问题描述
我有一个使用V1.4的Hyperledger Fabric区块链,我通过LDAP连接到组织的Active Directory,并且希望能够从我的广告中更改用户的角色。
基本上,我需要两个角色:用户和管理员,用户可以运行合同,而管理员可以安装和升级合同。
所以我想做的就是在fabric-ca-server-config.yaml的ldap配置中添加一个转换器,以及将我的“ memberOf” AD属性更改为hf.Registrar.Roles的映射,如下所示:
ldap:
url: ldap://CN=USER,DC=ORG1,DC=com:password@ldapserver:389/DC=ORG1,DC=com
userfilter: (userPrincipalName=%s)
attribute:
names: ['userPrincipalName','memberOf']
converters:
- name: hf.Revoker
value: attr("userPrincipalName") =~ "revoker*"
- name: hf.Registrar.Roles
value: map(attr("memberOf"),"roles")
maps:
roles:
- name: CN=BC-CLIENT,DC=com
value: client
- name: CN=BC-USER,DC=com
value: user
- name: CN=BC-ADMIN,DC=com
value: admin
- name: CN=BC-PEER,DC=com
value: peer
- name: CN=BC-ORDERER,DC=com
value: orderer
到目前为止,很好,我能够使用如下所示的nodejs来注册用户:
const ca = new FabricCAServices(caInfo.url,{ trustedRoots: caTLSCACerts,verify: false },caInfo.caName);
const enrollment = await ca.enroll({
enrollmentID: adminId,enrollmentSecret: adminSecret,});
const identity = X509WalletMixin.createIdentity('Org1MSP',enrollment.certificate,enrollment.key.toBytes());
await wallet.import(adminId,identity);
使用此用户,我可以查询和调用合同,但是当我尝试安装合同时,出现以下错误:
install proposal was bad Error: access denied for [install]: Failed verifying that proposal's creator satisfies local MSP principal during channelless check policy with policy [Admins]: [The identity is not an admin under this MSP [Org1MSP]: The identity does not contain OU [ADMIN],MSP: [Org1MSP]],Error: access denied for [install]: Failed verifying that proposal's creator satisfies local MSP principal during channelless check policy with policy [Admins]: [The identity is not an admin under this MSP [Org1MSP]: The identity does not contain OU [ADMIN],MSP: [Org1MSP]]
我可以看到该映射在CA日志中运行良好,但随后我猜hf.Registrar.Roles不是我所需的属性。
我该怎么做?
谢谢
更新:
ldap:
attribute:
converters:
- name: OU
value: map(attr("memberOf"),"roles")
我可以看到转换是在CA中完成的。
Evaluating expression for attribute 'OU' from LDAP user 'user@company.com'
Values for LDAP attribute 'memberOf' are '[CN=BC-CLIENT,DC=com CN=BC-USER,DC=com CN=BC-ADMIN,DC=com]'
Evaluated expression for attribute 'OU'; parms: map[CN=USER,DC=com affiliation:[]]; result: client,admin,user
但是我仍然遇到相同的错误,因此我不能将ldap属性映射到证书吗?
这也是我的NodeOU
NodeOUs:
Enable: true
ClientOUIdentifier:
Certificate: cacerts/ca.org1.example.com-cert.pem
OrganizationalUnitIdentifier: client
PeerOUIdentifier:
Certificate: cacerts/ca.org1.example.com-cert.pem
OrganizationalUnitIdentifier: peer
AdminOUIdentifier:
Certificate: cacerts/ca.org1.example.com-cert.pem
OrganizationalUnitIdentifier: admin
OrdererOUIdentifier:
Certificate: cacerts/ca.org1.example.com-cert.pem
OrganizationalUnitIdentifier: orderer
谢谢
感谢Yacov的帮助,我发现从LDAP创建的证书始终会获得客户端OU,您不能更改它,但是它也具有来自LDAP的用户的OU,因此您可以更改NodeOUs值并映射他们对您组织的OU来说,对我来说是行不通的,因为我只能更改用户的memberOf而不是OU。
谢谢!
解决方法
证书需要具有定义管理员的OU。查看您的MSP文件夹(对等方-MSPCONFIGPATH)中的config.yaml,看看OU定义了管理员。
您还可以尝试将您使用的证书放入对等MSP的admincerts文件夹中,它也应该使其成为管理员。