ldapRegistry - LDAP 用户注册表 (ldapRegistry)

LDAP 用户注册表的配置属性。

NameTypeDefaultDescription
id字符串唯一配置标识。
hoststringLDAP 服务器的地址,采用 IP 地址或域名服务 (DNS) 名称的形式。
port整形LDAP 服务器的端口号。
baseDNstring目录服务的基本专有名称 (DN),指示目录服务中 LDAP 搜索的起始点。
ldapType
  • IBM SecureWay Directory Server
  • Microsoft Active Directory
  • Novell eDirectory
  • IBM Lotus Domino
  • Netscape Directory Server
  • Custom
  • Sun Java System Directory Server
  • IBM Tivoli Directory Server
要连接的 LDAP 服务器的类型。
IBM SecureWay Directory Server
配置 LDAP 注册表以使用 IBM SecureWay Directory Server。
Microsoft Active Directory
配置 LDAP 注册表以使用 Microsoft Active Directory。
Novell eDirectory
配置 LDAP 注册表以使用 Novell eDirectory。
IBM Lotus Domino
配置 LDAP 注册表以使用 IBM Lotus Domino。
Netscape Directory Server
配置 LDAP 注册表以使用 Netscape Directory Server。
Custom
配置 LDAP 注册表以使用定制 LDAP 服务器。
Sun Java System Directory Server
配置 LDAP 注册表以使用 Sun Java System Directory Server。
IBM Tivoli Directory Server
%ldapType.ibm_dir_server
realmstringLdapRegistry用于表示用户注册表的域名。
bindDNstring应用程序服务器的专有名称 (DN),用于绑定到目录服务。
bindPassword可逆向编码的密码(字符串)bind DN 的密码。可采用明文或编码格式存储该值。建议您对该密码进行编码。为此,请将 securityUtility 工具与编码选项配合使用。
ignoreCase布尔型true执行不区分大小写的认证检查。
recursiveSearch布尔型false执行嵌套组搜索。仅当 LDAP 服务器不支持递归服务器端搜索时才应选择此选项。
reuseConnection布尔型true请求应用程序服务器复用 LDAP 服务器连接。
sslEnabled布尔型false指示是否应该建立至 LDAP 服务器的 SSL 连接。
sslRef对顶级 ssl 元素的引用(字符串)。要用于连接至启用 SSL 的 LDAP 服务器的 SSL 配置的标识。
searchTimeout具有毫秒精度的时间段1m在取消请求之前供 LDAP 服务器进行响应的最长时间。这等价于建立连接之后的读超时。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
connectTimeout具有毫秒精度的时间段1m与 LDAP 服务器建立连接的最长持续时间。如果指定的时间到期,那么该程序将记录错误消息。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
certificateMapMode
  • EXACT_DN
  • CERTIFICATE_FILTER
指定是否通过 EXACT_DN 或 CERTIFICATE_FILTER 将 x.509 证书映射到 LDAP 目录。指定 CERTIFICATE_FILTER 以使用指定的证书过滤器进行映射。
EXACT_DN
该程序尝试通过将 X.509 证书中的 PrincipalName 值映射至存储库中的确切专有名称 (DN) 来进行登录。如果发现匹配实体,那么登录将成功。如果找不到匹配实体,那么登录将失败,该程序会返回错误以指示找不到该实体。
CERTIFICATE_FILTER
该程序尝试通过对 LDAP 过滤器使用证书过滤器映射来进行登录。如果发现单个匹配实体,那么登录将成功。如果找不到匹配实体,那么登录将失败,该程序会返回错误。如果发现多个匹配实体,那么登录将失败,因为结果是模糊匹配,并且该程序返回错误。
certificateFilterstring为 LDAP 过滤器指定过滤器证书映射属性。使用过滤器将客户机证书中的属性映射到 LDAP 注册表中的项。例如,可将过滤器指定为:uid=${SubjectCN}。
activedFiltersRef对顶级 activedLdapFilterProperties 元素的引用(字符串)。指定 Microsoft Active Directory LDAP 过滤器列表。
customFiltersRef对顶级 customLdapFilterProperties 元素的引用(字符串)。指定定制 LDAP 过滤器列表。
domino50FiltersRef对顶级 domino50LdapFilterProperties 元素的引用(字符串)。指定 IBM Lotus Domino LDAP 过滤器列表。
edirectoryFiltersRef对顶级 edirectoryLdapFilterProperties 元素的引用(字符串)。指定 Novell eDirectory LDAP 过滤器的列表。
idsFiltersRef对顶级 idsLdapFilterProperties 元素的引用(字符串)。指定 IBM Tivoli Directory Server LDAP 过滤器列表。
iplanetFiltersRef对顶级 iplanetLdapFilterProperties 元素的引用(字符串)。指定 Sun Java System Directory Server LDAP 过滤器列表。
netscapeFiltersRef对顶级 netscapeLdapFilterProperties 元素的引用(字符串)。指定 Netscape Directory Server LDAP 过滤器列表。
securewayFiltersRef对顶级 securewayLdapFilterProperties 元素的引用(字符串)。指定 IBM SecureWay Directory Server LDAP 过滤器列表。
referral
  • ignore
  • follow
ignore对 LDAP 引荐指定行为。缺省行为是忽略引荐。
ignore
忽略 LDAP 引荐。
follow
遵循 LDAP 引荐。
returnToPrimaryServer布尔型true一个布尔值,用于指示是否应对主服务器执行搜索。

failoverServers

LDAP 故障转移服务器的列表。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestringLDAP 故障转移服务器的配置属性。将其指定为主 LDAP 服务器的备份服务器。例如,<failoverServers name="failoverLdapServers"><server host="myfullyqualifiedhostname1" port="389"/><server host="myfullyqualifiedhostname2" port="389"/></failoverServers>。

failoverServers > server

LDAP 故障转移服务器的配置属性。

NameTypeDefaultDescription
id字符串唯一配置标识。
hoststringLDAP 服务器主机名,它可以使用 IP 地址或域名服务 (DNS) 名称。
port整形LDAP 故障转移服务器端口。

activedFilters

指定 Microsoft Active Directory LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(sAMAccountName=%v)(objectcategory=user))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(objectcategory=group))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstringuser:sAMAccountName用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringmemberOf:member用于标识用户的组成员资格的 LDAP 过滤器。

customFilters

指定定制 LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstring*:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMember用于标识用户的组成员资格的 LDAP 过滤器。

domino50Filters

指定 IBM Lotus Domino LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=Person))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(objectclass=dominoGroup))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstringperson:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringdominoGroup:member用于标识用户的组成员资格的 LDAP 过滤器。

edirectoryFilters

指定 Novell eDirectory LDAP 过滤器的列表。

NameTypeDefaultDescription
userFilterstring(&(cn=%v)(objectclass=Person))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(objectclass=groupOfNames))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstringperson:cn用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringgroupOfNames:member用于标识用户的组成员资格的 LDAP 过滤器。

idsFilters

指定 IBM Tivoli Directory Server LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstring*:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMember用于标识用户的组成员资格的 LDAP 过滤器。

iplanetFilters

指定 Sun Java System Directory Server LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(objectclass=ldapsubentry))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstringinetOrgPerson:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringnsRole:nsRole用于标识用户的组成员资格的 LDAP 过滤器。

netscapeFilters

指定 Netscape Directory Server LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstringinetOrgPerson:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMember用于标识用户的组成员资格的 LDAP 过滤器。

securewayFilters

指定 IBM SecureWay Directory Server LDAP 过滤器列表。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用于在用户注册表中搜索用户的 LDAP 过滤器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))用于在用户注册表中搜索组的 LDAP 过滤器子句。
userIdMapstring*:uid用于将用户的名称映射到 LDAP 条目的 LDAP 过滤器。
groupIdMapstring*:cn用于将组的名称映射到 LDAP 条目的 LDAP 过滤器。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMember用于标识用户的组成员资格的 LDAP 过滤器。

ldapEntityType

为个人、组和组织单位配置 LDAP 对象类、搜索过滤器、搜索条件和 LDAP 相对专有名称 (RDN)。例如,组实体类型可以具有诸如 (&(ObjectCategory=Groupofnames)(ObjectClass=Groupofnames)) 的搜索过滤器,并且对象类为 Groupofnames,搜索条件为 ou=iGroups,o=ibm,c=us。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestringLDAP 实体类型的名称。
searchFilterstring搜索实体类型时使用的定制 LDAP 搜索表达式。例如,searchFilter="(|(ObjectCategory=User)(ObjectClass=User))"。

ldapEntityType > objectClass

为 LDAP 服务器中的给定 LDAP 实体类型定义的对象类。例如,组 LDAP 实体类型的对象类可以是 Groupofnames。

ldapEntityType > searchBase

为给定实体类型指定搜索调用的 LDAP 服务器的子树,该子树将覆盖搜索操作中的基本 DN。例如,如果基本 DN 为 o=ibm,c=us,并且个人帐户实体类型的搜索条件已定义为 ou=iUsers,o=ibm,c=us,那么将在子树 ou=iUsers,o=ibm,c=us 下执行对个人帐户的所有搜索调用。可以为同一实体类型配置多个搜索条件。

groupProperties

组成员资格属性的配置(例如,memberAttribute 或 membershipAttribute)。

groupProperties > memberAttribute

LDAP 成员属性。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring成员的名称。
objectClassstring成员属性的对象类。
scopestring成员属性的作用域。
dummyMemberstring哑元成员的名称。

groupProperties > membershipAttribute

成员资格属性的配置。

NameTypeDefaultDescription
namestring成员资格属性的名称。
scopestring成员资格属性的作用域。

groupProperties > dynamicMemberAttribute

动态成员属性的配置。

NameTypeDefaultDescription
namestring成员的名称。
objectClassstring对象类的名称。

attributeConfiguration

此配置映射带有用户注册表模式(例如,Person、PersonAccount 或 Group)字段名的 LDAP 属性。

attributeConfiguration > attribute

定义要映射至 LDAP 属性的用户注册表模式字段名。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestringLDAP 属性的名称。
propertyNamestring需要使用 LDAP 属性映射的用户注册表模式字段名。
defaultValuestring属性的缺省值。
syntaxstring属性语法。
entityTypestring属性的实体类型。

attributeConfiguration > externalIdAttribute

定义 LDAP 属性的名称及其需要映射至用户注册表 externalId 属性的特性。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring要用于用户注册表 externalId 属性的 LDAP 属性的名称。
syntaxstring属性语法。
entityTypestring属性的实体类型。
autoGenerate布尔型false启用了此项时,externalId 属性值由用户注册表自动生成,而不是使用 LDAP 中存储的值。缺省情况下,此属性被禁用。

contextPool

上下文池的属性。

NameTypeDefaultDescription
enabled布尔型true一个布尔值,用于确定是否启用了上下文池。禁用它可能导致性能下降。
initialSize整形1一个整数值,用于确定上下文池的初始大小。请根据存储库上的负载来设置此值。
maxSize整形0一个整数值,用于定义最大上下文池大小。请根据存储库上的最大负载来设置此值。
timeout具有毫秒精度的时间段0s上下文池超时之前的持续时间。一个整数,用于表示空闲上下文实例可在池中保留而不会被关闭并从池中移除的时间。指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,将 1 秒指定为 1s。可将多个值包括在单个条目中。例如,1m30s 相当于 1.5 分钟。允许的最小超时值为 1 秒。毫秒条目会舍入为最接近的秒数。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
waitTime具有毫秒精度的时间段3s上下文池超时之前的持续时间。一个时间间隔,上下文实例数达到最大池大小时,请求会等待此时间间隔直到上下文池再次检查池中是否有空闲上下文实例。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
preferredSize整形3上下文池的首选大小。请根据存储库上的负载来设置此值。

ldapCache

配置此高速缓存的属性。

ldapCache > attributesCache

属性高速缓存特性的配置。

NameTypeDefaultDescription
enabled布尔型true一个布尔值,用于指示已启用该属性。
size整形2000定义可存储在高速缓存中的实体数目。您可以根据需要存储在高速缓存中的实体数目,增大高速缓存的大小。
timeout具有毫秒精度的时间段1200s定义 LDAP 属性高速缓存的内容可用的最长时间。经过指定的时间之后,将会清除 LDAP 属性高速缓存。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
sizeLimit整形2000每个 LDAP 实体将高速缓存的最大属性数。
serverTTLAttributestring一个时间,高速缓存条目在此时间后到期。系统将直接从服务器中访存针对此条目的后续调用,并再次将其放在高速缓存中。

ldapCache > searchResultsCache

搜索结果高速缓存的配置。

NameTypeDefaultDescription
enabled布尔型true一个布尔值,用于指示已启用该属性。
size整形2000高速缓存的大小。高速缓存中存储的搜索结果数。需要根据系统上执行的搜索查询数及可用硬件系统资源来配置此大小。
timeout具有毫秒精度的时间段1200s定义搜索结果高速缓存的内容可用的最长时间。经过指定的时间之后,将会清除搜索结果高速缓存。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
resultsSizeLimit整形2000可针对单个 LDAP 搜索进行高速缓存的最大结果数。