Show TOC

Auf V3-Erweiterungen im Client-Zertifikat basierende Regeln verwendenLocate this document in the navigation structure

Verwendung

Mit den Konfigurationsoptionen des Moduls ClientCertLoginModule können Sie anhand von Regeln für die V3-Erweiterung SubjectAlternativeName des Zertifikats die Benutzerkennung ermitteln. Sie können die Benutzerauthentifizierung durch den AS Java so konfigurieren, dass sie anhand der Erweiterungseigenschaftsfelder rfc822name oder OtherName geschieht.

Weitere Informationen zu den Erweiterungen des X.509-Zertifikats und der Struktur-X.509-Zertifikate finden Sie im Internetstandard RFC 3280.

Vorgehensweise
  1. Wählen Sie im SAP NetWeaver Administrator (NWA) die Konfigurationsoptionen für das ClientCertLoginModule aus. Weitere Informationen finden Sie unter Login-Module verwalten.
  2. Geben Sie expertMode als Wert für die Option Rule <n> . getUserFrom des ClientCertLoginModule an.
  3. Geben Sie 2.5.29.17 als Wert für die Option Rule <n> . OID des Moduls ClientCertLoginModule ein.
    Hinweis

    Das Modul ClientCertLoginModule verwendet den Wert für die Option Rule <n> . OID, um den Namen AttributeName zu finden, der die Benutzerkennung identifiziert. Sie geben mithilfe des Abstract Syntax Notation Object Identifier (ASN.1 OID) Werte für das Attribut an. Die Eingabe des ASN.1 OID 2.5.29.17 ermöglicht es Ihnen, die Benutzerkennung von einem Feld in der V3-Erweiterung SubjectAlternativeName des Zertifikats abzurufen.

  4. Geben Sie einen Wert für die Option Rule <n> .AttributeName des Moduls ClientCertLoginModule ein, um das Attribut der Zertifikatserweiterung SubjectAlternativeName zu ermitteln, die die Benutzerkennung identifiziert. Sie können einen der folgenden Werte verwenden:
    • rfc822Name

      Bei diesem Wert wählt das Modul ClientCertLoginModule als Benutzerkennung das erste Attributfeld des Typs rfc822Name innerhalb der V3-Erweiterung SubjectAlternativeName im Zertifikat.

    • OID=< ASN.1 OID >

      Das Modul ClientCertLoginModule sucht in den OtherName-Attributfeldern in der Erweiterung SubjectAlternativeName im Zertifikat nach einem Attribut mit dem angegebenen ASN.1 OID. Wenn ein von Ihnen eingegebenes OtherName-Attribut mit einem passenden ASN.1 OID gefunden wird, verwendet das Modul ClientCertLoginModule seinen Wert als Benutzerkennung.

      Hinweis

      Dies ist ein obligatorischer Konfigurationsschritt. Wenn Sie keinen Wert für die Regeloption Rule <n> .AttributeName angeben, führt dies dazu, dass die für die Authentifizierung verwendeten Zertifikate abgelehnt werden.

      Tipp

      Sie können beispielsweise die in dieser Tabelle angegebenen Werte für die Konfigurationsoptionen des Moduls ClientCertLoginModule verwenden.

      Name Wert

      Rule1.getUserFrom

      expertMode

      Rule1.OID

      2.5.29.17

      Rule1.AttributeName

      OID=1.3.6.1.4.1.311.20.2.3

      Bei dieser Konfiguration ermittelt das Modul ClientCertLoginModule die Benutzerkennung aus dem Attribut OtherName in der V3-Erweiterung SubjectAlternativeName im Zertifikat. Die OID dieses Attributs lautet 1.3.6.1.4.1.311.20.2.3

  5. Informationen zur Verwendung von Regeln zum Filtern der gelieferten Client-Zertifikate finden Sie unter Regeln zum Filtern von Client-Zertifikaten definieren.
  6. Ersetzen Sie im Rule-<n>-Präfix der ClientCertLoginModule-Konfigurationsoptionen <n>, um den Rang dieser Regel in der Reihenfolge aller konfigurierten Regeln für die Client-Zertifikat-Authentifizierung anzupassen. Falls Sie eine einzige Regel verwenden, dann ersetzen Sie Rule <n> durch Rule1.
  7. Fügen Sie das Modul ClientCertLoginModule zu den Login-Modul-Stacks der Anwendungen hinzu, um Benutzer auf Grund der V3-Erweiterung im Client-Zertifikat zu authentifzieren.
Ergebnis

Benutzer, die mit Client-Zertifikaten gegen den AS Java authentifizieren, können sich mit Benutzerkennungen anmelden, die der Regel der von Ihnen im Zertifikat konfigurierten V3-Erweiterung entsprechen.

Beispiel

Voraussetzungen

Die hier aufgeführten Beispiele setzen voraus, dass ein Benutzer ein X.509-Zertifikat mit folgenden Feldern bereitstellt:

  • SubjectName

    CN= myuser, OU= people, OU= CA, O= mycompany, C= DE

  • Aussteller

    CN= DE User CA 1, OU= DE 010, OU= CA, O= mycompany, C= DE

  • Erweiterung SubjectAlternativeName mit folgenden Attributen:
    • otherName-Attribute mit den Feldern OID= 1.3.6.1.4.1.311.20.2.3 und Wert = t006472@mycompany.com
    • rfc822Name = myuser@mycompany.com

Benutzerkennung aus dem ersten Attributfeld des Typs rfc822Name in der V3-Erweiterung SubjectAlternativeName im Zertifikat ermitteln.

Option Wert

Rule1.getUserFrom

expertMode

Rule1.OID

2.5.29.17

Rule1.AttributeName

rfc822Name

Ergebnis: die authentifizierte Benutzerkennung lautet myuser@mycompany.com.

 

Benutzerkennung aus einem Attributfeld des Typs OtherName mit ASN.1 OID= 1.3.6.1.4.1.311.20.2.3 in der V3-Erweiterung SubjectAlternativeName im Zertifikat ermitteln.

Option Wert

Rule1.getUserFrom

expertMode

Rule1.OID

2.5.29.17

Rule1.AttributeName

oid= 1.3.6.1.4.1.311.20.2.3

Ergebnis: die authentifizierte Benutzerkennung lautet t006472@mycompany.com.