|
|
|
安全なプロキシ機能は、認定ユーザ(またはプロセス)が、責任を持つユーザまたはロールとして、DSA にバインドしアクセス制御の決定を導きます(たとえば、Web サーバが認証エンジンとしてディレクトリを使用する場合)。
プロキシは証明書ベースの認証を使用して、DSA にバインドします。 それらのユーザがプロキシとして(誰か他の人として動作)認められ、trust-sasl-proxy リストに含まれる識別名のリストとして DSA に識別されます。
プロキシを使用するとき、別のユーザとして動作することで、すでに持っているものよりも多くの機能を持つことはできません。 つまり、別のユーザのアイデンティティを利用して、そのユーザのすべての権限を取得できるとは限らないということです。
DSA にバインドされたら、プロキシは、エントリ cn=roles における dxProxyUser の値を新しいアイデンティティの識別名に変更することによって、アイデンティティを変更できます。 これは、新しいアイデンティティのロールを評価する効果があります。 例外は、プロキシが cn=roles の dxProxyRole の値も変更する場合です。 この場合、ロールは、ディレクトリのロール エントリにアクセスすることによってではなく、属性値から直接得られます。
エントリ cn=roles は操作上のエントリであり、それはディレクトリ情報ツリーに表示されないことを意味します。それはクエリ結果にも返されません。
プロキシがディレクトリにないユーザ(外部ユーザ)として機能できるようにするには、プロキシは、操作エントリの dxProxyUser 属性値を新しいアイデンティティの識別名に替え、同時に、dxProxyRole 属性値を新しいアイデンティティに替えます。 このインスタンスにおいて、新しいアイデンティティへの取り替え操作で提供されたロールが、直接使用されるには、以下のコマンドを設定します。
set ssl-auth-bypass-entry-check = true;
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |