Diese Konfigurationsparameter steuern das LDAP-Feature (Lightweight Directory Access Protocol) in IBM HTTP Server.
Veraltetes Feature: Wenn Sie das Modul "mod_ibm_ldap" für Ihre
LDAP-Konfiguration verwenden, sollten Sie Ihre mod_ibm_ldap-Anweisungen auf das Modul "mod_ldap" migrieren.
Das Modul "mod_ibm_ldap" wird in diesem Release
von IBM® HTTP
Server für die Kompatibilität mit früheren Releases zwar noch bereitgestellt, aber Sie müssen vorhandene
Konfigurationen auf die Verwendung der Module "mod_authnz_ldap" und "mod_ldap" umstellen, um die künftige Unterstützung
Ihrer LDAP-Konfiguration zu gewährleisten.
depfeat
Anweisung "LdapCodepageDir"
Codepages
werden jetzt automatisch im IHS-Installationsverzeichnis installiert und werden relativ
zum IHS-Installationsverzeichnis und nicht wie in den vorherigen Versionen zum konfigurierten Serverstammverzeichnis referenziert.
Anweisung "LdapConfigfile"
Die Anweisung "LdapConfigFile" gibt den Namen der LDAP-Eigenschaftendatei an, die einer Gruppe von
LDAP-Parametern
zugeordnet ist.
Anweisung |
Beschreibung |
Syntax |
LdapConfigFile <vollständig qualifizierter Pfad der Konfigurationsdatei> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
c:\Programme\ibm http server\conf\ldap.prop.sample |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad einer Konfigurationsdatei. Verwenden Sie diese Anweisung in der Datei
httpd.conf. |
Anweisung "LDAPRequire"
Mit der Anweisung "LDAPRequire" können Sie den Zugriff auf eine Ressource, die durch LDAP-Authentifizierung
kontrolliert wird, auf eine bestimmte Gruppe von Benutzern beschränken.
Sie können mit der Anweisung bestimmte Gruppen, die in LDAP definiert sind, auf der Basis des Gruppentyps
oder einen LDAP-Filtertyp angeben, um eine Benutzergruppe mit ähnlichen Attributwerten zu bestimmen.
Name |
Beschreibung |
Syntax |
LDAPRequire filter <Filtername> oder LDAPRequire group <Gruppe1
[Gruppe2.Gruppe3....]> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
oder LDAPRequire group "Beispielgruppe". Verwenden Sie diese Anweisung in der Datei
httpd.conf.
|
Wenn Sie den Gruppentyp verwenden und mehrere Gruppenwerte angeben, ist die Gruppenauswertung
eine logische UND-Verknüpfung der Gruppen.
Der Benutzer muss ein Member von Beispielgruppe1 und Beispielgruppe2 sein, wenn eine logische ODER-Verknüpfung der Gruppen erforderlich ist.
Wenn ein Benutzer beispielsweise Member von Beispielgruppe1 oder Beispielgruppe2 ist, muss eine neue
LDAP-Gruppe (unsere Abteilungsgruppe auf dem LDAP-Server erstellt werden, die
Beispielgruppe1 und Beispielgruppe2 als Member hat.
In diesem Fall verwenden Sie die folgende Anweisung: LDAPRequire group unsere Abteilungsgruppe.
Anweisung "Ldap.application.authType"
Die Anweisung "Ldap.application.authType"
gibt die Methode für die Authentifizierung des Web-Servers beim LDAP-Server an.
Name |
Beschreibung |
Syntax |
ldap.application.authType=None |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- None: Der LDAP-Server setzt keine Authentifizierung des Web-Servers voraus.
- Basic: Der definierte Name (DN) des Web-Servers wird als Benutzer-ID verwendet, und das Kennwort wird in der Stashdatei gespeichert.
|
Anweisung "Ldap.application.DN"
Die Anweisung "Ldap.application.DN"
gibt den definierten Namen
(DN) des Web-Servers an. Verwenden Sie diesen Namen als Benutzernamen, wenn Sie mit Basisauthentifizierung auf den LDAP-Server zugreifen.
Für den Zugriff auf den Verzeichnisserver verwenden Sie den im LDAP-Server angegebenen Eintrag.
Name |
Beschreibung |
Syntax |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Definierter Name (DN) |
Anweisung "Ldap.application.password.stashFile"
Die Anweisung "Ldap.application.password.stashFile" gibt den Namen der Stashdatei an, die das
verschlüsselte Kennwort enthält, das die Anwendung für die Authentifizierung beim LDAP-Server verwendet, wenn als
Typ für die Serverauthentifizierung "Basic" ausgewählt ist.
Name |
Beschreibung |
Syntax |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der Stashdatei. Sie können diese Stashdatei mit dem Befehl
ldapstash erstellen. |
Anweisung "Ldap.cache.timeout"
Die Anweisung "ldap.cache.timeout" stellt Antworten vom LDAP-Server in den Cache.
Wenn Sie im Web-Server die Ausführung mehrerer Prozessen konfigurieren, verwaltet jeder Prozess seine eigene
Kopie des Cache.
Name |
Beschreibung |
Syntax |
ldap.cache.timeout= <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Die maximale Gültigkeitsdauer (in Sekunden) einer vom LDAP-Server zurückgegebenen Antwort |
Anweisung "Ldap.group.attributes"
Die Anweisung "ldap.group.attributes" gibt den Filter an, der verwendet wird, um festzustellen, ob ein definierter
Name (DN) eine echte Gruppe in LDAP ist.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <Attribut> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
uniquegroup |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Attribut. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.dnattributes"
Die Anweisung "ldap.group.dnattributes" gibt die Filter an, die bei einer LDAP-Suche verwendet werden, um festzustellen, ob ein definierter
Name (DN) eine Gruppe ist.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Gruppe_von_Namen Gruppe_von_eindeutigen_Namen |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.memberattribute"
Die Anweisung
"ldap.group.memberattribute" gibt das Attribut für den Abruf eindeutiger
Gruppen aus einer vorhandenen Gruppe an.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Gruppe_von_Namen Gruppe_von_eindeutigen_Namen |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.memberAttributes"
Mit der Anweisung
"ldap.group.memberAttributes" können Gruppenmember extrahiert werden, sobald die Funktion einen Gruppeneintrag
in einem LDAP-Verzeichnis findet.
Name |
Beschreibung |
Syntax |
ldap.group.memberAttributes= Attribut [Attribut2....] |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
member und uniquemember |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Die definierten Namen der Gruppenmember. Sie können mehrere Attribute für Memberinformationen verwenden. |
Anweisung "Ldap.group.name.filter"
Die Anweisung "ldap.group.name.filter"
gibt den Filter an, den LDAP
für die Suche von Gruppennamen verwendet.
Name |
Beschreibung |
Syntax |
ldap.group.name.filter = <Filter_für_Gruppennamen> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
Anweisung "Ldap.group.search.depth"
Die Anweisung "ldap.group.search.depth"
durchsucht Untergruppen, wenn Sie die Anweisungen
"LDAPRequire
group <Gruppe>" angeben.
Gruppen können einzelne Member und andere Gruppe enthalten.
Name |
Beschreibung |
Syntax |
ldap.group.search.depth = <Verschachtelungstiefe (Integer)> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
1 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein Integer. Wenn Sie eine Suchfunktion für eine Gruppe ausführen und
ein Member im Authentifizierungsprozess kein Member der erforderlichen Gruppe ist, werden
alle Untergruppen der erforderlichen Gruppe ebenfalls durchsucht.
Beispiel:
Gruppe >Gruppe2 (Gruppe2 ist Member von Gruppe1)
Gruppe2 >Gruppe3 (Gruppe3 ist Member von Gruppe2)
Gruppe3 >jane (jane ist Member von Gruppe3)
Wenn Sie nach jane suchen und jane Member von Gruppe1 sein muss, schlägt die
Suche fehl, wenn ldap.search.depth den Standardwert 1 hat. Wenn Sie ldap.group.search.depth>2 angeben,
ist die Suche erfolgreich.
Verwenden Sie ldap.group.search.depth=<Suchtiefe -- Zahl>, um die Tiefe für das
Durchsuchen von Untergruppen zu beschränken. Diese Art von Suchen kann auf einem LDAP-Server sehr
intensiv werden.
Wenn Gruppe1 die Gruppe2 als Member hat und Gruppe2
die Gruppe1 als Member hat, beschränkt diese Anweisung die Suchtiefe.
Im vorherigen Beispiel hat Gruppe1 eine Suchtiefe von 1, Gruppe2 eine Suchtiefe von 2 und Gruppe3 eine Suchtiefe von 3.
|
Anweisung "Ldap.group.URL"
Die Anweisung "ldap.group.URL" gibt eine andere Position für eine Gruppe in demselben LDAP-Server
an.
Sie können mit dieser Anweisung keinen anderen LDAP-Server als den angeben, der mit der
Anweisung ldap.URL definiert wurde.
Name |
Beschreibung |
Syntax |
ldap.group.URL = ldap://<Hostname:Port>/<Basis-DN> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- Hostname: Der Hostname des LDAP-Servers.
- Portnummer: Optionaler Empfangsport für LDAP-Server. Der Standardport für
TCP-Verbindungen ist 389. Wenn Sie SSL verwenden, müssen Sie die Portnummer angeben.
- Basis-DN: Steht für den Stamm der LDAP-Struktur, in der nach Gruppen gesucht wird.
|
Achtung:
Diese Eigenschaft ist erforderlich, wenn der LDAP-URL für Gruppen von dem mit der
Eigenschaft "ldap.URL" angegebenen URL abweicht.
Anweisung "Ldap.idleConnection.timeout"
Mit der Anweisung
"ldap.idleConnection.timeout" können Sie Verbindungen zum LDAP-Server zwischenspeichern, um eine bessere Leistung zu erzielen.
Name |
Beschreibung |
Syntax |
ldap.idleConection.timeout = <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Gibt an, wie lange (in Sekunden) gewartet wird, bis eine inaktive Verbindung zum LDAP-Server geschlossen wird. |
Anweisung "Ldap.key.file.password.stashfile"
Die Anweisung
"ldap.key.file.password.stashfile" gibt die Stashdatei an, die das verschlüsselte Kennwort für die Schlüsseldatei enthält. Verwenden Sie zum Erstellen dieser Stashdatei den Befehl ldapstash.
Name |
Beschreibung |
Syntax |
ldap.key.file.password.stashfile =d:\ <Dateiname_für_Schlüsselkennwort> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der Stashdatei. |
Anweisung "Ldap.key.fileName"
Die Anweisung "ldap.key.fileName" gibt den Dateinamen der Schlüsseldatenbankdatei an.
Diese Option ist erforderlich, wenn Sie Secure Sockets
Layer (SSL) verwenden.
Name |
Beschreibung |
Syntax |
ldap.key.fileName=d:\<Name_der_Schlüsseldatei> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der Schlüsseldatei |
Anweisung "Ldap.key.label"
Die Anweisung "ldap.key.file.password.stashfile" gibt den Namen des Zertifikatkennsatzes an, den der Web-Server für die
Authentifizierung beim LDAP-Server verwendet.
Name |
Beschreibung |
Syntax |
Mein Serverzertifikat |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein gültiger Kennsatz, der in der Schlüsseldatenbankdatei verwendet wird. Dieser Kennsatz
ist nur erforderlich, wenn Secure Sockets Layer (SSL) verwendet wird und der LDAP-Server vom Web-Server eine Clientauthentifizierung
anfordert. |
Anweisung "LdapReferralhoplimit"
Die Anweisung "LdapReferralHopLimit"
gibt die maximale Anzahl der zu verfolgenden Bezugsdaten an. Die LDAP-Authentifizierung schlägt fehl, wenn der angegebene Grenzwert überschritten wird.
Name |
Beschreibung |
Syntax |
LdapReferralHopLimit = <Anzahl_der_Hosts> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
0 bis 10 |
Wenn Sie die Anweisung "LdapReferralhoplimit" verwenden möchten, setzen Sie die Anweisung
"LdapReferrals" auf
on.
Wichtig: Wenn für LdapReferralhoplimit der Wert 0 angegeben wurde,
schlägt die Authentifizierung fehl, wenn Bezugsdaten gefunden werden.
Die Anweisung "LdapReferralhoplimit"
ist wirkungslos, wenn die Anweisung "LdapReferrals" auf off (Standardeinstellung) gesetzt ist.
Anweisung "LdapReferrals"
Die Anweisung "LdapReferrals"
gibt an, ob Bezugsdaten (Referrals) (über die eine Clientanforderung an einen anderen LDAP-Server umgeleitet wird)
bei der Durchführung von LDAP-Abfragen verfolgt werden.
Name |
Beschreibung |
Syntax |
LdapReferrals = off | on |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Off |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
On oder Off |
Anweisung "Ldap.realm"
Die Anweisung "ldap.key.realm" gibt den Namen des geschützten Bereichs an, der für den anfordernden Client sichtbar ist.
Name |
Beschreibung |
Syntax |
ldap.realm=<Zugriffsschutzrealm> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Eine Beschreibung der geschützten Seite |
Anweisung "Ldap.search.timeout"
Mit der Anweisung "ldap.search.timeout" können Sie das Zeitlimit (in Sekunden) für die Durchführung von Suchoperationen im LDAP-Server festlegen.
Name |
Beschreibung |
Syntax |
ldap.search.timeout = <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit in Sekunden |
Anweisung "Ldap.transport"
Mit der Anweisung "ldap.transport" können Sie die für die Kommunikation mit dem LDAP-Server zu verwendende
Transportmethode festlegen.
Name |
Beschreibung |
Syntax |
ldap.transport = TCP |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
TCP |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
TCP oder SSL |
Anweisung "Ldap.url"
Die Anweisung "ldap.url" gibt den URL des LDAP-Servers für die Authentifizierung an.
Name |
Beschreibung |
Syntax |
ldap.url = ldap://<Hostname:Port>/<Basis-DN>Für diese Angaben gilt Folgendes:
|
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Anweisung "Ldap.user.authType"
Die Anweisung "ldap.usr.authType" gibt die Methode an, die für die Authentifizierung eines Benutzers verwendet wird,
der einen Web-Server anfordert.
Verwenden Sie diesen Namen als Benutzernamen für den Zugriff auf einen LDAP-Server.
Name |
Beschreibung |
Syntax |
ldap.user.authType = BasicIfNoCert |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Basic |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Basic, Cert, BasicIfNoCert |
Anweisung "Ldap.user.cert.filter"
Die Anweisung "ldap.usr.cert.filter" gibt den Filter an, der für die Konvertierung
der Informationen im Clientzertifikat verwendet wird, das über SSL (Secure Sockets
Layer) an einen Suchfilter für einen LDAP-Eintrag übergeben wird.
Name |
Beschreibung |
Syntax |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
SSL-Zertifikate enthalten die folgenden Felder, die alle in einen Suchfilter konvertiert werden können:
Zertifikatsfeld |
Variable |
Allgemeiner Name |
%v1 |
Organisationseinheit |
%v2 |
Organisation |
%v3 |
Land |
%v4 |
Standort |
%v5 |
Staat oder Land |
%v6 |
Seriennummer |
%v7 |
Wenn Sie den Suchfilter generieren, können Sie die Feldwerte in den entsprechenden
Variablenfeldern (%v1, %v2) finden.
Die folgende Tabelle veranschaulicht die Konvertierung:
Benutzerzertifikat |
Filterkonvertierung |
Zertifikat |
cn=Road Runner, o=Acme Inc, c=US |
Filter |
(cn=%v1, o=%v3, c=%v4) |
Entstehende Abfrage |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Anweisung "Ldap.user.name.fieldSep"
Die Anweisung "ldap.usr.name.fieldSep" definiert die gültigen Feldtrennzeichen für die Syntaxanalyse von
Benutzernamen in Feldern.
Name |
Beschreibung |
Syntax |
ldap.user.name.fieldSep=/ |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
Leerzeichen, Komma, Tabulatorzeichen (/t) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeichen. Wenn '/' das einzige Feldtrennzeichen ist und der Benutzer "Joe Smith/Acme"
eingibt, entspricht '%v2' der Angabe "Acme". |
Anweisung "Ldap.user.name.filter"
Die Anweisung "ldap.usr.name.filter" gibt den Filter an, der zum Konvertieren
des Benutzernamens verwendet wird, der in einem Suchfilter für einen LDAP-Eintrag eingegeben wurde.
Name |
Beschreibung |
Syntax |
ldap.user.name.filter=<Filter_für_Benutzername> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
"((objectclass=person) (cn=%v1 %v2))", wobei %v1 und %v2
für Zeichen stehen, die der Benutzer eingibt. Wenn der Benutzer beispielsweise
"Paul Kelsey" eingibt, ist der entsprechende Suchfilter "((objectclass=person)(cn=Paul Kelsey))". Die Syntax für Suchfilter ist im Abschnitt "LDAP-Server mit LDAP-Suchfiltern abfragen" beschrieben.
Da der Web-Server nicht zwischen mehreren zurückgegebenen Einträgen unterscheiden kann, schlägt die
Authentifizierung fehl, wenn der LDAP-Server mehrere Einträge zurückgibt.
Wenn der Benutzer beispielsweise ldap.user.name.filter= "((objectclass=person)(cn=%v1*
%v2*))" verwendet und Pa Kel eingibt, ist der entsprechende Suchfilter "(cn=Pa* Kel*)". Der Filter findet mehrere Einträge, z. B. (cn=Paul Kelsey) und
(cn=Paula Kelly), und die Authentifizierung schlägt fehl. Sie müssen Ihren Suchfilter ändern.
|
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
Anweisung "Ldap.version"
Die Anweisung "ldap.version" gibt die Version des LDAP-Protokolls an,
das für die Verbindungsherstellung zum LDAP-Server verwendet wird. Die LDAP-Version
wird durch die vom LDAP-Server verwendete Protokollversion bestimmt.
Achtung: Diese Anweisung ist optional.
Name |
Beschreibung |
Syntax |
ldap.version=3 |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
ldap.version=3 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
2 oder 3 |
Anweisung "Ldap.waitToRetryConnection.interval"
Die Anweisung "ldap.waitToRetryConnection.interval" gibt an, wie lange der Web-Server nach einem
fehlgeschlagenen Verbindungsversuch mit einer Wiederholung wartet.
Wenn ein LDAP-Server abstürzt, versucht der Web-Server weiter, die Verbindung aufzubauen.
Syntax |
ldap.waitToRetryConnection.interval=<Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardeinstellung |
300 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit (in Sekunden) |