ldapRegistry - LDAP 使用者登錄 (ldapRegistry)

LDAP 使用者登錄的配置內容。

NameTypeDefaultDescription
idstring唯一的配置 ID。
hoststringLDAP 伺服器的位址,格式為 IP 位址或網域名稱服務 (DNS) 名稱。
portintLDAP 伺服器的埠號。
baseDNstring目錄服務的基本識別名稱 (DN),指出在目錄服務中 LDAP 的搜尋起點。
ldapType
  • IBM SecureWay Directory Server
  • Microsoft Active Directory
  • Novell eDirectory
  • IBM Lotus Domino
  • Netscape Directory Server
  • Custom
  • Sun Java System Directory Server
  • IBM Tivoli Directory Server
要建立連線的 LDAP 伺服器類型。
IBM SecureWay Directory Server
配置 LDAP 登錄使用 IBM SecureWay Directory Server。
Microsoft Active Directory
配置 LDAP 登錄使用 Microsoft Active Directory。
Novell eDirectory
配置 LDAP 登錄使用 Novell eDirectory。
IBM Lotus Domino
配置 LDAP 登錄使用 IBM Lotus Domino。
Netscape Directory Server
配置 LDAP 登錄使用 Netscape Directory Server。
Custom
配置 LDAP 登錄使用自訂的 LDAP 伺服器。
Sun Java System Directory Server
配置 LDAP 登錄使用 Sun Java System Directory Server。
IBM Tivoli Directory Server
%ldapType.ibm_dir_server
realmstringLdapRegistry代表使用者登錄的領域名稱。
bindDNstring應用程式伺服器的識別名稱 (DN),用來連結目錄服務。
bindPassword可逆的編碼密碼(字串)連結 DN 的密碼。其值可以用明碼或編碼形式儲存。建議您將密碼編碼。如果要這麼做,請搭配使用 securityUtility 工具與編碼選項。
ignoreCasebooleantrue執行不區分大小寫鑑別檢查。
recursiveSearchbooleanfalse執行巢狀群組搜尋。只有當 LDAP 伺服器不支援遞迴伺服器端搜尋時才選取這個選項。
reuseConnectionbooleantrue要求應用程式伺服器重複使用 LDAP 伺服器連線。
sslEnabledbooleanfalse指出是否應建立與 LDAP 伺服器的 SSL 連線。
sslRef最上層 ssl 元素的參照(字串)。要用來連接已啟用 SSL 之 LDAP 伺服器的 SSL 配置 ID。
searchTimeout精準度是毫秒的時間量1m在取消要求之前,等待 LDAP 伺服器回應的時間上限。這相等於建立連線之後的讀取逾時值。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
connectTimeout精準度是毫秒的時間量1m建立連線至 LDAP 伺服器的時間上限。如果指定的時間到期,程式會記載錯誤訊息。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
certificateMapMode
  • EXACT_DN
  • CERTIFICATE_FILTER
指定要以 EXACT_DN 或 CERTIFICATE_FILTER 來將 x.509 憑證對映至 LDAP 目錄。指定 CERTIFICATE_FILTER,以使用指定的憑證過濾條件來進行對映。
EXACT_DN
程式透過將 X.509 憑證中的 PrincipalName 值對映到儲存庫中的正確識別名稱 (DN) 來嘗試登入。如果找到相符項目,即登入成功。如果找不到相符項目,則登入失敗,程式會傳回陳述找不到項目的錯誤。
CERTIFICATE_FILTER
程式透過使用 LDAP 過濾器的憑證過濾器對映內容來嘗試登入。如果找到單一相符項目,即登入成功。如果找不到相符項目,則登入失敗,程式會傳回錯誤。如果找到多個相符項目,登入失敗,因為結果為不明確的比對,程式會傳回錯誤。
certificateFilterstring指定 LDAP 過濾器的過濾器憑證對映內容。過濾器用來將用戶端憑證中的屬性對映至 LDAP 登錄中的項目。例如,過濾器可以指定為:uid=${SubjectCN}。
activedFiltersRef最上層 activedLdapFilterProperties 元素的參照(字串)。指定 Microsoft Active Directory LDAP 過濾器的清單。
customFiltersRef最上層 customLdapFilterProperties 元素的參照(字串)。指定自訂 LDAP 過濾器的清單。
domino50FiltersRef最上層 domino50LdapFilterProperties 元素的參照(字串)。指定 IBM Lotus Domino LDAP 過濾器的清單。
edirectoryFiltersRef最上層 edirectoryLdapFilterProperties 元素的參照(字串)。指定 Novell eDirectory LDAP 過濾器的清單。
idsFiltersRef最上層 idsLdapFilterProperties 元素的參照(字串)。指定 IBM Tivoli Directory Server LDAP 過濾器的清單。
iplanetFiltersRef最上層 iplanetLdapFilterProperties 元素的參照(字串)。指定 Sun Java System Directory Server LDAP 過濾器的清單。
netscapeFiltersRef最上層 netscapeLdapFilterProperties 元素的參照(字串)。指定 Netscape Directory Server LDAP 過濾器的清單。
securewayFiltersRef最上層 securewayLdapFilterProperties 元素的參照(字串)。指定 IBM SecureWay Directory Server LDAP 過濾器的清單。
referral
  • ignore
  • follow
ignore指定 LDAP 轉介的行為。預設行為是忽略轉介。
ignore
忽略 LDAP 轉介。
follow
遵循 LDAP 轉介。
returnToPrimaryServerbooleantrue指出是否應針對「主要伺服器」執行搜尋的布林值。

failoverServers

LDAP 失效接手伺服器清單。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestringLDAP 失效接手伺服器的配置內容。請將它指定為主要 LDAP 伺服器的備用伺服器。例如 <failoverServers name="failoverLdapServers"><server host="myfullyqualifiedhostname1" port="389"/><server host="myfullyqualifiedhostname2" port="389"/></failoverServers>。

failoverServers > server

LDAP 失效接手伺服器的配置內容。

NameTypeDefaultDescription
idstring唯一的配置 ID。
hoststringLDAP 伺服器主機名稱,可以是 IP 位址或網域名稱服務 (DNS) 名稱。
portintLDAP 失效接手伺服器埠。

activedFilters

指定 Microsoft Active Directory LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(sAMAccountName=%v)(objectcategory=user))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(objectcategory=group))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstringuser:sAMAccountName將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringmemberOf:member用來識別具備群組成員資格之使用者的 LDAP 過濾器。

customFilters

指定自訂 LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstring*:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMember用來識別具備群組成員資格之使用者的 LDAP 過濾器。

domino50Filters

指定 IBM Lotus Domino LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=Person))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(objectclass=dominoGroup))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstringperson:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringdominoGroup:member用來識別具備群組成員資格之使用者的 LDAP 過濾器。

edirectoryFilters

指定 Novell eDirectory LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(cn=%v)(objectclass=Person))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(objectclass=groupOfNames))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstringperson:cn將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringgroupOfNames:member用來識別具備群組成員資格之使用者的 LDAP 過濾器。

idsFilters

指定 IBM Tivoli Directory Server LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstring*:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMember用來識別具備群組成員資格之使用者的 LDAP 過濾器。

iplanetFilters

指定 Sun Java System Directory Server LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(objectclass=ldapsubentry))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstringinetOrgPerson:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringnsRole:nsRole用來識別具備群組成員資格之使用者的 LDAP 過濾器。

netscapeFilters

指定 Netscape Directory Server LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstringinetOrgPerson:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMember用來識別具備群組成員資格之使用者的 LDAP 過濾器。

securewayFilters

指定 IBM SecureWay Directory Server LDAP 過濾器的清單。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))用來在使用者登錄中搜尋使用者的 LDAP 過濾器子句。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))用來在使用者登錄中搜尋群組的 LDAP 過濾器子句。
userIdMapstring*:uid將使用者的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupIdMapstring*:cn將群組的名稱對映到 LDAP 項目的 LDAP 過濾器。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMember用來識別具備群組成員資格之使用者的 LDAP 過濾器。

ldapEntityType

針對人員、群組和組織單位,配置 LDAP 物件類別、搜尋過濾器、搜尋基準,以及 LDAP 相對識別名稱 (RDN)。例如,「群組」實體類型可以有類似 (&(ObjectCategory=Groupofnames)(ObjectClass=Groupofnames)) 的搜尋過濾器,以 Groupofnames 作為物件類別,且搜尋基準是 ou=iGroups,o=ibm,c=us。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestringLDAP 實體類型的名稱。
searchFilterstring搜尋實體類型時所用的自訂 LDAP 搜尋表示式。例如,searchFilter="(|(ObjectCategory=User)(ObjectClass=User))"。

ldapEntityType > objectClass

LDAP 伺服器中定義給給定 LDAP 實體類型的物件類別。例如,群組 LDAP 實體類型的物件類別可以是 Groupofnames。

ldapEntityType > searchBase

指定 LDAP 伺服器的子樹狀結構,以便對給定實體類型發出搜尋呼叫,而這會置換搜尋作業中的基本 DN。例如,如果基本 DN 是 o=ibm,c=us,且 PersonAccount 實體類型的搜尋基準是定義為 ou=iUsers,o=ibm,c=us,則會在 ou=iUsers,o=ibm,c=us 子樹之下,發出對 PersonAccout 的所有搜尋呼叫。可以為相同實體類型配置多項搜尋基準。

groupProperties

群組成員資格內容的配置(例如 memberAttribute 或 membershipAttribute)。

groupProperties > memberAttribute

LDAP 成員屬性。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring成員的名稱。
objectClassstring成員屬性的物件類別。
scopestring成員屬性的範圍。
dummyMemberstring虛擬成員的名稱。

groupProperties > membershipAttribute

成員資格屬性的配置。

NameTypeDefaultDescription
namestring成員資格屬性的名稱。
scopestring成員資格屬性的範圍。

groupProperties > dynamicMemberAttribute

動態成員屬性的配置。

NameTypeDefaultDescription
namestring成員的名稱。
objectClassstring物件類別的名稱。

attributeConfiguration

對映 LDAP 屬性與使用者登錄綱目(例如:Person、PersonAccount 或 Group)欄位名稱的配置。

attributeConfiguration > attribute

定義要對映至 LDAP 屬性的使用者登錄綱目欄位名稱。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestringLDAP 屬性的名稱。
propertyNamestring需要與 LDAP 屬性對映的使用者登錄綱目欄位名稱。
defaultValuestring屬性的預設值。
syntaxstring屬性語法。
entityTypestring屬性的實體類型。

attributeConfiguration > externalIdAttribute

定義需要對映至使用者登錄 externalId 屬性的 LDAP 屬性名稱與其內容。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring用於使用者登錄 externalId 屬性的 LDAP 屬性名稱。
syntaxstring屬性語法。
entityTypestring屬性的實體類型。
autoGeneratebooleanfalse當啟用時,使用者登錄會自動產生 externalId 屬性值,而不使用儲存在 LDAP 中的值。依預設,這是停用的。

contextPool

環境定義儲存區的內容。

NameTypeDefaultDescription
enabledbooleantrue決定是否啟用環境定義儲存區的布林值。將它停用,效能會退化。
initialSizeint1用來決定環境定義儲存區起始大小的整數值。請根據儲存庫的負載來設定這個項目。
maxSizeint0用來定義最大環境定義儲存區大小的整數值。請根據儲存庫的負載上限來設定這個項目。
timeout精準度是毫秒的時間量0s環境定義儲存區歷時多久之後即視為逾時。整數代表閒置的環境定義實例即使不關閉,也不從儲存區中移除,可以保留在儲存區中的時間。指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,將 1 秒指定為 1s。您可以在單一項目中包括多個值。例如,1m30s 相當於 1.5 分鐘。容許的逾時下限是 1 秒。毫秒項目會捨入為最接近的秒數。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
waitTime精準度是毫秒的時間量3s環境定義儲存區歷時多久之後即視為逾時。這是當環境定義實例數目達到儲存區大小上限,在重新檢查環境定義儲存區中是否有閒置的環境定義實例之前,要求所等待的時間間隔。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
preferredSizeint3環境定義儲存區的偏好大小。請根據儲存庫的負載來設定這個項目。

ldapCache

配置快取的屬性。

ldapCache > attributesCache

屬性快取內容配置。

NameTypeDefaultDescription
enabledbooleantrue指示啟用內容的 Boolean 值。
sizeint2000定義可儲存於快取中的實體數目。您可以根據需要儲存於快取的實體數目,增加快取大小。
timeout精準度是毫秒的時間量1200s定義 LDAP 屬性快取的內容可供使用的時間上限。指定的時間結束之後,即會清除 LDAP 屬性快取。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
sizeLimitint2000對於每一個 LDAP 實體,將快取的屬性數目上限。
serverTTLAttributestring過了之後,快取項目便告到期的時間。後續呼叫這個項目,會直接從伺服器提取,然後重新放在快取中。

ldapCache > searchResultsCache

搜尋結果快取的配置。

NameTypeDefaultDescription
enabledbooleantrue指示啟用內容的 Boolean 值。
sizeint2000快取的大小。儲存在快取中的搜尋結果數目。這必須根據系統上所執行的搜尋查詢數目,以及可用的硬體系統資源來配置。
timeout精準度是毫秒的時間量1200s定義搜尋結果快取的內容可供使用的時間上限。指定的時間結束之後,即會清除搜尋結果快取。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
resultsSizeLimitint2000以單一 LDAP 搜尋而言,可快取的結果數上限。