Informations d'identification de l'utilisateur dans les liaisons DXlink

Les serveurs LDAP reçoivent des connexions d’utilisateurs LDAP uniquement ; par conséquent, DXlink doit rendre la dorsale X.500 similaire à un utilisateur LDAP ordinaire.
cad140fr
Les serveurs LDAP reçoivent des connexions d’utilisateurs LDAP uniquement ; par conséquent, DXlink doit rendre la dorsale X.500 similaire à un utilisateur LDAP ordinaire.
Une complication survient avec la sécurité liée au nom et au mot de passe (informations d’identification simples). Avec DSP, un seul lien entre les DSA peut prendre en charge un nombre indifférent d’utilisateurs, car les informations d’utilisateur sont transmises avec chaque demande DSP. Toutefois, dans LDAP, les liens ne peuvent pas être partagés, le DSA CA Directory doit donc configurer différents liens pour chaque utilisateur LDAP.
Lorsque le DSA agit comme une passerelle directe entre un utilisateur et un serveur LDAP et que ce serveur LDAP comprend le nom de l’utilisateur, le DSA configure un lien différent pour cet utilisateur et utilise ses informations d’identification dans ce lien.
Définition des informations d’identification de l’utilisateur pour des opérations LDAP
Si l'une des conditions suivantes est sasisfaite, vous pouvez définir les informations d’identification utilisées dans les connexions DXlink dans le fichier de configuration du serveur LDAP :
  • L’utilisateur qui appelle la demande est authentifié à l’aide d’un nom unique hors du serveur LDAP.
  • Le chemin d’accès au serveur LDAP comprend plusieurs DSA.
    Exemple :
    set dsa LDAP1 = { ... ldap-dsa-name   = <c US><o "Ace Industry"><cn "Fred Smith"> ldap-dsa-password = fredspassword ... };
Le nom du DSA LDAP doit être une entrée valide dans le serveur LDAP, car toutes les demandes à partir de la dorsale utilisent les autorisations accordées à cette entrée.
Dans l’exemple précédent, le DSA suppose que les informations d’identification seront renvoyés avec la confirmation de liaison envoyée par le serveur LDAP. Si aucune information d’identification n’est renvoyée, la liaison sera rejetée.
La référence de connaissances du serveur LDAP peut inclure l'indicateur de fiabilité 
no-server-credentials
, ce qui indique au DSA que le serveur LDAP ne renverra aucune information d’identification avec une liaison.
Lorsque cet indicateur est défini, le DSA accepte un résultat de confirmation de liaison renvoyé par le serveur LDAP s'il n’inclut aucune information d’identification, comme dans l’exemple suivant :
set dsa LDAP1 = { ... trust-flags = no-server-credentials ...  };
Autorisation automatique des opérations LDAP
Lorsqu’une dorsale d'annuaires effectue des opérations via DXlink, certaines opérations sur le serveur LDAP cible peuvent requérir l'autorisation de l’utilisateur.
Vous pouvez inclure l’indicateur de liaison
proxy-ldap-dsp
dans les connaissances du DXlink pour indiquer au dernier DSA dans la chaîne d'utiliser l’autorisation de l'utilisateur d'origine pour effectuer des opérations sur le serveur LDAP.
 : Cela peut compromettre la sécurité, car l’utilisateur d’origine n’est jamais authentifié par le serveur LDAP.
En général, le dernier DSA dans la chaîne est lié au serveur LDAP à l'aide des informations d’identification spécifiées dans les indicateurs
ldap-dsa-name
et
ldap-dsa-password
.
Si l’indicateur
dsp-ldap-proxy
est également défini, le nom unique de l’utilisateur ayant effectué la liaison initiale sera ajouté aux demandes ultérieures suivantes :
  • rechercher
  • comparer
  • modifier
  • add
  • suppression
  • modifier le nom unique
Si la liaison initiale était anonyme, aucun nom unique ne sera ajouté aux demandes ultérieures.
L’utilisateur du proxy est transmis par le DSA qui lie l’opération via DXlink en incluant le nom unique d'origine de l’utilisateur effectuant l’opération dans le contrôle d’autorisation du proxy LDAP dans la demande. Le serveur LDAP doit autoriser l’
utilisateur ldap-dsa-name configuré
, l’autorité pour les connexions proxy de tous les utilisateurs.
Remarque
 : L'indicateur de liaison
dsp-ldap-proxy
peut uniquement être utilisé si le serveur LDAP cible prend en charge le contrôle d’autorisation de proxy LDAP.