将请求转发到后端 LDAP 服务器
本部分包含用于将请求从目录代理服务器转发到后端
LDAP 服务器的各种方法的相关信息。
使用绑定重放转发请求
使用绑定重放转发请求
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
配置数据源客户端证书,以便使用客户端提供的证书通过后端 LDAP
服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
client-cred-mode:use-client-identity
使用代理授权转发请求
本部分包含的过程将使用代理授权和代理授权控件来转发请求。
使用代理授权转发请求
将数据源配置为接受版本 1 或版本 2 的代理授权控件。
例如,将数据源配置为接受版本 1 的代理授权控件。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
proxied-auth-use-v1:true
或者,将数据源配置为接受版本 2 的代理授权控件。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
proxied-auth-use-v1:false
将数据源配置为使用代理授权通过到后端 LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
client-cred-mode:use-proxy-auth
要将数据源配置为使用只有写入操作权限的代理授权来通过后端 LDAP 服务器的验证,请运行以下命令:
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
client-cred-mode:use-proxy-auth-for-write
使用代理授权控制执行只写操作时,客户端标识不会转发到 LDAP 服务器以用于读取请求。有关转发无客户端标识的请求的详细信息,请参见转发无客户端标识的请求。
使用目录代理服务器的绑定证书配置数据源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
bind-dn:DPS-bind-dn bind-pwd-file:filename
将数据源配置为启用超时。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
proxied-auth-check-timeout:value
目录代理服务器使用 getEffectiveRights 命令验证客户端 DN 是否具有代理授权的相关 ACI。结果将缓存在目录代理服务器中,并在 proxied-auth-check-timeout 过期时进行更新。
重新启动目录代理服务器实例以使更改生效(如有必要)。
有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
当请求包含代理授权控件时使用代理授权转发请求
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
将目录代理服务器配置为接受版本 1
和/或版本 2 的代理授权控件。
$ dpconf set-server-prop -h host -p port allowed-ldap-controls:proxy-auth-v1 \
allowed-ldap-controls:proxy-auth-v2
转发无客户端标识的请求
以下过程介绍如何将请求从目录代理服务器转发到后端
LDAP 服务器,而不转发客户端标识。
转发无客户端标识的请求
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
将数据源配置为使用目录代理服务器证书通过后端
LDAP 服务器的验证。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
client-cred-mode:use-specific-identity
使用目录代理服务器的绑定证书配置数据源。
$ dpconf set-ldap-data-source-prop -h host -p port data-source-name \
bind-dn:bind-dn-of-DPS bind-pwd-file:filename
重新启动目录代理服务器实例以使更改生效(如有必要)。
有关重新启动目录代理服务器的信息,请参见重新启动目录代理服务器。
以备用用户身份转发请求
本部分包含有关如何以备用用户身份转发请求的信息。
配置远程用户映射
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
启用要以备用用户身份转发的操作。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
指定包含远程映射 ID 的属性名称。
$ dpconf set-server-prop -h host -p port \
remote-user-mapping-bind-dn-attr:attribute-name
将目录代理服务器配置为远程映射客户端
ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:true
配置默认映射。
$ dpconf set-server-prop -h host -p port \
user-mapping-default-bind-dn:default-mapping-bind-dn \
user-mapping-default-bind-pwd-file:filename
如果在远程 LDAP 服务器上找不到映射的标识,则客户端标识将映射到默认标识。
在远程 LDAP 服务器上的客户端条目中配置用户映射。
有关在目录服务器中配置用户映射的信息,请参见代理授权。
配置本地用户映射
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
启用要以备用用户身份转发的操作。
$ dpconf set-server-prop -h host -p port enable-user-mapping:true
确保未将目录代理服务器配置为远程映射客户端
ID。
$ dpconf set-server-prop -h host -p port enable-remote-user-mapping:false
配置默认映射。
$ dpconf set-server-prop -h host -p port \
user-mapping-default-bind-dn:default-mapping-bind-dn \
user-mapping-default-bind-pwd-file:filename
如果远程 LDAP 服务器上的映射失败,客户端 ID 将映射到此 DN。
如果允许未经验证的用户执行操作,请为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \
user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \
user-mapping-anonymous-bind-pwd-file:filename
有关如何允许未经验证的用户执行操作的信息,请参见配置匿名访问。
配置客户端 ID。
$ dpconf set-user-mapping-prop -h host -p port \
user-bind-dn:client-bind-dn user-bind-pwd-file:filename
配置备用用户 ID。
$ dpconf set-user-mapping-prop -h host -p port \
mapped-bind-dn:alt-user-bind-dn mapped-bind-pwd-file:filename
为匿名客户端配置用户映射
可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
为未经验证的客户端配置映射。
$ dpconf set-server-prop -h host -p port \
user-mapping-anonymous-bind-dn:anonymous-mapping-bind-dn \
user-mapping-anonymous-bind-pwd-file:filename
将在目录代理服务器中配置匿名客户端映射,因为远程
LDAP 服务器中不包含匿名客户端条目。
有关允许未经验证的用户执行操作的信息,请参见配置匿名访问。