diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
| commit | 74aa0bc6779af38018a03fd2cf4419fe85917904 (patch) | |
| tree | 9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/sv/sss-certmap.5.xml | |
| parent | Initial commit. (diff) | |
| download | sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip | |
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/sv/sss-certmap.5.xml')
| -rw-r--r-- | src/man/sv/sss-certmap.5.xml | 753 |
1 files changed, 753 insertions, 0 deletions
diff --git a/src/man/sv/sss-certmap.5.xml b/src/man/sv/sss-certmap.5.xml new file mode 100644 index 0000000..6e52350 --- /dev/null +++ b/src/man/sv/sss-certmap.5.xml @@ -0,0 +1,753 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>SSSD manualsidor</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Filformat och konventioner</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>SSSD:s certifikatmatchnings- och -mappningsregler</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>BESKRIVNING</title> + <para> + Manualsidan beskriver reglerna som kan användas av SSSD och andra +komponenter för att matcha X.509-certifikat och koppla dem till konton. + </para> + <para> + Varje regel har fyra komponenter, en <quote>prioritet</quote>, en +<quote>matchningsregel</quote>, en <quote>mappningsregel</quote> och en +<quote>domänlista</quote>. Alla komponenter är frivilliga. En saknad +<quote>prioritet</quote> kommer lägga till regeln med den lägsta +prioriteten. Standard-<quote>matchningsregeln</quote> kommer matcha +certifikat med digitalSignature-nyckelanvändning och +clientAuth-utökadnyckelanvändning. Om <quote>mappningsregeln</quote> är tom +kommer certifikaten sökas efter i attributet userCertificate som DER-kodade +binärer. Om inga domäner anges kommer endast den lokala domänen sökas. + </para> + <para> + För att tillåta utökningar eller helt annorluda regelstil kan +<quote>mapping</quote> och <quote>matching rules</quote> innehålla ett +prefix separerat med ett ”:” från huvuddelen av regeln. Prefixet får bara +innehålla versala ASCII-bokstäver och siffror. Om prefixet utelämnas kommer +standardtypen användas vilken är ”KRB5” för matchningsregler och ”LDAP” för +avbildningsregler. + </para> + <para> + Verktyget ”sssctl” tillhandahåller kommandot ”cert-eval-rule” för att +kontrollera om ett givet certifikat stämmer med en matchningsregel och hur +utdata från en avbildningsregel skulle se ut. + </para> + </refsect1> + + <refsect1 id='components'> + <title>REGELKOMPONENTER</title> + <refsect2 id='priority'> + <title>PRIORITET</title> + <para> + Reglerna bearbetas i prioritetsordning där ”0” (noll) indikerar den högsta +prioriteten. Ju högre talet är desto lägre är prioriteten. Ett saknat +värde indikerar den lägsta prioriteten. Regelbearbetningen stoppas när en +regel som matchar hittas och inga ytterligare regler kontrolleras. + </para> + <para> + Internt behandlas prioriteten som teckenlösa 32-bitars heltal, att använda +ett prioritetsvärde större än 4294967295 kommer orsaka ett fel. + </para> + <para> + Om flera regler har samma prioritet och bara en av de relaterade +matchningsreglerna gäller kommer denna regel att väljas. Om det finns flera +regler med samma prioritet som matchar väljs en men vilken av den är +odefinierat. För att undvika detta beteende, använd antingen olika +prioriteter eller gör matchningsregeln mer specifik, t.ex. genom att använda +olika <ISSUER>-mönster. + </para> + </refsect2> + <refsect2 id='match'> + <title>MATCHNINGSREGEL</title> + <para> + Matchningsregeln används för att välja ett certifikat som +översättningsregeln skall tillämpas på. Det använder ett system liknande det +som används av alternativet <quote>pkinit_cert_match</quote> i MIT +Kerberos. Det består av ett nyckelord omgivet av ”<” och ”>” som +identifierar en specifik del av certifikatet och ett mönster som skall +finnas för att regeln skall matcha. Flera nyckelord/mönster-par kan antingen +sammanfogas med ”&&” (och) eller ”||” (eller). + </para> + <para> + Givet likheten med MIT Kerberos är typprefixet för denna regel ”KRB5”. Men +”KRB5” kommer även vara standardvärdet för <quote>matching rules</quote> så +att ”<SUBJEKT>.*,DC=MIN,DC=DOMÄN” och +”KRB5:<SUBJEKT>.*,DC=MIN,DC=DOMÄN” är likvärdiga. + </para> + <para> + De tillgängliga alternativen är: <variablelist> + <varlistentry> + <term><SUBJECT>reguljärt-uttryck</term> + <listitem> + <para> + Med denna kan en del eller hela certifikatets subject-namn matchas. För +matchningen används POSIX syntax för utökade reguljära uttryck, se regex(7) +för detaljer. + </para> + <para> + För matchningen konverteras subject-namnet lagrat i certifikatet i DER-kodad +ASN.1 till en sträng i enlighet med RFC 4514. Detta betyder att den mest +specifika namnkomponenten kommer först. Observera att inte alla möjliga +attributnamn täcks av RFC 4514. De inkluderade namnen är ”CN”, ”L”, ”ST”, +”O”, ”OU”, ”C”, ”STREET”, ”DC” och ”UID”. Andra attributnamn kan visas olika +på olika plattformar och av olika verktyg. För att undvika förvirring är det +bäst att dessa attributnamn inte används eller täcks av ett lämpligt +reguljärt uttryck. + </para> + <para> + Exempel: <SUBJECT>.*,DC=MIN,DC=DOMÄN + </para> + <para> + Observera att tecknen ”^.[$()|*+?{\” har en särskild betydelse i reguljära +uttryck och måste skyddas med hjälp av tecknet ”\” så att de kan matchas som +vanliga tecken. + </para> + <para> + Exempel: <SUBJECT>^CN=.* \(Admin\),DC=MIN,DC=DOMÄN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>reguljärt-uttryck</term> + <listitem> + <para> + Med denna kan en del eller hela certifikatets issuer-namn matchas. Alla +kommentarer för <SUBJECT> är tillämpliga här också. + </para> + <para> + Exempel: <ISSUER>^CN=Min-CA,DC=MIN,DC=DOMÄN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>nyckelanvändning</term> + <listitem> + <para> + Detta alternativ kan användas för att specificera vilka +nyckelanvändningsvärden certifikatet skall ha. Följande värden kan användas +i en kommaseparerad lista: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Ett numeriskt värde i intervallet hos ett 32-bitars teckenlöst heltal kan +användas också för att täcka speciella användningsfall. + </para> + <para> + Exempel: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>utökad-nyckel-användning</term> + <listitem> + <para> + Detta alternativ kan användas för att specificera vilka +utökade-nyckel-användningsvärden certifikatet skall ha. Följande värden kan +användas i en kommaseparerad lista: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + Användningar av utökade nycklar som inte listas ovanför kan specificeras med +sina OID:er i punktad decimal notation. + </para> + <para> + Exempel: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>reguljärt-uttryck</term> + <listitem> + <para> + För att vara kompatibel med användningen av MIT Kerberos kommer detta +alternativ matcha Kerberos-huvudmän i PKINIT eller AD NT-Principal SAN som +<SAN:Principal> gör. + </para> + <para> + Exempel: <SAN>.*@MITT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmännen i PKINIT eller AD NT Principal SAN. + </para> + <para> + Exempel: <SAN:Principal>.*@MITT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmän från AD NT Principal SAN. + </para> + <para> + Exempel: <SAN:ntPrincipalName>.*@MITT.AD.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>reguljärt-uttryck</term> + <listitem> + <para> + Matcha Kerberos-huvudmän från PKINIT SAN. + </para> + <para> + Exempel: <SAN:ntPrincipalName>.*@MITT\.PKINIT\.RIKE + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>reguljärt-uttryck</term> + <listitem> + <para> + Ta värdet från otherName SAN-komponenten som anges av OID:n i punktad +decimal notation, tolka den som en sträng och försök att matcha den mot det +reguljära uttrycket. + </para> + <para> + Exempel: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-sträng</term> + <listitem> + <para> + Gör en binär matchning med den base64-kodade klicken mot alla otherName +SAN-komponenter. Med detta alternativ är det möjligt att matcha mot +anpassade otherName-komponenter med speciella kodningar som inte kan +hanteras som strängar. + </para> + <para> + Exempel: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på rfc822Name SAN. + </para> + <para> + Exempel: <SAN:rfc822Name>.*@epost\.domän + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på dNSName SAN. + </para> + <para> + Exempel: <SAN:dNSName>.*\.min\.dns\.domän + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>base64-sträng</term> + <listitem> + <para> + Matcha binärt värdet på x400Address SAN. + </para> + <para> + Exempel: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på directoryName SAN. Samma kommentarer som gavs för +<ISSUER> och <SUBJECT> gäller här också. + </para> + <para> + Exempel: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>base64-sträng</term> + <listitem> + <para> + Matcha binärt värdet på ediPartyName SAN. + </para> + <para> + Exempel: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på uniformResourceIdentifier SAN. + </para> + <para> + Exempel: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på iPAddress SAN. + </para> + <para> + Exempel: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>reguljärt-uttryck</term> + <listitem> + <para> + Matcha värdet på registeredID SAN som punktad decimal sträng. + </para> + <para> + Exempel: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>MAPPNINGSREGEL</title> + <para> + Mappningsregeln används för att koppla ett certifikat med ett eller flera +konton. Ett smartkort med certifikat och den matchande privata nyckeln kan +då användas för autentisering som ett av dessa konton. + </para> + <para> + För närvarande stödjer SSSD egentligen bara LDAP för att slå upp +användarinformation (undantaget är proxy-leverantören som inte är relevant +här. På grund av detta är mappningsregeln baserad på syntaxen för +LDAP-sökfilter med mallar för att lägga till certifikatinnehåll till +filtret. Det antas att filtret endast kommer innehålla de specifika data +som behövs för mappningen och att anroparen kommer bädda in dem i ett annat +filter för att göra den egentliga sökningen. Därför skall filtersträngen +börja och sluta med ”(” respektive ”)”. + </para> + <para> + I allmänhet rekommenderas det att använda attribut från certifikatet och +lägga till dem till speciella attribut till LDAP-användarobjektet. +T.ex. kan attributet ”altSecurityIdentities” i AD eller attributet +”ipaCertMapData” i IPA användas. + </para> + <para> + Detta bör hellre användas än att läsa användarspecifik data från +certifikatet som t.ex. en e-postadress och söka efter den i LDAP-servern. +Anledningen är att användarspecifika data i LDAP kan ändras av olika +anledningar vilket skulle göra sönder mappningen. Å andra sidan skulle det +vara svårt att bryta mappningen avsiktligt för en specifik användare. + </para> + <para> + Standardtypen för <quote>mapping rule</quote> är ”LDAP” vilket kan läggas +till som ett prefix till en regel som +t.ex. ”LDAP:(userCertificate;binary={cert!bin})”. Det finns en utökning som +heter ”LDAPU1” som erbjuder fler mallar för mer flexibilitet. För att +tillåta äldre versioner av detta bibliotek att ignorera utökningen måste +prefixet ”LDAPU1” användas när de nya mallarna i en <quote>mapping +rule</quote> används annars kommer den gamla versionen av biblioteket +misslyckas med ett tolkningsfel. Den nya mallarna beskrivs i avsnittet <xref +linkend="map_ldapu1"/>. + </para> + <para> + Mallarna för att lägga till certifikatdata till sökfiltret baseras på +formateringssträngar i Python-stil. De består av ett nyckelord i +krullparenteser med en valfri underkomponentspecificerare separerad av en +”.” eller ett valfritt konverterings-/formateringsalternativ separerat av +ett ”!”. Tillåtna värden är: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Mallen kommer lägga till den fullständiga utgivar-DN:en konverterad till en +sträng enligt RFC 4514. Om X.500-ordning (mest specifik RDN kommer sist) +skall ett alternativ med prefixet ”_x500” användas. + </para> + <para> + Konverteringsalternativen som börjar med ”ad_” kommer använda attribut som +de används av AD, t.ex. ”S” istället för ”ST”. + </para> + <para> + Konverteringsalternativen som börjar med ”nss_” kommer använda attributnamn +som de används av NSS. + </para> + <para> + Standard för konverteringsalternativ är ”nss”, d.v.s. attributnamn enligt +NSS och LDAP/RFC 4514-ordning. + </para> + <para> + Exempel: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Mallen kommer lägga till den fullständiga subjekt-DN:en konverterad till en +sträng enligt RFC 4514. Om X.500-ordning (mest specifik RDN kommer sist) +skall ett alternativ med prefixet ”_x500” användas. + </para> + <para> + Konverteringsalternativen som börjar med ”ad_” kommer använda attribut som +de används av AD, t.ex. ”S” istället för ”ST”. + </para> + <para> + Konverteringsalternativen som börjar med ”nss_” kommer använda attributnamn +som de används av NSS. + </para> + <para> + Standard för konverteringsalternativ är ”nss”, d.v.s. attributnamn enligt +NSS och LDAP/RFC 4514-ordning. + </para> + <para> + Exempel: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Denna mall kommer lägga till hela det DER-kodade certifikatet som än sträng +till sökfiltret. Beroende på konverteringsalternativen konverteras antingen +certifikatet till en hex-sekvens med styrtecken ”\xx” eller till base64. +Hex-strängen med styrtecken är standard och kan t.ex. användas med +LDAP-attributet ”userCertificate;binary”. + </para> + <para> + Exempel: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas antingen från +den SAN som används av pkinit eller den som används av AD. Komponenten +”short_name” representerar första delen av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas från den SAN +som används av pkinit. Komponenten ”short_name” representerar första delen +av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till Kerberos-huvudmannen som hämtas från den SAN +som används av AD. Komponenten ”short_name” representerar första delen av +huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten rfc822Name i +SAN:en, normalt en e-postadress. Komponenten ”short_name” representerar +första delen av huvudmannen före tecknet ”@”. + </para> + <para> + Exempel: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten dNSName i +SAN:en, normalt ett fullständigt kvalificerat värdnamn. Komponenten +”short_name” representerar första delen av huvudmannen före det första +”.”-tecknet. + </para> + <para> + Exempel: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten +uniformResourceIdentifier i SAN:en. + </para> + <para> + Exempel: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Denna mall kommer lägga till strängen som lagras i komponenten iPAddress i +SAN:en. + </para> + <para> + Exempel: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Denna mall kommer lägga till värdet som lagras i komponenten x400Address i +SAN:en som en hex-sekvens med styrtecken. + </para> + <para> + Exempel: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Denna mall kommer lägga till DN-strängen för värdet som lagras i komponenten +directoryName i SAN:en. + </para> + <para> + Exempel: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Denna mall kommer lägga till värdet som lagras i komponenten ediPartyName i +SAN:en som en hex-sekvens med styrtecken. + </para> + <para> + Exempel: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Denna mall kommer lägga till OID:n som lagras i komponenten registeredID i +SAN:en som en punktad decimal sträng. + </para> + <para> + Exempel: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>LDAPU1-utvidgningen</title> + <para> + Följande mall är tillgänglig när utökningen ”LDAPU1” används: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + Denna mall kommer lägga till certifikatets serienummer. Som standard kommer +det skrivas som ett hexadecimalt tal med gemena bokstäver. + </para> + <para> + Med formateringsalternativet ”!dec” kommer numret skrivas som en decimal +sträng. Den exadecimala utdatan kan skrivas med versala bokstäver +(”!hex_u”), med ett kolon som separator mellan hexadecimala byte (”!hex_c”) +eller med de hexadecimala byten i omvänd ordning +(”!hex_r”). Postfixbokstäverna kan kombineras så att t.ex. ”!hex_uc" kommer +producera en kolonseparerad hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(serial={serial_number}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + Denna mall kommer lägga till certifikatets subjektnyckel-id. Som standard +kommer det skrivas som ett hexadecimalt tal med gemena bokstäver. + </para> + <para> + Den hexadecimala utdatan kan skrivas med versala bokstäver (”!hex_u”), med +ett kolon som separator mellan hexadecimala byte (”!hex_c”) eller med de +hexadecimala byten i omvänd ordning (”!hex_r”). Postfixbokstäverna kan +kombineras så att t.ex. ”!hex_uc" kommer producera en kolonseparerad +hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(ski={subject_key_id}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!KONTROLLSUMMA[_ucr]]}</term> + <listitem> + <para> + Denna mall kommer läga till certifikatets hexadecimala kontrollsumma/hash +där KONTROLLSUMMA måste ersättas med namnet på en +kontrollsumme-/hash-funktion som stödjs av OpenSSL, t.ex. ”sha512”. + </para> + <para> + Den hexadecimala utdatan kan skrivas med versala bokstäver (”!sha512_u”), +med ett kolon som separator mellan hexadecimala byte (”!sha512_c”) eller med +de hexadecimala byten i omvänd ordning (”!sha512_r”). Postfixbokstäverna kan +kombineras så att t.ex. ”!sha512_uc" kommer producera en kolonseparerad +hexadecimal sträng med versaler. + </para> + <para> + Exempel: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + Denna mall kommer lägga till ett av komponentens attributvärden från +subjekt-DN, som standard värdet på den mest specifika komponenten. + </para> + <para> + En annan komponent kan antingen väljas via attributnamnet, +t.ex. {subject_dn_component.uid} eller via position, +t.ex. {subject_dn_component.[2]} där positiva tal börjar räknas från den +mest specifika komponenten och negativa tal börjar räkna från den minst +specifika komponenten Attributnamn och positionen kan kombineras, +t.ex. {subject_dn_component.uid[2]} vilket betyder att namnet på den andra +komponenten måste vara ”uid”. + </para> + <para> + Exempel: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.attr_namn|[tal]]}</term> + <listitem> + <para> + Denna mall kommer lägga till ett av komponentens attributvärden från +utgivar-DN, som standard värdet på den mest specifika komponenten. + </para> + <para> + Se ”subject_dn_component” för detaljer om attributnamn och +positionsangivelser. + </para> + <para> + Exempel: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + Denna mall kommer lägga till SID:n om den motsvarande utökningen +introducerad av Microsoft med OID 1.3.6.1.4.1.311.25.2 är tillgänglig. Med +selektorn ”.rid” kommer endast den sista komponenten, d.v.s RID:n, att +läggas till. + </para> + <para> + Exempel: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>DOMÄNLISTA</title> + <para> + Om domänlistan inte är tom söks användare mappade till ett givet certifikat +inte bara i den lokala domänen utan i de listade domänerna också förutsatt +att de är kända av SSSD. Domäner som SSSD inte känner till kommer +ignoreras. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> |