SSMC X.509 双因素解决方案所需的 LDAP 设置

除了常见的 LDAP 配置要求之外，双因素身份验证还需要其它 LDAP 设置。您可以在 SSMC Main Console 的“创建 LDAP 配置”和“编辑 LDAP 配置”屏幕的“高级选项”区域中找到这些设置。有关其它详细信息，请参阅HPE SSMC 联机帮助。

• 服务帐户设置 – 用于指定服务帐户用户的用户名和密码。双因素身份验证需要使用名为服务帐户的代理用户对 LDAP 用户进行身份验证和授权。服务帐户 LDAP 用户名是完整的绑定 DN。所需权限包括用户和组子树的读取权限。

• X509 身份验证 – 用于标识证书字段和 LDAP 属性。

  • Certificate 字段用于标识系统会将哪个证书字段用作用户 ID。可以是 subject 或 subjectAlt。

    • subject 字段使用主题属性。例如：证书主题 DN E=user@example.com,OU=Engineering,O=Example Corp 指示以下值之一将电子邮件地址字段用作用户标识符：subject:E* 或 subject:E*,OU,O。

    • subjectAlt 字段使用编码类型，默认为 rfc822Name。此编码类型是指电子邮件地址。

      如果编码类型是 otherName，则主体名称 (OID 1.3.6.1.4.1.311.20.2.3) 值为预期值。

  • LDAP attribute 字段用于标识哪个 LDAP 条目属性与用户标识符匹配。使用的属性随整体 LDAP 架构和用例不同而异。例如：如果将 ldap-2FA-cert-field 属性设置为 subject:E*，则用户标识符是电子邮件地址，相应的 LDAP 属性是 mail。