NMAS + CRL + Universal Smart Card Logon нужен совет

[Павел Орлов aka XerX]

Господа, ситуация следующая:
- Настраивается логин в едир по сертификатам
- Сертификаты и ключи выдаются НЕ едировским CA
- Работает метод Universal Smart Card

подробностей еще много - но уже технического плана
Логин в eDir работает !!! (с этим все в порядке)

Не устраивает:
- Логин идет не по сертификату собственно, а по Certificate Subject Name
т.е. присутствие собственно сертификата пользователя в едире не обязательно.
Хочется чтобы было однозначное сопоставление сертификата пользователю (а не пользователя - Certificate Subject name - любой сертификат с таким Certificate Subject name, выданный доверенным CA)

Хочется чтобы при этом проверялись CRL (Certificate Revocation List) Которые публикуются сюда же в едир.

Из забавного - если сертификат пользователя всетаки проимпортировать в едир, а потом отозвать сертификат и опубликовать CRL в правильное место, ТО при тыке на кнопку "контроль" в поле сертификат объекта пользователь будет честная надпись "сертификат отозван", однако логиниться можно будет спокойно продолжать, т.к. привязки к сертификату нет (см. выше)

[Алексей Волков]

Метод "Universal Smart Card" проверяет CRL по протоколу OCSP, если в самом сертификате указаны ссылки на OCSP-серверы. Штатного OCSP сервера у Novell нет.
Хотя с eDirectory можно использовать вот это
http://www.novell.com/partnerguide/product/101476.html

[Павел Орлов aka XerX]

OCSP вещь конечно хорошая...
однако CRL публикуется в сам eDir и доступ к нему возможен по LDAP.
причем если ткнуть кнопку проверить сертификат, то CRL проверяется (т.е. реагирует на отзыв сертификата)

[Алексей Волков]

Я говорю вам про то, как работает метод "Universal Smart Card". Он умеет только OCSP.

[Павел Орлов aka XerX]

Тогда какой атрибут сертификата и в каком виде надо заполнить чтобы была возможность обращения к серверу OCSP ?

[Алексей Волков]

http://support.novell.com/cgi-bin/search/searchtid.cgi?10088761.htm