pam-pkcs11-mapper
LIBPAM-PKCS11 - Mapper
cn - common name:
- prüft ob CN des Zertifikats gleich dem Login-Name ist
- netzweit - z.B. in Verbindung mit NSS-LDAP - nutzbar
- Nachteil: CN im SUBJECT des Zertifikats muss UID (Name) entsprechen, was eher nachteilig ist
digest:
- bildet einen Hash-Wert nach dem in der Konfiguration vorgegebenen Algorithmus. Dieser Wert wird vom Mapper mit hinterlegter Datenbasis vergleichen.
- schlecht netzweit einsetzbar, ähnlich lokaler passwd/shadow-Verwaltung
subject:
- nutzt das Certificate Subject und sucht in der Map-Datei nach dem Nutzer, der zu diesem Subjekt passt
- schlecht netzweit einsetzbar, siehe digest-Mapper
pwent:
- prüft ob CN des Zertifikats mit dem GECOS eines Nutzers übereinstimmt. Der Eintrag wird mit getpwent() bestimmt. Es findet also netzweit bekannte Nutzer (NSS-LDAP), wenn das GECOS-Feld richtig gesetzt ist und libnss-ldap entsprechend die Einträge bereitstellt
- Kommentar zum Nutzer muss gleich dem CN sein, der bei der Erstellung des Zertifikats-Requests angegeben wurde
- nachteilig bei netzweiten Einsatz: Name im Bereich der Universität nicht zwangsläufig eindeutig
uid:
- entspricht cn-Mapper, nur wird UID zur Nutzeridentifikation genutzt
- bei Anlegen des Zertifikat-Request mit OpenSSL muss in der openssl.cnf oder der benutzten User-Konf folgendes unter
[ req_distinguished_name ] eingetragen werden
x500UniqueIdentifier = Unique Identifier (eg, UID)
x500UniqueIdentifier_max = 64
x500UniqueIdentifier = optional
- netzweit wie cn-Mapper einsetzbar, Vorteil: extra Feld für UID wird genutzt
- Nachteil: keine weitere Nutzereinschränkung möglich, alle im System bekannten Nutzer mit gültigem Zertifikat werden zugelassen
mail:
- Zertifikat muss die X509v3 Extension "Subject Alternative Name" enthalten und dort die Email-Adresse abgelegt sein:
subjectAltName=email:xxxx
- Mapping mit lokal hinterlegtem Mapfile
- Nachteil: siehe digest-Mapper
ldap:
- Zertifikat(e) werden zum jeweiligen Nutzer aus LDAP-Server ausgelesen. Demzufolge erfolgt die Zurdnung Nutzer zu Zertikat über Eintrag auf LDAP-Server
- weitere Nutzereinschränkung oder feingranulare Authorisationsmöglichkeiten durch konfigurierbare LDAP-Filter-String möglich
- gut netzweit einsetzbar
- siehe Erweiterungen
Es existieren diverse andere Mapper, z.B. Kerberos, MS-UID, etc., die aber für den Einsatz im Umfeld, aufgrund verschiedener weiterer Anforderungen oder Einschränkungen vorerst nicht weiter untersucht werden.