el archivo de configuración del servidor LDAP:
  • El usuario que invoca la solicitud se autentica mediante un nombre distintivo que se encuentra fuera del servidor LDAP.
  • Existe más de un agente de sistema de directorio en la ruta al servidor LDAP.
    Por ejemplo:
    set dsa LDAP1 = { ... ldap-dsa-name   = <c US><o "Ace Industry"><cn "Fred Smith"> ldap-dsa-password = fredspassword ... };
El nombre del agente de sistema de directorio de LDAP debe ser una entrada válida en el servidor LDAP, ya que todas las solicitudes de la red troncal utilizan los permisos concedidos para esta entrada.
El agente de sistema de directorio del ejemplo anterior espera que se devuelvan las credenciales en la confirmación del enlace enviada por el servidor LDAP. Si no se devuelven las credenciales, se rechaza el enlace.
La referencia del conocimiento del servidor LDAP puede incluir el indicador de confianza 
no-server-credentials
, el cual indicará al agente de sistema de directorio que el servidor LDAP no devolverá las credenciales en un enlace.
Cuando se establece este indicador, el agente de sistema de directorio acepta el resultado de la confirmación de enlace devuelto desde el servidor LDAP si no incluye las credenciales, tal como se muestra en el ejemplo siguiente:
set dsa LDAP1 = { ... trust-flags = no-server-credentials ...  };
Autorización automática de operaciones LDAP
Cuando una red troncal de directorio realiza operaciones a través de DXlink, algunas operaciones en el servidor LDAP de destino pueden requerir la autorización del usuario para esa operación.
Se puede incluir el indicador de enlace 
dsp-ldap-proxy
 en el conocimiento de DXlink para que el último agente de sistema de directorio de la cadena utilice la autorización del usuario de origen para realizar operaciones en el servidor LDAP.
Esto puede comprometer la seguridad porque el servidor LDAP nunca autentica al usuario de origen.
Por lo general, el último agente de sistema de directorio de la cadena se enlaza con el servidor LDAP mediante las credenciales especificadas en los indicadores 
ldap-dsa-name
y
ldap-dsa-password
.
Si también se establece el indicador 
dsp-ldap-proxy
, se agrega el nombre distintivo del usuario que ha establecido el enlace inicial a las solicitudes posteriores siguientes:
  • search
  • compare
  • modify
  • add
  • delete
  • modify DN
Si el estado del enlace inicial es anónimo, no se agrega ningún nombre distintivo a las solicitudes subsiguientes.
El usuario proxy se transmite por el agente de sistema de directorio que encadena la operación a través de DXlink mediante la inclusión del nombre distintivo de origen del usuario que ha realizado la operación en el control de autorización del proxy LDAP en la solicitud. El servidor LDAP debe permitir al valor de configuración
configured ldap-dsa-name user
procesar todos los usuarios.
Nota:
El indicador de vínculo 
dsp-ldap-proxy
se puede utilizar solamente si el servidor LDAP de destino es compatible con el control de autorización del proxy LDAP.