Amministrazione del sistema Documentazione IBM HTTP Server

Autenticazione di client

IBM HTTP Server supporta tre livelli di autenticazione client e due tipi di controllo di accesso basati sulle informazioni della certificazione client. In questa sezione viene illustrata l'impostazione del livello di autenticazione del client desiderato e il tipo di controllo di accesso insieme alle note associate Nota:. I collegamenti alle informazioni correlate vengono visualizzati alla fine di questa sezione.

Impostazione dei livelli di autenticazione del client

Impostare il livello di autenticazione del client con la direttiva SSLClientAuth:

È possibile aggiungere un secondo argomento, crl, da utilizzare come un CRL (Certificate Revocation List). Ad esempio SSLClientAuth 1 crl

Selezione del livello Obbligatorio

Se viene selezionato il livello Obbligatorio dell'autenticazione client, il server di protezione richiede un certificato da tutti i client che effettuano una richiesta HTTPS. Il server convalida i client controllando il certificato root CA attendibile nel database di chiavi locale. Un certificato root della CA affidabile è un certificato firmato da un'autorità di certificazione indicata come una CA affidabile sul server.

Se il client dispone di un certificato valido, il server stabilisce una connessione sicura. Il server nega la richiesta se il certificato del client è scaduto oppure se è firmato da un'autorità di certificazione non indicata sul server come una di quelle affidabili.

Nota:

L'autenticazione del client SSL aumenta il traffico della rete.

Selezione del livello Facoltativo

Se si sceglie il livello Facoltativo dell'autenticazione del client, il server richiede un certificato client. Se il client non fornisce un certificato, il server continua a stabilire una connessione sicura. Il server nega la richiesta se il certificato del client è scaduto oppure se è firmato da un'autorità di certificazione non indicata sul server come una di quelle affidabili.

Nota:

L'autenticazione del client SSL aumenta il traffico della rete.

Selezione di Nessuno

Se viene selezionato nessuno, il server non richiede certificati dai client.

Specifica del CRL (certificate revocation list) come Secondo argomento

Specifica del CRL (certificate revocation list) come un secondo argomento affinché la direttiva SSLClientAuth abiliti la verifica CRL. Non è possibile abilitare il CRL se è stato selezionato "Nessuno" come primo argomento.

Impostazione dei tipi di controllo di accesso

Impostare il tipo di controllo di accesso con le direttive SSLFakeBasicAuth, o SSLClientAuthRequire.

Nota:

La direttiva SSLClientAuthRequire è il tipo di autenticazione del client preferito.

Direttiva SSLFakeBasicAuth

Non si consiglia di utilizzare la direttiva SSLFakeBasicAuth. I file di password creati per essere utilizzati con il codice SSL Apache, oppure con il mod_ssl e Apache, non sono compatibili con IBM HTTP Server, poiché i formati dei DN (Distinguished Name) sono differenti.

Il tipo SSLFakeBasicAuth fornisce un metodo semplice per l'autenticazione del client. Se viene specificato SSLFakeBasicAuth, la password ("password") e il Nome distinto (DN, Distinguished Name) del certificato client sono codificati su Base64 e posizionati nell'intestazione dell'autorizzazione. Per prima cosa, collocare il modulo mod_ibm_ssl nel relativo elenco, in modo che, la password e l'ID utente fittizi, dei moduli di autenticazione, siano disponibili. Il supporto di autenticazione di base all'interno di un host virtuale specificato non funziona in quanto il DN e la password del client, password, sovrascrivono l'ID utente e la password forniti da un utente.

Per visualizzare il Nome distinto (DN, Distinguished Name) di un certificato client, creare un programma CGI per stampare la variabile di ambiente SSL_CLIENT_DN.

Direttiva SSLClientAuthGroup

Questa direttiva permette di specificare la stringa logica degli attributi specifici di uno certificato client e raggrupparli come singola unità. Ciò abilita una determinata serie di attributi del certificato client ad accedere a più oggetti sul server.

La sintassi è SSLCLientAuthGroup (nome) (espressione)

Utilizzare le parentesi per unire più paragoni. Se il valore dell'attributo contiene un carattere non alfanumerico, delimitare il valore con apici.

Di seguito sono riportati gli attributi validi:

     CommonName 
     Country 
     Email 
     Group
     IssuerCommonName 
     IssuerCountry
     IssuerEmail 
     IssuerLocality 
     IssuerOrg 
     IssuerOrgUnit 
     IssuerStateOrProvince 
     Locality 
     Org 
     OrgUnit 
     StateOrProvince 

Di seguito sono riportati anche i nomi brevi validi:

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

Direttiva SSLClientAuthRequire

Il supporto più ampio di SSLClientAuthRequire consente al webmaster di definire espressioni logiche contenenti gli attributi x509. I confronti tra queste espressioni logiche e le informazioni sui certificati client determinano l'accesso all'oggetto. Prima dell'elaborazione, GSKit convalida il certificato client per assicurare che il certificato è stato firmato da una CA affidabile.

La direttiva SSLClientAuthRequire consente al webmaster di creare un'espressione logica costituita da controlli di attributi collegati con AND, OR e NOT. È inoltre possibile utilizzare parentesi. Ad esempio:

SSLClientAuthRequire (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM
significa che solo i certificati client che contengono il nome di Federico Verdi o Giovanni Volpe e una società IBM possono accedere all'oggetto.

Gli unici attributi di paragone validi sono uguale o non uguale (= and !=). È possibile collegare ogni controllo di attributo con AND, OR o NOT (anche &&, ||, and !). Quando si specificano più direttive SSLClientAuthRequire per una risorsa, questa agisce come se operatori booleani AND uniscano i valori.

Utilizzare le parentesi per unire più paragoni. Se il valore dell'attributo contiene un carattere non alfanumerico, delimitare il valore con apici.

Di seguito sono riportati gli attributi validi:

     CommonName 
     Country 
     Email 
     IssuerCommonName 
     IssuerCountry
     IssuerEmail 
     IssuerLocality 
     IssuerOrg 
     IssuerOrgUnit 
     IssuerStateOrProvince 
     Locality 
     Org 
     OrgUnit 
     StateOrProvince 

Di seguito sono riportati anche i nomi brevi validi:

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

 
Informazioni correlate

     (Torna all'inizio)