Получение сертификата партнера на LDAP-сервере. В этом случае партнер присылает свой идентификатор, а S-Terra Gate по значению Subject будет искать сертификат партнера на LDAP-сервере. Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.
В LSP-конфигурации
В локальной конфигурации задать структуру LDAPSettings с IP-адресом LDAP-сервера и также:
· Если прислан идентификатор типа DN:
· шлюз безопасности по Subject ищет сертификат партнера сначала в своей базе Продукта, а затем на LDAP-сервере;
· Если прислан идентификатор другого типа:
· для получения Subject в локальной конфигурации задаются атрибуты RemoteID, RemoteCredential, DoNotMapRemoteIDToCert;
· если DoNotMapRemoteIDToCert= TRUE, то Subject будет составляться из RemoteCredential;
· если DoNotMapRemoteIDToCert= FALSE, то Subject будет составляться из RemoteCredential и RemoteID;
· по составленному значению Subject шлюз безопасности ищет сертификат партнера сначала в своей базе Продукта, а затем на LDAP-сервере.
В cisco-like конфигурации
Если партнер не прислал свой сертификат по протоколу IKE, и в базе Продукта его нет, то S-Terra Gate посылает запрос на заданный LDAP-сервер в команде crl query для получения сертификата партнера. По полученному идентификатору типа dn от партнера будет осуществляться поиск сертификата. Если получен идентификатор другого типа – запрос на LDAP-сервер не посылается. Если отредактировать сконвертированную native-конфигурацию для работы с идентификаторами другого типа, как описано в предыдущем пункте, то сертификат партнера можно получить по LDAP.