[AIX Solaris HP-UX Linux Windows]

Diretivas LDAP

Estes parâmetros de configuração controlam o recurso Lightweight Directory Access Protocol (LDAP) no IBM® HTTP Server.

[AIX Solaris HP-UX Linux Windows] Recurso Reprovado Recurso Reprovado: Se você estiver usando o módulo mod_ibm_ldap para sua configuração LDAP, considere migrar suas diretivas mod_ibm_ldap para usar o módulo mod_ldap. O módulo mod_ibm_ldap é fornecido com esta liberação do IBM HTTP Server para compatibilidade com as liberações anteriores, no entanto, você deve migrar configurações existentes para usar os módulos mod_authnz_ldap e mod_ldap para assegurar suporte futuro para sua configuração LDAP.depfeat

Diretiva LdapCodepageDir

As páginas de código agora são instaladas automaticamente no diretório de instalação IHS e são referenciadas com relação ao diretório de instalação IHS, em oposição ao diretório raiz do servidor configurado como em versões anteriores.

Diretiva LdapConfigfile

A diretiva LdapConfigFile indica o nome do arquivo de propriedades LDAP associado a um grupo de parâmetros LDAP.
Diretiva Descrição
Sintaxe LdapConfigFile <Fully qualified path to configuration file>
Escopo Instância única por sub-rotina de diretório
Padrão c:\arquivos de programa\ibm http server\conf\ldap.prop.sample
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Caminho completo para um único arquivo de configuração. Utilize essa diretiva no arquivo httpd.conf.

Diretiva LDAPRequire

A diretiva LDAPRequire é utilizada para restringir o acesso a um recurso controlado pela autenticação LDAP para uma coleta de usuários especificada. Ela pode utilizar grupos definidos no LDAP utilizando o tipo de grupo, ou pode utilizar um tipo de filtro LDAP para designar uma coleta de usuários com um conjunto semelhante de valores de atributos.
Nome Descrição
Sintaxe LDAPRequire filter <filter name> or LDAPRequire group <group1 [group2.group3....]>
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", or LDAPRequire group "sample group".

Utilize essa diretiva no arquivo httpd.conf.

Se o tipo de grupo for utilizado e vários valores de grupos forem especificados, a validação do grupo será um AND lógico dos grupos. Um usuário deve ser membro de sample Group1 e sample Group2 se for requerido um OR lógico de grupos. Por exemplo, se um usuário for membro de sample Group1 ou de sample Group2, um novo grupo LDAP, our department group, deverá ser criado no servidor LDAP, que tenha sample Group1 e sample Group2 como seus membros. Utilize então a diretiva: LDAPRequire group our Department Group.

Diretiva Ldap.application.authType

A diretiva Ldap.application.authType especifica o método para autenticar o servidor da Web para o servidor LDAP.
Nome Descrição
Sintaxe ldap.application.authType=None
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores
  • Nenhum: Se o servidor LDAP não solicitar que o servidor da Web seja autenticado.
  • Básico: Utiliza o DN (Nome Distinto) do servidor da Web como o ID do usuário e a senha armazenados no arquivo stash, como senha.

Diretiva Ldap.application.DN

A diretiva Ldap.application.DN indica o DN (Nome Distinto) do servidor da Web. Utilize esse nomes como o nome do usuário ao acessar um servidor LDAP utilizando a autenticação básica. Utilize a entrada especificada no servidor LDAP para acessar o servidor de diretórios.
Nome Descrição
Sintaxe ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Nome Distinto

Diretiva Ldap.application.password.stashFile

A diretiva Ldap.application.password.stashFile indica o nome do arquivo stash que contém a senha criptografada para o aplicativo a ser autenticado no servidor LDAP quando o tipo de Autenticação do Servidor for Básico.
Nome Descrição
Sintaxe ldap.application.password.stashFile=c:\IHS\ldap.sth
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Caminho completo para o arquivo stash. Você pode criar esse arquivo stash com o comando ldapstash.

Diretiva Ldap.cache.timeout

A diretiva ldap.cache.timeout armazena em cache as respostas do servidor LDAP. Se você configurar o servidor da Web para executar como diversos processos, cada processo irá gerenciar sua própria cópia de cache.
Nome Descrição
Sintaxe ldap.cache.timeout= <secs>
Escopo Instância única por sub-rotina de diretório
Padrão 600
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores O período máximo de tempo, em segundos, no qual uma resposta retornada do servidor LDAP permanece válida.

Diretiva Ldap.group.attribute

A diretiva ldap.group.attributes indica o filtro utilizado para determinar se um DN (Nome Distinto) é um grupo real por meio de uma procura LDAP.
Nome Descrição
Sintaxe ldap.group.memberattribute = <attribute>
Escopo Instância única por sub-rotina de diretório
Padrão uniquegroup
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações sobre o uso dessa diretiva.

Diretiva Ldap.group.dnattribute

A diretiva ldap.group.dnattributes especifica o filtro utilizado para determinar, por meio de uma procura LDAP, se um DN (Nome Distinto) é um grupo real.
Nome Descrição
Sintaxe ldap.group.memberattribute = <ldap filter>
Escopo Instância única por sub-rotina de diretório
Padrão groupofnames groupofuniquenames
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações sobre o uso dessa diretiva.

Diretiva Ldap.group.memberattribute

A diretiva ldap.group.memberattribute especifica o atributo para recuperar grupos exclusivos a partir de um grupo existente.
Nome Descrição
Sintaxe ldap.group.memberattribute = <ldap filter>
Escopo Instância única por sub-rotina de diretório
Padrão groupofnames groupofuniquenames
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações sobre o uso dessa diretiva.

Diretiva Ldap.group.memberAttributes

A diretiva ldap.group.memberAttributes serve como um meio de extrair membros do grupo, assim que a função localiza uma entrada de grupo em um diretório LDAP.
Nome Descrição
Sintaxe ldap.group.memberAttributes= attribute [attribute2....]
Escopo Instância única por sub-rotina de diretório
Padrão member e uniquemember
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Devem ser iguais aos nomes distintos dos membros do grupo. Você pode utilizar mais de um atributo para conter as informações do membro.

Diretiva Ldap.group.name.filter

A diretiva ldap.group.name.filter indica os usos do filtro LDAP que procuram pelos nomes de grupo.
Nome Descrição
Sintaxe ldap.group.name.filter = <group name filter>
Escopo Instância única por sub-rotina de diretório
Padrão (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP.

Diretiva Ldap.group.search.depth

A diretiva ldap.group.search.depth procura subgrupos ao especificar as diretivas do grupo <group> LDAPRequire. Os grupos podem conter membros individuais e outros grupos.
Nome Descrição
Sintaxe ldap.group.search.depth = <integer depth>
Escopo Instância única por sub-rotina de diretório
Padrão 1
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um inteiro. Ao fazer uma procura para um grupo, se um membro no processo de autenticação não for um membro do grupo exigido, quaisquer subgrupos do grupo exigido também serão procurados. Exemplo:
group1 >group2 (group2 é um membro de group1)
group2 >group3 (group3 é um membro de group2)
group3 >jane   (jane é um membro de group3)

Se procurar por jane e requerer que ela seja um membro do group1, a procura falhará com o valor padrão ldap.search.depth de 1. Se especificar ldap.group.search.depth>2, a procura será bem sucedida.

Use ldap.group.search.depth=<depth to search -- number> para limitar a profundidade das procuras do subgrupo. Esse tipo de pesquisa pode se tornar muito intensiva em um servidor LDAP. Onde group1 tem group2 como membro e group2 tem group1 como um membro, esta diretriz limita a profundidade da pesquisa. No exemplo anterior, group1 tem uma profundidade de 1, group2 tem uma profundidade de 2 e group3 tem uma profundidade de 3.

Diretiva Ldap.group.URL

A diretiva ldap.group.URL especifica um local diferente para um grupo no mesmo servidor LDAP. Você não pode utilizar essa diretriz para especificar um servidor LDAP diferente daquele especificado na diretriz ldap.URL.

Nome Descrição
Sintaxe ldap.group.URL = ldap://<hostname:port>/<BaseDN>
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores
  • host name: Nome do host do servidor LDAP.
  • port number: Número da porta opcional na qual o servidor LDAP atende. O padrão para as conexões TCP é 389. Se você utilizar SSL, será necessário especificar o número da porta.
  • BaseDN: Fornece a raiz da árvore LDAP na qual executar a procura para grupos.
Atenção:
Esta propriedade se torna obrigatória se o URL do LDAP para grupos for diferente do URL especificado pela propriedade ldap.URL.

Diretiva Ldap.idleConnection.timeout

A diretiva ldap.idleConnection.timeout armazena em cache as conexões para o servidor LDAP para desempenho.
Nome Descrição
Sintaxe ldap.idleConection.timeout = <secs>
Escopo Instância única por sub-rotina de diretório
Padrão 600
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Período de tempo, em segundos, antes que uma conexão do servidor LDAP inativa se feche devido a uma inatividade.

Diretiva Ldap.key.file.password.stashfile

A diretiva ldap.key.file.password.stashfile indica o arquivo stash que contém a senha criptografada do arquivo de chave; utilize o comando ldapstash para criar esse arquivo stash.
Nome Descrição
Sintaxe ldap.key.file.password.stashfile =d:\ <Key password file name>
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Caminho completo para o arquivo stash.

Diretiva Ldap.key.fileName

A diretiva ldap.key.fileName indica o nome do arquivo do banco de dados do arquivo de chave. Essa opção se torna obrigatória quando você utiliza o SSL (Secure Sockets Layer).
Nome Descrição
Sintaxe ldap.key.fileName=d:\<Key file name>
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Caminho completo para o arquivo de chave.

Diretiva Ldap.key.label

A diretiva ldap.key.file.password.stashfile indica o nome da etiqueta do certificado que o servidor da Web utiliza para se autenticar no servidor LDAP.
Nome Descrição
Sintaxe My Server Certificate
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Uma etiqueta válida utilizada no arquivo do banco de dados de chaves. Essa etiqueta se torna necessária apenas ao utilizar SSL (Secure Sockets Layer) e quando o servidor LDAP pedir autenticação do cliente a partir do servidor da Web.

Diretiva LdapReferralhoplimit

A diretiva LdapReferralHopLimit indica o número máximo de indicações a seguir. A autenticação LDAP falhará, se o limite especificado foi excedido.
Nome Descrição
Sintaxe LdapReferralHopLimit = <number_of_hops>
Escopo Instância única por sub-rotina de diretório
Padrão 10
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores 0 a 10
Configure a diretiva LdapReferrals on para utilizar a diretiva LdapReferralhoplimit.
Importante: Um valor 0 de LdapReferralhoplimit fará com que a autenticação falhe, se quaisquer orientações forem encontradas.

A diretiva LdapReferralhoplimit não é significativa quando a diretiva LdapReferrals éoff (padrão).

Diretiva LdapReferrals

A diretiva LdapReferrals indica se as indicações (que redirecionam uma solicitação do cliente para um outro servidor LDAP) serão procuradas por procuras ao executar consultas LDAP.
Nome Descrição
Sintaxe LdapReferrals = off | on
Escopo Instância única por sub-rotina de diretório
Padrão off
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Ligado ou Desligado

Diretiva Ldap.realm

A diretiva ldap.key.realm indica o nome da área protegida, como pode ser visto pelo cliente solicitante.
Nome Descrição
Sintaxe ldap.realm=<Protection Realm>
Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Uma descrição que descreve a página protegida.

Diretiva Ldap.search.timeout

A diretiva ldap.search.timeout indica o tempo máximo, em segundos, para aguardar um servidor LDAP concluir a operação de procura.
Nome Descrição
Sintaxe ldap.search.timeout = <secs>
Escopo Instância única por sub-rotina de diretório
Padrão 10
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Período de tempo, em segundos.

Diretiva Ldap.transport

A diretiva ldap.transport indica o método de transporte utilizado para comunicar-se com o servidor LDAP.
Nome Descrição
Sintaxe ldap.transport = TCP
Escopo Instância única por sub-rotina de diretório
Padrão TCP
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores TCP ou SSL

Diretiva Ldap.url

A diretiva ldap.url indica o URL do servidor LDAP no qual autenticar.
Nome Descrição
Sintaxe ldap.url = ldap://<hostname:port>/<BaseDN>
em que:
  • hostname: Representa o nome do host do servidor LDAP.
  • port: Representa o número da porta opcional na qual o servidor LDAP atende. O padrão para as conexões TCP é 389. É necessário especificar o número da porta, se você utilizar o SSL.
  • BaseDN: Fornece a raiz da árvore LDAP na qual executar a procura por usuários.

    Por exemplo: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

Escopo Instância única por sub-rotina de diretório
Padrão Nenhuma
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim

Diretiva Ldap.user.authType

A diretiva ldap.usr.authType indica o método para autenticar o usuário que solicita um servidor da Web. Utilize esse nome como o nome do usuário ao acessar um servidor LDAP.
Nome Descrição
Sintaxe ldap.user.authType = BasicIfNoCert
Escopo Instância única por sub-rotina de diretório
Padrão Básica
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Basic, Cert, BasicIfNoCert

Diretiva Ldap.user.cert.filter

A diretiva ldap.usr.cert.filter indica o filtro utilizado para converter as informações no certificado cliente transmitido sobre o SSL (Secure Sockets Layer) para um filtro de procura para uma entrada LDAP.
Nome Descrição
Sintaxe ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Escopo Instância única por sub-rotina de diretório
Padrão "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP.

Os certificados SSL (Secure Socket Layer) incluem os seguintes campos, dos quais todos podem ser convertidos para um filtro de procura:

Campo de certificado Variável
Nome comum %v1
organizational unit %v2
organização %v3
país %v4
localidade %v5
estado ou país %v6
número de série %v7
Ao gerar o filtro de pesquisa, você pode localizar os valores de campos nos campos de variáveis correspondentes (%v1, %v2). A tabela a seguir mostra a conversão:
Certificado de usuário Conversão de filtro
Certificado cn=Road Runner, o=Acme Inc, c=US
Tarefas (cn=%v1, o=%v3, c=%v4)
Consulta Resultante (cn=RoadRunner, o=Acme, Inc, c=US)

Diretiva Ldap.user.name.fieldSep

A diretiva ldap.usr.name.fieldSep indica os caracteres como caracteres separadores válidos de campo ao analisar o nome do usuário nos campos.
Nome Descrição
Sintaxe ldap.user.name.fieldSep=/
Escopo Instância única por sub-rotina de diretório
Padrão O espaço, a vírgula e o caractere de tabulação (/t).
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Caracteres. Se '/' representar apenas o caractere separador de campo e se o usuário inserir "Joe Smith/Acme", então '%v2' será igual a "Acme".

Diretiva Ldap.user.name.filter

A diretiva ldap.usr.name.filter indica o filtro utilizado para converter o nome do usuário digitado em um filtro de procura para uma entrada LDAP.

Nome Descrição
Sintaxe ldap.user.name.filter=<user name filter>
Escopo Instância única por sub-rotina de diretório
Padrão "((objectclass=person) (cn=%v1 %v2))", em que %v1 e %v2 representam caracteres inseridos pelo usuário.

Por exemplo, se o usuário inserir "Paul Kelsey", o filtro de procura resultante será "((objectclass=person)(cn=Paul Kelsey))". Você pode localizar a sintaxe do filtro de procura descrita em Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP.

Entretanto, como o servidor Web não pode diferenciar entre múltiplas entradas retornadas, a autenticação falhará quando o servidor LDAP retornar mais de uma entrada. Por exemplo, se o usuário tornar o ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" e inserir Pa Kel, o filtro de procura resultante será "(cn=Pa* Kel*)". O filtro encontra múltiplas entradas como (cn=Paul Kelsey) e (cn=Paula Kelly) e a autenticação falha. Você deve modificar seu filtro de procura.

Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP.

Diretiva Ldap.version

A diretiva ldap.version indica a versão do protocolo LDAP utilizada para conectar-se ao servidor LDAP. A versão do protocolo utilizada pelo servidor LDAP determina a versão LDAP.

Atenção: Esta diretriz é opcional.
Nome Descrição
Sintaxe ldap.version=3
Escopo Instância única por sub-rotina de diretório
Padrão ldap.version=3
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores 2 ou 3

Diretiva Ldap.waitToRetryConnection.interval

A diretiva ldap.waitToRetryConnection.interval indica o tempo no qual o servidor da Web aguarda entre as tentativas com falha até a conexão.

Se o servidor LDAP ficar inativo, o servidor da Web continuará tentando se conectar.

Sintaxe ldap.waitToRetryConnection.interval=<secs>
Escopo Instância única por sub-rotina de diretório
Padrão 300
Módulo mod_ibm_ldap
Várias instâncias no arquivo de configuração sim
Valores Tempo (em segundos)
Tópico de Referência    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=rihs_ldapdirs
Nome do arquivo: rihs_ldapdirs.html