Prindi

LDAP kataloogi kasutamine

LDAP päringute näited

Kataloogiteenusele tuleb päringuid esitada kasutades LDAPv3 protokolli. Teenusele ligipääs on vaba (anonymous bind, simple authenticaton). Andmevahetuse SSL/TLS krüpteerimine ja kliendid SSL autentimine ei ole toetatud.

Kataloog asub aadressil ldap.sk.ee port 389.

Alljärgnevalt kirjeldatakse detailselt kataloogi skeemi. Skeemi tundmine on vajalik kataloogist andmete otsimiseks.

LDAP-kataloogi struktuur

Kataloogipuu struktuur (isikusertifikaatide osa)
·         c=EE
     o=ESTEID
     ou=Authentication
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
     ou=Digital Signature
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
     o=ESTEID (DIGI-ID)
     ou=Authentication
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
     ou=Digital Signature
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
 
     o=ESTEID (MOBIIL-ID)
     ou=Authentication
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
     ou=Digital Signature
·         cn=MÄNNIK,MARI-LIIS,47101010033
     cn: MÄNNIK,MARI-LIIS,47101010033
     serialNumber: 47101010033
     userCertificate:
 
Harus o=ESTEID (MOBIIL-ID) on ainult riiklikud Mobiil-ID sertifikaadid. Eraõiguslikke MID sertifikaate kataloogis ei ole.
Isikusertifikaatide otsingule on seatud piirang, mis takistab mustri alusel andmete otsimist. Sertifikaadi leidmiseks kataloogist tuleb päringusse sisestada täpne cn või serialNumber välja väärtus.
Kataloogipuu struktuur (asutuse sertifikaatide osa)
Asutuse sertifikaatide LDAP struktuuris on toetatud järgnevad riigid: c=EE ; c=SE ; c=FI ; c=LV ; c=LT
·         c=EE
     st=Maakond
     l=Linn
·         o=Asutus 1 nimi
     cn=Sertifikaadi omaniku nimetus
     cn: Sertifikaadi omaniku nimetus
     serialNumber: Asutus 1 registrikood
     email: e-posti aadress
     o=Asutus 2 nimi
     cn=Sertifikaadi omaniku nimetus
·         cn: Sertifikaadi omaniku nimetus
·         serialNumber: Asutus 2 registrikood
·         email: e-posti aadress
 
 Kataloogipuu struktuur (sertifitseerijate osa):
·         c=EE
     o=AS Sertifitseerimiskeskus
     ou=Sertifitseerimisteenused
·         cn=EID-SK 2007
·         cn=EID-SK 2011
·         cn=KLASS3-SK
·         cn=KLASS3-SK 2010
     ou=ESTEID
·         cn=ESTEID-SK
·         cn=ESTEID-SK 2007
·         cn=ESTEID-SK 2011
 
Igal sertifitseeria kirjel on attribuudid cn, userCertificate ja certificateRevocationList.

LDAP päringute näited

Näidispäring Linux või Mac käsurealt isikusertifikaadi leidmiseks:

ldapsearch -x -h ldap.sk.ee -b c=EE "(serialNumber=47101010033)"
ldapsearch -x -h ldap.sk.ee -b c=EE "(cn=MÄNNIK,MARI-LIIS,47101010033)"

Näidispäring Linux või Mac käsurealt tühistusnimekirja leidmiseks kataloogist:

ldapsearch -x -h ldap.sk.ee -t -b c=EE "(cn=ESTEID-SK 2007)" certificateRevocationList

Windowsis nt Internet Explorer veebilehitsejaga (sisesta päring aadressiribale) on võimalik kasutada järgmisi päringuid:

Otsing isikukoodi järgi

ldap://ldap.sk.ee:389/c=EE??sub?(serialNumber=36603150241)

Otsing ees- ja perenime ning isikukoodi järgi

ldap://ldap.sk.ee:389/c=EE??sub?(cn=Tamm,Enn,36603150241) 

vanemate brauseri versioonide puhul kasutada:

ldap://ldap.sk.ee:389/c=EE??sub?(cn=Tamm\,Enn\,36603150241)