ldapRegistry - Реестр пользователей LDAP (ldapRegistry)

Свойства конфигурации реестра пользователей LDAP.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
hoststringАдрес сервера LDAP (IP-адрес или имя DNS).
portintПорт сервера LDAP.
baseDNstringБазовое отличительное имя (DN) службы каталогов, определяющее исходную точку поиска службы каталогов на сервере LDAP.
ldapType
  • IBM SecureWay Directory Server
  • Microsoft Active Directory
  • Novell eDirectory
  • IBM Lotus Domino
  • Netscape Directory Server
  • Custom
  • Sun Java System Directory Server
  • IBM Tivoli Directory Server
Тип сервера LDAP, с которым устанавливается соединение.
IBM SecureWay Directory Server
Настроить реестр LDAP для IBM SecureWay Directory Server.
Microsoft Active Directory
Настроить реестр LDAP для Microsoft Active Directory.
Novell eDirectory
Настроить реестр LDAP для Novell eDirectory.
IBM Lotus Domino
Настроить реестр LDAP для IBM Lotus Domino.
Netscape Directory Server
Настроить реестр LDAP для Netscape Directory Server.
Custom
Настроить реестр LDAP для пользовательского сервера LDAP.
Sun Java System Directory Server
Настроить реестр LDAP для Sun Java System Directory Server.
IBM Tivoli Directory Server
%ldapType.ibm_dir_server
realmstringLdapRegistryИмя области, представляющей реестр пользователей.
bindDNstringОтличительное имя (DN) сервера приложений, применяемое для связывания со службой каталогов.
bindPasswordПароль с обратимым шифрованием (строка)Пароль для DN связывания. Это значение может храниться как зашифрованное или незашифрованное. Рекомендуется зашифровать пароль. Для этого используется утилита securityUtility с параметром encode.
ignoreCasebooleantrueВыполнить идентификацию без учета регистра.
recursiveSearchbooleanfalseПозволяет выполнить поиск во вложенных группах. Выберите эту опцию только в том случае, если сервер LDAP не поддерживает рекурсивный поиск на сервере.
reuseConnectionbooleantrueРазрешает серверу приложений повторно использовать соединение LDAP.
sslEnabledbooleanfalseУказывает, можно ли использовать соединение SSL с сервером LDAP.
sslRefСсылка на элемент ssl верхнего уровня (строка).ИД конфигурации SSL для подключения к серверу LDAP с поддержкой SSL.
searchTimeoutПериод (с точностью до миллисекунды)1mМаксимальное время ожидания ответа сервера LDAP, по истечении которого запрос будет отменен. Эквивалентен тайм-ауту чтения после установки соединения. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
connectTimeoutПериод (с точностью до миллисекунды)1mМаксимальное время установки соединения с сервером LDAP. По истечении этого времени программа выводит сообщение об ошибке в протокол. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
certificateMapMode
  • EXACT_DN
  • CERTIFICATE_FILTER
Задает способ связи сертификатов x.509 с каталогом LDAP: EXACT_DN или CERTIFICATE_FILTER. Укажите CERTIFICATE_FILTER, чтобы связывать с помощью выбранного фильтра сертификатов.
EXACT_DN
Программа пытается войти путем преобразования значения PrincipalName в сертификате X.509 в точное отличительное имя (DN) в хранилище. Если соответствующая сущность найдена, вход успешен. Если соответствующая сущность не найдена, вход выполнить не удается, и программа возвращает ошибку, говорящую о том, что сущность не найдена.
CERTIFICATE_FILTER
Программа пытается войти, используя свойство преобразования фильтра сертификата для фильтра LDAP. Если найдена одна соответствующая сущность, вход успешен. Если соответствующая сущность не найдена, вход выполнить не удается, и программа возвращает ошибку. Если найдено несколько соответствующих сущностей, вход выполнить не удается из-за неоднозначности результата поиска, и программа возвращает ошибку.
certificateFilterstringЗадает свойство связи фильтра сертификатов для фильтра LDAP. Этот фильтр применяется для связи атрибутов сертификата клиента с записями в реестре LDAP. Например, фильтр может быть задан как uid=${SubjectCN}.
activedFiltersRefСсылка на элемент activedLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP Microsoft Active Directory.
customFiltersRefСсылка на элемент customLdapFilterProperties верхнего уровня (строка).Список пользовательских фильтров LDAP.
domino50FiltersRefСсылка на элемент domino50LdapFilterProperties верхнего уровня (строка).Список фильтров LDAP IBM Lotus Domino.
edirectoryFiltersRefСсылка на элемент edirectoryLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP Novell eDirectory.
idsFiltersRefСсылка на элемент idsLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP IBM Tivoli Directory Server.
iplanetFiltersRefСсылка на элемент iplanetLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP Sun Java System Directory Server.
netscapeFiltersRefСсылка на элемент netscapeLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP Netscape Directory Server.
securewayFiltersRefСсылка на элемент securewayLdapFilterProperties верхнего уровня (строка).Список фильтров LDAP IBM SecureWay Directory Server.
referral
  • ignore
  • follow
ignoreНастройка поведения переадресации LDAP. По умолчанию переадресация игнорируется.
ignore
Игнорировать переадресацию LDAP.
follow
Обрабатывать переадресацию LDAP.
returnToPrimaryServerbooleantrueБулевское значение, которое указывает, должен ли поиск выполняться для основного сервера.

failoverServers

Список резервных серверов LDAP.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringСвойства конфигурации резервных серверов LDAP. Укажите их как резервные сервера для первичных серверов LDAP. Например <failoverServers name="failoverLdapServers"><server host="myfullyqualifiedhostname1" port="389"/><server host="myfullyqualifiedhostname2" port="389"/></failoverServers>.

failoverServers > server

Свойства конфигурации резервного сервера LDAP.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
hoststringИмя хоста сервера LDAP (IP-адрес или имя DNS).
portintПорт резервного сервера LDAP.

activedFilters

Список фильтров LDAP Microsoft Active Directory.

NameTypeDefaultDescription
userFilterstring(&(sAMAccountName=%v)(objectcategory=user))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(objectcategory=group))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstringuser:sAMAccountNameФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringmemberOf:memberФильтр LDAP для связи имен пользователей и групп.

customFilters

Список пользовательских фильтров LDAP.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstring*:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMemberФильтр LDAP для связи имен пользователей и групп.

domino50Filters

Список фильтров LDAP IBM Lotus Domino.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=Person))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(objectclass=dominoGroup))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstringperson:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringdominoGroup:memberФильтр LDAP для связи имен пользователей и групп.

edirectoryFilters

Список фильтров LDAP Novell eDirectory.

NameTypeDefaultDescription
userFilterstring(&(cn=%v)(objectclass=Person))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(objectclass=groupOfNames))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstringperson:cnФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringgroupOfNames:memberФильтр LDAP для связи имен пользователей и групп.

idsFilters

Список фильтров LDAP IBM Tivoli Directory Server.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstring*:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMemberФильтр LDAP для связи имен пользователей и групп.

iplanetFilters

Список фильтров LDAP Sun Java System Directory Server.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(objectclass=ldapsubentry))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstringinetOrgPerson:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringnsRole:nsRoleФильтр LDAP для связи имен пользователей и групп.

netscapeFilters

Список фильтров LDAP Netscape Directory Server.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstringinetOrgPerson:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMemberФильтр LDAP для связи имен пользователей и групп.

securewayFilters

Список фильтров LDAP IBM SecureWay Directory Server.

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))Фильтр LDAP для поиска пользователей в реестре пользователей.
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))Фильтр LDAP для поиска групп в реестре пользователей.
userIdMapstring*:uidФильтр LDAP, применяемый для преобразования имени пользователя в запись LDAP.
groupIdMapstring*:cnФильтр LDAP, применяемый для преобразования имени группы в запись LDAP.
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMemberФильтр LDAP для связи имен пользователей и групп.

ldapEntityType

Настройте класс объектов LDAP, фильтры поиска, базы поиска и относительное отличительное имя (RDN) LDAP для пользователя, группы и подразделения. Например тип сущности Group может иметь фильтр поиска (&(ObjectCategory=Groupofnames)(ObjectClass=Groupofnames)) и класс объектов Groupofnames с базой поиска ou=iGroups,o=ibm,c=us.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringИмя типа сущности LDAP.
searchFilterstringПользовательское выражение поиска в LDAP, используемое при поиске типов сущности. Например, searchFilter="(|(ObjectCategory=User)(ObjectClass=User))".

ldapEntityType > objectClass

Класс объекта, определенный для данного типа сущности LDAP на сервере LDAP. Например класс объекта для типа сущности LDAP group может быть Groupofnames.

ldapEntityType > searchBase

Укажите поддерево сервера LDAP для поискового запроса для данного типа сущности, которое будет переопределять базовое DN в операциях поиска. Например, если базовое DN o=ibm,c=us и база поиска типа сущности PersonAccount определена как ou=iUsers,o=ibm,c=us, то все поисковые запросы для PersonAccout будут выполняться в поддереве ou=iUsers,o=ibm,c=us. Для одного и того же типа сущности можно настроить несколько баз поиска.

groupProperties

Настройка свойств членства в группе (например, memberAttribute или membershipAttribute).

groupProperties > memberAttribute

Атрибут элемента LDAP.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringИмя элемента.
objectClassstringКласс объекта атрибута элемента.
scopestringОбласть действия атрибута члена.
dummyMemberstringИмя пустого элемента.

groupProperties > membershipAttribute

Настройка атрибута членства в группе.

NameTypeDefaultDescription
namestringИмя атрибута членства.
scopestringОбласть действия атрибута членства.

groupProperties > dynamicMemberAttribute

Настройка атрибута динамического элемента.

NameTypeDefaultDescription
namestringИмя элемента.
objectClassstringИмя класса объекта.

attributeConfiguration

Конфигурация, преобразующая атрибуты LDAP в имена полей схемы реестра пользователей (пример: Person, PersonAccount или Group).

attributeConfiguration > attribute

Определите имена полей схемы реестра пользователей для преобразования в атрибут LDAP.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringИмя атрибута LDAP.
propertyNamestringИмя поля схемы реестра пользователей, которое требуется связать с атрибутом LDAP.
defaultValuestringЗначение по умолчанию для атрибута.
syntaxstringСинтаксис атрибута.
entityTypestringТип сущности атрибута.

attributeConfiguration > externalIdAttribute

Определите имя и свойства атрибута LDAP, который требуется преобразовать в атрибут externalId реестра пользователей.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringИмя атрибута LDAP, которое требуется использовать для атрибута externalId реестра пользователей.
syntaxstringСинтаксис атрибута.
entityTypestringТип сущности атрибута.
autoGeneratebooleanfalseКогда это свойство включено, значение атрибута externalId не извлекается из LDAP, а создается реестром пользователей автоматически. По умолчанию оно выключено.

contextPool

Свойства пула контекста.

NameTypeDefaultDescription
enabledbooleantrueБулевское значение, которое определяет, включен ли пул контекста. Его выключение может вызвать снижение производительности.
initialSizeint1Целое значение, которое определяет начальный размер пула контекста. Установите его на основании загрузки хранилища.
maxSizeint0Целое значение, которое определяет максимальный размер пула контекста. Установите его на основании максимальной загрузки хранилища.
timeoutПериод (с точностью до миллисекунды)0sПериод, по истечении которого происходит тайм-аут пула контекста. Целое число, которое представляет время, в течение которого неактивный экземпляр контекста может оставаться в пуле без закрытия и удаления из него. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, 1 секунда указывается как 1s. Одна запись может включать несколько значений. Пример: 1m30s это 1,5 мин. Минимальный разрешенный тайм-аут - 1 секунда. Записи, указанные в миллисекундах, округляются до ближайшей секунды. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
waitTimeПериод (с точностью до миллисекунды)3sПериод, по истечении которого происходит тайм-аут пула контекста. Временной интервал, в течение которого запрос ожидает, пока пул контекста проверит снова, доступен ли неактивный экземпляр контекста в пуле, когда количество экземпляров контекста превышает максимальный размер пула. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
preferredSizeint3Предпочитаемый размер пула контекста. Установите его на основании загрузки хранилища.

ldapCache

Настройка атрибутов кэша.

ldapCache > attributesCache

Конфигурация свойств кэширования атрибутов.

NameTypeDefaultDescription
enabledbooleantrueБулевское значение, которое указывает, включено ли свойство.
sizeint2000Определяет число субъектов, которые можно хранить в кэше. Размер кэша можно увеличить на основе числа субъектов, которое требуется хранить в кэше.
timeoutПериод (с точностью до миллисекунды)1200sОпределяет максимальное время доступности содержимого кэша атрибутов LDAP. После завершения указанного времени кэш атрибутов LDAP будет очищен. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
sizeLimitint2000Максимальное число атрибутов на объект LDAP, которое будет помещено в кэш.
serverTTLAttributestringСрок действия записи кэша. Последующий вызов для этой записи будет получен непосредственно с сервера, а затем помещен снова в кэш.

ldapCache > searchResultsCache

Конфигурация кэша результатов поиска.

NameTypeDefaultDescription
enabledbooleantrueБулевское значение, которое указывает, включено ли свойство.
sizeint2000Размер кэша. Количество результатов поиска, хранящихся в кэше. Это свойство необходимо настроить на основании количества запросов поиска, выполненных в системе, и доступных аппаратных системных ресурсов.
timeoutПериод (с точностью до миллисекунды)1200sОпределяет максимальное время доступности содержимого кэша результатов поиска. После завершения указанного времени кэш результатов поиска будет очищен. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
resultsSizeLimitint2000Максимальное число результатов, которое можно поместить в кэш для одной операции поиска LDAP.