
Sie können Konfigurationsoptionen für das Modul ClientCertLoginModule verwenden, um Client-Zertifikate auf Grund des Zertifikatsausstellers und/oder des Zertifikatsinhabernamens zu filtern. Sie können Client-Zertifikat-Filter als Bausteine verwenden, um Regeln für die Benutzerkennungsauthentifizierung mit Client-Zertifikaten zu definieren.
Sie konfigurieren die Verwendung von Filtern zusätzlich zur Konfiguration eines Modus, um bei der Anmeldung die Benutzerkennung aus den Zertifikatsinformationen zu ermitteln.
Wählen Sie im SAP NetWeaver Administrator die Konfigurationsoptionen für das ClientCertLoginModule aus. Weitere Informationen finden Sie unter Login-Module verwalten.
Client-Zertifikate nach Zertifikatsinhabernamen filtern
Geben Sie die Attribute des Zertifikatsinhabers als Wert der Option Rule<n>.FilterSubject des ClientCertLoginModule ein. Die Reihenfolge der Werte in der Liste ist unwichtig. Die Abgleichsprüfung für diese Regel beachtet die Groß- und Kleinschreibung.
Mit dieser Option können Sie durch Komma separierte, X.501-Standard konforme Werte vom Typ AttributeTypeAndValue angeben. Das ClientCertLoginModule verwendet die konfigurierten Werte, um bereitgestellte Zertifikate auf der Grundlage des Zertifikatsfelds SubjectName zu filtern.
Falls die mit dieser Konfigurationsoption angegebene Filterregel in einem bereitgestellten Zertifikat ein passendes Attribut findet, dann laufen folgende Schritte ab:
Der Filter ist erfolgreich.
Die entsprechende Rollennummer wird immer zur Ermittlung der Benutzerkennung verwendet.
Nachfolgende Regeln werden nicht geprüft.
Wenn Sie z.B. eine Folge mehrerer Regeln, die für die Authentifizierung zu verwenden sind, konfiguriert haben, dann verwendet das Modul ClientCertLoginModule die erste Regel der Folge, für die der Filter erfolgreich ist.
Falls einer der angegebenen Werte im Zertifikatsfeld SubjectName fehlt, dann wird die Authentifizierungsprüfung für die entsprechende Regel übergangen. Falls Sie andere Regeln konfiguriert haben, dann läuft die Prüfung mit der nächsten ClientCertLoginModule-Regelnummer weiter, und zwar in der von Ihnen konfigurierten Regelfolge.
Falls der Wert des Regelfelds Rule<n>.FilterSubject leer ist, ist die Authentifizierungsprüfung für diesen Filter erfolgreich und die Authentifizierungsprüfung läuft mit den konfigurierten Optionen für die entsprechende Regel weiter, um die Benutzerkennung zu ermitteln.
Ersetzen Sie im Rule-<n>-Präfix der ClientCertLoginModule-Konfigurationsoptionen <n>, um den Rang dieser Regel in der Reihenfolge der konfigurierten Regeln für die Client-Zertifikat-Authentifizierung anzupassen. Falls Sie eine einzige Regel verwenden, dann ersetzen Sie das Optionspräfix Rule<n> mit dem Präfix Rule1.
Bei der Konfiguration in der Tabelle unten wendet das ClientCertLoginModule den konfigurierten Filter für den Zertifikatsinhabernamen an und verwendet für die Authentifzierung nur die Zertifikate, die im Feld SubjectName die Attribute O= mycompany und OU= CA enthalten. Falls es solche Zertifikate gibt, dann ermittelt das ClientCertLoginModule die Benutzerkennung aus dem ersten Attributnamen vom Typ rfc822Name in der V3-Erweiterung SubjectAlternativeName des gefilterten Zertifikats.
Option |
Wert |
Rule1.filterSubject |
O=mycompany, OU=CA |
Rule1.getUserFrom |
expertMode |
Rule1.oid |
2.5.29.17 |
Rule1.AttributeName |
rfc822Name |
Client-Zertifikate nach Zertifikatsaussteller filtern
Geben Sie die Attribute des Zertifikatsausstellers als Wert der Option FilterIssuer des Moduls ClientCertLoginModule ein.
Die eingegebenen Werte müssen vom Typ X.501Name sein und in einem durch Kommas separierten Format vorliegen. Außerdem muss der für diese Option eingegebene Wert genau dem Feld Aussteller in den Client-Zertifikaten entsprechen, damit die Prüfung in dieser Filterregeloption erfolgreich ist.
Falls die mit dieser Konfigurationsoption angegebene Filterregel in einem bereitgestellten Zertifikat ein passendes Attribut findet, dann laufen folgende Schritte ab:
Der Filter ist erfolgreich.
Die entsprechende Rollennummer wird immer zur Ermittlung der Benutzerkennung verwendet.
Nachfolgende Regeln werden nicht geprüft.
Wenn Sie z.B. eine Folge mehrerer Regeln, die für die Authentifizierung zu verwenden sind, konfiguriert haben, dann verwendet das Modul ClientCertLoginModule die erste Regel der Folge, für die der Filter erfolgreich ist.
Falls die konfigurierten Werte von den Werten im Zertifikatsfeld Aussteller abweichen, wird die Prüfung für die entsprechende Regel übergangen. Falls Sie andere Regeln konfiguriert haben, dann läuft die Prüfung mit der nächsten ClientCertLoginModule-Regelnummer weiter, und zwar in der von Ihnen konfigurierten Regelfolge.
Falls der Wert des Regelfelds FilterIssuer leer ist, wird die Authentifzierungsprüfung für die entsprechende Regel übergangen und das nächste von Ihnen konfigurierte ClientCertLoginModule wird geprüft.
Ersetzen Sie im Rule-<n>-Präfix der ClientCertLoginModule-Konfigurationsoptionen <n>, um den Rang dieser Regel in der Reihenfolge der konfigurierten Regeln für die Client-Zertifikat-Authentifizierung anzupassen. Falls Sie eine einzige Regel verwenden, dann ersetzen Sie das Optionspräfix Rule<n> mit dem Präfix Rule1.
Bei der Konfiguration in der Tabelle unten wendet das ClientCertLoginModule den konfigurierten Filter auf den Zertifikats-Aussteller an und verwendet für die Authentifizierung nur Zertifikate, deren Feld Aussteller genau CN= myCA, OU= mydept, OU= CA, O= mycompany, C= DE entspricht. Falls es solche Zertifikate gibt, ermittelt das ClientCertLoginModule die Benutzerkennung aus dem Attribut CN im Feld SubjectName des gefilterten Zertifikats.
Option |
Wert |
Rule1.filterIssuer |
CN=myCA, OU= mydept, OU= CA, O= mycompany, C= DE |
Rule1.getUserFrom |
SubjectName |
Rule1.AttributeName |
CN |
Der AS Java kann auf Grund der von Ihnen konfigurierten Filterregeln die Benutzerkennung ermitteln und Client-Zertifikate filtern.