Получение сертификата партнера по LDAP

Получение сертификата партнера на LDAP-сервере. В этом случае партнер присылает свой идентификатор, а S-Terra Gate по значению Subject будет искать сертификат партнера на LDAP-сервере. Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.

В LSP-конфигурации

В локальной конфигурации задать структуру LDAPSettings с IP-адресом LDAP-сервера и также:

• Если прислан идентификатор типа DN:
• шлюз безопасности по Subject ищет сертификат партнера сначала в своей базе Продукта, а затем на LDAP-сервере;
• Если прислан идентификатор другого типа:
• для получения Subject сертификата партнера в локальной конфигурации задаются атрибуты RemoteID, RemoteCredential, DoNotMapRemoteIDToCert; 
• если DoNotMapRemoteIDToCert = TRUE, то Subject будет составляться из RemoteCredential;
• если DoNotMapRemoteIDToCert = FALSE, то Subject будет составляться из RemoteCredential и RemoteID;
• по составленному значению Subject шлюз безопасности ищет сертификат партнера сначала в своей базе Продукта, а затем на LDAP-сервере.

В cisco-like конфигурации

Если партнер не прислал свой сертификат по протоколу IKE, и в базе Продукта его нет, то S-Terra Gate посылает запрос на заданный LDAP-сервер в команде crl query для получения сертификата партнера. По полученному идентификатору типа dn от партнера будет осуществляться поиск сертификата. Если получен идентификатор другого типа – запрос на LDAP-сервер не посылается. Если отредактировать сконвертированную native-конфигурацию для работы с идентификаторами другого типа, как описано в предыдущем пункте, то сертификат партнера можно получить по LDAP.