
Mit den Konfigurationsoptionen des Moduls ClientCertLoginModule können Sie anhand von Regeln für die V3-Erweiterung SubjectAlternativeName des Zertifikats die Benutzerkennung ermitteln. Sie können die Benutzerauthentifizierung durch den AS Java so konfigurieren, dass sie anhand der Erweiterungseigenschaftsfelder rfc822name oder OtherName geschieht.
Weitere Informationen zu den Erweiterungen des X.509-Zertifikats und der Struktur-X.509-Zertifikate finden Sie im Internetstandard RFC 3280.
Das Modul ClientCertLoginModule verwendet den Wert für die Option Rule <n> . OID, um den Namen AttributeName zu finden, der die Benutzerkennung identifiziert. Sie geben mithilfe des Abstract Syntax Notation Object Identifier (ASN.1 OID) Werte für das Attribut an. Die Eingabe des ASN.1 OID 2.5.29.17 ermöglicht es Ihnen, die Benutzerkennung von einem Feld in der V3-Erweiterung SubjectAlternativeName des Zertifikats abzurufen.
Bei diesem Wert wählt das Modul ClientCertLoginModule als Benutzerkennung das erste Attributfeld des Typs rfc822Name innerhalb der V3-Erweiterung SubjectAlternativeName im Zertifikat.
Das Modul ClientCertLoginModule sucht in den OtherName-Attributfeldern in der Erweiterung SubjectAlternativeName im Zertifikat nach einem Attribut mit dem angegebenen ASN.1 OID. Wenn ein von Ihnen eingegebenes OtherName-Attribut mit einem passenden ASN.1 OID gefunden wird, verwendet das Modul ClientCertLoginModule seinen Wert als Benutzerkennung.
Dies ist ein obligatorischer Konfigurationsschritt. Wenn Sie keinen Wert für die Regeloption Rule <n> .AttributeName angeben, führt dies dazu, dass die für die Authentifizierung verwendeten Zertifikate abgelehnt werden.
Sie können beispielsweise die in dieser Tabelle angegebenen Werte für die Konfigurationsoptionen des Moduls ClientCertLoginModule verwenden.
| Name | Wert |
|---|---|
|
Rule1.getUserFrom |
expertMode |
|
Rule1.OID |
2.5.29.17 |
|
Rule1.AttributeName |
OID=1.3.6.1.4.1.311.20.2.3 |
Bei dieser Konfiguration ermittelt das Modul ClientCertLoginModule die Benutzerkennung aus dem Attribut OtherName in der V3-Erweiterung SubjectAlternativeName im Zertifikat. Die OID dieses Attributs lautet 1.3.6.1.4.1.311.20.2.3
Benutzer, die mit Client-Zertifikaten gegen den AS Java authentifizieren, können sich mit Benutzerkennungen anmelden, die der Regel der von Ihnen im Zertifikat konfigurierten V3-Erweiterung entsprechen.
Voraussetzungen
Die hier aufgeführten Beispiele setzen voraus, dass ein Benutzer ein X.509-Zertifikat mit folgenden Feldern bereitstellt:
CN= myuser, OU= people, OU= CA, O= mycompany, C= DE
CN= DE User CA 1, OU= DE 010, OU= CA, O= mycompany, C= DE
Benutzerkennung aus dem ersten Attributfeld des Typs rfc822Name in der V3-Erweiterung SubjectAlternativeName im Zertifikat ermitteln.
| Option | Wert |
|---|---|
|
Rule1.getUserFrom |
expertMode |
|
Rule1.OID |
2.5.29.17 |
|
Rule1.AttributeName |
rfc822Name |
Ergebnis: die authentifizierte Benutzerkennung lautet myuser@mycompany.com.
Benutzerkennung aus einem Attributfeld des Typs OtherName mit ASN.1 OID= 1.3.6.1.4.1.311.20.2.3 in der V3-Erweiterung SubjectAlternativeName im Zertifikat ermitteln.
| Option | Wert |
|---|---|
|
Rule1.getUserFrom |
expertMode |
|
Rule1.OID |
2.5.29.17 |
|
Rule1.AttributeName |
oid= 1.3.6.1.4.1.311.20.2.3 |
Ergebnis: die authentifizierte Benutzerkennung lautet t006472@mycompany.com.