Администрирование в вопросах и ответах

       

Пример просмотра сертификата Web клиента, во вторичном Domino Directory


В этом примере, организация Acme использует Х.509 сертификаты, чтобы идентифицировать Web клиентов, которые соединяются с Domino Web сервером, Web/West/Acme. Acme регистрирует Web пользователей и их сертификаты, в Directory Webusers Directory на сервере Directory-W/West/Acme. Имена Web пользователей находятся в формате ou=Web/ ou=West/ o=Acme. Acme реплицирует Webusers Directory на Web/West/Acme сервер.

Acme запускает задачу DirCat, для строительства первичного Directory Catalog на сервере Directory-W/West/Acme. Конфигурация каталога включает Webusers Directory и AcmeWest Directory. Acme реплицирует и устанавливает Directory Catalog, на сервер Web/West/Acme.

Acme создает документ Directory Assistance для Webusers Directory, в базе данных Directory Assistance и включает в документ правило ou=/ ou=/ ou=Web/ ou=West/ o=Acme/ c=*, которому “доверяет” для идентификации. Это правило определяет, что только пользователи, которые зарегистрированы в Directory, с именем в этом формате, могут быть идентифицированы. В секции Replicas, документа Directory Assistance, Acme определяет две реплики Webusers Directory: реплика на Directory-W/West/Acme и на сервере Web/West/Acme.

Когда Web пользователь Alan Kenny, соединяется с Web/West/Acme. Сервер делает следующее:

*                    Пробует найти имя Alan Kenny и Х.509 сертификат клиента в первичном Domino Directory, AcmeWest Directory, но не находит имя.

*                    Находит имя Alan Kenny в реплике Directory Catalog.

*                    Используя информацию из каталога, решает, что запись для Alan Kenny/Web/West/Acme в каталоге получена из реплики Webusers Directory на Directory-W/West/Acme.

*                    Используя информацию из каталога, просматривает документ Directory Assistance, для Webusers Directory в реплике базы данных Directory Assistance.


*                    Видит правило ou=/ ou=/ ou=Web/ ou=West/ o=Acme/ c=*, в документе Directory Assistance, которому “доверяют” для идентификации и решает, что имя Alan Kenny/Web/West/Acme соответствует этому правилу.
*                    Находит, что в одной из реплик Webusers Directory, указанная в документе Directory Assistance,  есть запись для Alan Kenny.
*                    Использует реплику Webusers Directory на Web/West/Acme сервере, указанную в документе Directory Assistance, чтобы найти Person документ, для Alan Kenny, который содержит иерархическое имя Alan Kenny/Web/West/Acme.
*                    Сравнивает Х.509 сертификат, сохраненный в Webusers Directory, чтобы проверить сертификат.

Рис. 91 Логика поиска сертификата Web пользователя, сервером, во вторичном Domino Directory.

Содержание раздела