[AIX Solaris HP-UX Linux Windows]

LDAP ディレクティブ

こららの構成パラメーターは、IBM® HTTP Server の Lightweight Directory Access Protocol (LDAP) 機能を制御します。

非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): LDAP 構成に mod_ibm_ldap モジュールを使用している場合、mod_ibm_ldap ディレクティブを移行して mod_ldap モジュールを使用することを検討してください。mod_ibm_ldap モジュールは、今回の IBM HTTP Server リリースでは以前のリリースとの互換性のために提供されていますが、ご使用の LDAP 構成が今後も確実にサポートされるようにするには、既存の構成を移行して mod_authnz_ldap および mod_ldap モジュールを使用する必要があります。depfeat

LdapCodepageDir ディレクティブ

以前のバージョンとは異なり、現在ではコード・ページは構成されたサーバーのルート・ディレクトリーではなく IHS インストール・ディレクトリーに自動的にインストールされ、IHS インストール・ディレクトリーに対して相対的に参照されます。

LdapConfigfile ディレクティブ

LdapConfigFile ディレクティブは、 LDAP パラメーターのグループに関連付けられた LDAP プロパティー・ファイルの名前を指示します。
ディレクティブ 説明
構文 LdapConfigFile <Fully qualified path to configuration file>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト c:¥program files¥ibm http server¥conf¥ldap.prop.sample
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
単一構成ファイルへの完全修飾パス。 このディレクティブは、httpd.conf ファイル内で使用します。

LDAPRequire ディレクティブ

LDAPRequire ディレクティブは、ユーザーの指定コレクションに対する LDAP 認証によって管理されているリソースへのアクセスを制限する目的で使用します。 グループ・タイプを使用して LDAP に定義されているグループを使用することも、 LDAP フィルター・タイプを使用して属性値の類似セットを持つユーザーのコレクションを指定する ことも可能です。
名前 説明
構文 LDAPRequire filter <filter name> or LDAPRequire group <group1 [group2.group3....]>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", or LDAPRequire group "sample group".

このディレクティブは、httpd.conf ファイル内で使用します。

グループ・タイプを使用する場合で、複数のグループ値を指定するときは、 グループ検証はグループの論理 AND で行われます。ユーザーは、グループの論理 OR が 必要な場合は、sample Group1 および sample Group2 のメンバーで なければなりません。 たとえば、あるユーザーが sample Group1 または sample Group2 のメンバーである場合は、 新規の LDAP グループである our department group は、メンバーとして sample Group1 および sample Group2 がある LDAP サーバー 上に作成する必要があります。 それから、ディレクティブ LDAPRequire group our Department Group を 使用することになります。

Ldap.application.authType ディレクティブ

Ldap.application.authType ディレクティブは、 Web サーバーを LDAP サーバーに対して認証する方法を指定します。
名前 説明
構文 ldap.application.authType=None
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
  • None: LDAP サーバーが Web サーバーの認証を必要としない場合。
  • Basic: ユーザー ID として Web サーバーの識別名 (DN) を使用し、 パスワードとして stash ファイル内に保管されたパスワードを使用します。

Ldap.application.DN ディレクティブ

Ldap.application.DN ディレクティブは、 Web サーバーの識別名 (DN) を指示します。 基本認証を使用して LDAP サーバーにアクセスする際に、 この名前をユーザー名として使用します。 LDAP サーバー内に指定されたエントリーを使用して、 ディレクトリー・サーバーにアクセスします。
名前 説明
構文 ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
識別名

Ldap.application.password.stashFile ディレクティブ

Ldap.application.password.stashFile ディレクティブは、 サーバー認証タイプが Basic である場合に、 アプリケーションが LDAP サーバーに対して認証するための暗号化されたパスワードを格納している stash ファイルの名前を指示します。
名前 説明
構文 ldap.application.password.stashFile=c:¥IHS¥ldap.sth
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
stash ファイルへの完全修飾パス。 この stash ファイルは、ldapstash コマンドを使用して作成できます。

Ldap.cache.timeout ディレクティブ

ldap.cache.timeout ディレクティブは、 LDAP サーバーからの応答をキャッシュに入れます。 複数のプロセスとして実行するように Web サーバーを構成すると、 各プロセスは自身のコピーのキャッシュを管理します。
名前 説明
構文 ldap.cache.timeout= <secs>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 600
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
時間最大長 (秒数)。 LDAP サーバーから戻された応答は有効なままです。

Ldap.group.attribute ディレクティブ

ldap.group.attributes ディレクティブは、 識別名 (DN) が実際のグループであるかどうかを LDAP 検索を介して判別するために使用するフィルターを指示します。
名前 説明
構文 ldap.group.memberattribute = <attribute>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト uniquegroup
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
ldap attribute - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。

Ldap.group.dnattribute ディレクティブ

ldap.group.dnattributes は、 識別名 (DN) が実際のグループであるかどうかを LDAP 検索を介して判別するために使用するフィルターを指定します。
名前 説明
構文 ldap.group.memberattribute = <ldap filter>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト groupofnames groupofuniquenames
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
ldap filter - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。

Ldap.group.memberattribute ディレクティブ

ldap.group.memberattribute ディレクティブは、 既存のグループから固有のグループを検索するための属性を指定します。
名前 説明
構文 ldap.group.memberattribute = <ldap filter>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト groupofnames groupofuniquenames
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
ldap filter - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。

Ldap.group.memberAttributes ディレクティブ

ldap.group.memberAttributes ディレクティブは、 この関数が LDAP ディレクトリー内にグループ・エントリーを検出すると、 グループ・メンバーを抽出する手段として機能します。
名前 説明
構文 ldap.group.memberAttributes= attribute [attribute2....]
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト member および uniquemember
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
グループ・メンバーの識別名と等しくなければなりません。 メンバー情報を格納するために複数の属性を使用できます。

Ldap.group.name.filter ディレクティブ

ldap.group.name.filter ディレクティブは、 グループ名の検索に使用するフィルター LDAP を指示します。
名前 説明
構文 ldap.group.name.filter = <group name filter>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。

Ldap.group.search.depth ディレクティブ

ldap.group.search.depth ディレクティブは、LDAPRequire group <group> ディレクティブの指定時にサブグループを検索します。グループには、個々のメンバーおよびその他のグループの両方を含めることができます。
名前 説明
構文 ldap.group.search.depth = <integer depth>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 1
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
整数。 グループの検索を行う際に、認証のプロセス内のメンバーが、必要なグループのメンバーでない場合、 必要なグループのサブグループもすべて検索されます。 以下に例を示します。
group1 >group2 (group2 is a member of group1)
group2 >group3 (group3 is a member of group2)
group3 >jane   (jane is a member of group3)

ジェーンを検索する場合で、 彼女を group1 のメンバーとして要求すると、 検索はデフォルトの ldap.search.depth 値の 1 を表示して失敗します。 ldap.group.search.depth>2 を指定すると、検索は成功します。

ldap.group.search.depth=<depth to search -- number> を使用して、 サブグループ検索の深さを限定します。このタイプの検索は、LDAP サーバー上で非常に集約的になる可能性があります。 group1 が group2 をメンバーとして含み、group2 が group1 をメンバーとして含む場合、 このディレクティブは検索の深さを限定します。 上記の例では、group1 は 深さの 1 を含み、group2 は深さの 2 を含み、 group3 は深さの 3 を含んでいます。

Ldap.group.URL ディレクティブ

ldap.group.URL ディレクティブは、 同じ LDAP サーバー上のグループに異なるロケーションを指定します。 ldap.URL ディレクティブで指定された LDAP サーバーとは異なる LDAP サーバーを指定する場合は、 このディレクティブを使用することはできません。

名前 説明
構文 ldap.group.URL = ldap://<hostname:port>/<BaseDN>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
  • host name: LDAP サーバーのホスト名。
  • port number: LDAP サーバーが listen するオプションのポート番号。 TCP 接続用のデフォルトは 389 です。 SSL を使用する場合は、ポート番号を指定する必要があります。
  • BaseDN: グループの検索を実行する LDAP ツリーのルートを指定します。
重要:
グループの LDAP URL が、 ldap.URL プロパティーによって指定された URL と異なる場合、 このプロパティーが必要になります。

Ldap.idleConnection.timeout ディレクティブ

ldap.idleConnection.timeout ディレクティブは、 パフォーマンスのため、LDAP サーバーへの接続をキャッシュに入れます。
名前 説明
構文 ldap.idleConection.timeout = <secs>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 600
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
アイドル LDAP サーバー接続が非アクティブ状態のために閉じられるまでの時間の長さ (秒数)。

Ldap.key.file.password.stashfile ディレクティブ

ldap.key.file.password.stashfile ディレクティブは、 暗号化された鍵ファイル・パスワードを格納している stash ファイルを指示します。 この stash ファイルを作成するには、ldapstash コマンドを使用します。
名前 説明
構文 ldap.key.file.password.stashfile =d:¥ <Key password file name>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
stash ファイルへの完全修飾パス。

Ldap.key.fileName ディレクティブ

ldap.key.fileName ディレクティブは、 鍵ファイル・データベースのファイル名を指示します。 このオプションは、Secure Sockets Layer (SSL) を使用する場合に必須となります。
名前 説明
構文 ldap.key.fileName=d:¥<Key file name>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
鍵ファイルへの完全修飾パス。

Ldap.key.label ディレクティブ

ldap.key.file.password.stashfile ディレクティブは、 Web サーバーが LDAP サーバーに対する認証に使用する証明書ラベル名を指示します。
名前 説明
構文 My Server Certificate
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
鍵データベース・ファイル内で使用される有効なラベル。 Secure Sockets Layer (SSL) を使用する場合で、 LDAP サーバーが Web サーバーからのクライアント認証を要求する場合にのみ、このラベルが必要になります。

LdapReferralhoplimit ディレクティブ

LdapReferralHopLimit ディレクティブは、追跡する参照の 最大数を示します。指定された制限を超える場合、LDAP 認証は失敗します。
名前 説明
構文 LdapReferralHopLimit = <number_of_hops>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 10
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
0 から 10
LdapReferralhoplimit ディレクティブを使用するには、LdapReferrals ディレクティブを on に設定します。
重要: LdapReferralhoplimit 値を 0 にすると、 参照が検出されない場合は、認証が失敗します。

LdapReferralhoplimit ディレクティブは、LdapReferrals ディレクティブが off (デフォルト) の場合には意味を持ちません。

LdapReferrals ディレクティブ

LdapReferrals ディレクティブは、LDAP 照会の実行中に、 検索のために参照 (別の LDAP サーバーに対してクライアント要求のリダイレクトを行う) が 追跡されるかどうかを示します。
名前 説明
構文 LdapReferrals = off | on
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト off
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
on または off

Ldap.realm ディレクティブ

ldap.key.realm ディレクティブは、 要求側のクライアントが認識する保護域の名前を指示します。
名前 説明
構文 ldap.realm=<Protection Realm>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
保護ページを説明する記述。

Ldap.search.timeout ディレクティブ

ldap.search.timeout ディレクティブは、 LDAP サーバーによる検索操作の完了を待機する最大時間 (秒数) を指示します。
名前 説明
構文 ldap.search.timeout = <secs>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 10
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
時間の長さ (秒数)。

Ldap.transport ディレクティブ

ldap.transport ディレクティブは、 LDAP サーバーとの通信に使用されるトランスポート方法を指示します。
名前 説明
構文 ldap.transport = TCP
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト TCP
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
TCP または SSL

Ldap.url ディレクティブ

ldap.url ディレクティブは、 認証される LDAP サーバーの URL を指示します。
名前 説明
構文 ldap.url = ldap://<hostname:port>/<BaseDN>
各部の意味は、次のとおりです。
  • hostname: LDAP サーバーのホスト名を表します。
  • port: LDAP サーバーが listen するオプションのポート番号を表します。 TCP 接続用のデフォルトは 389 です。 SSL を使用する場合は、ポート番号を指定する必要があります。
  • BaseDN: ユーザーの検索を実行する LDAP ツリーのルートを指定します。

    以下に例を示します。ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト なし
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり

Ldap.user.authType ディレクティブ

ldap.usr.authType ディレクティブは、 Web サーバーを要求するユーザーを認証する方法を指示します。 LDAP サーバーにアクセスする際に、この名前をユーザー名として使用します。
名前 説明
構文 ldap.user.authType = BasicIfNoCert
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 基本
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
Basic, Cert, BasicIfNoCert

Ldap.user.cert.filter ディレクティブ

ldap.usr.cert.filter ディレクティブは、 Secure Sockets Layer (SSL) を介して渡されるクライアント証明書内の情報を LDAP エントリー用の検索フィルターに変換するために使用されるフィルターを指示します。
名前 説明
構文 ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。

Secure Socket Layer (SSL) 証明書には、以下のフィールドが含まれており、 これらはすべて検索フィルターに変換することができます。

証明書フィールド 変数
共通名 %v1
組織単位 %v2
organization %v3
%v4
市町村 %v5
都道府県 %v6
シリアル番号 %v7
検索フィルターを生成すると、 フィールド値は、該当する変数フィールド (%v1、%v2) に入っています。 以下の表では、変換を示します。
ユーザー証明書 フィルター変換
証明書 cn=Road Runner, o=Acme Inc, c=US
フィルター (cn=%v1, o=%v3, c=%v4)
結果として得られる照会 (cn=RoadRunner, o=Acme, Inc, c=US)

Ldap.user.name.fieldSep ディレクティブ

ldap.usr.name.fieldSep ディレクティブは、 フィールドへのユーザー名を構文解析する際に、 文字を有効なフィールド分離文字として指示します。
名前 説明
構文 ldap.user.name.fieldSep=/
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト スペース、コンマ、およびタブ (/t) 文字。
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
文字。 「/」が唯一のフィールド分離文字を表す場合に「Joe Smith/Acme」と入力すると、「%v2」が「Acme」と等しくなります。

Ldap.user.name.filter ディレクティブ

ldap.usr.name.filter ディレクティブは、 検索フィルターに入力されたユーザー名を LDAP エントリーに変換するために使用されるフィルターを指示します。

名前 説明
構文 ldap.user.name.filter=<user name filter>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト "((objectclass=person) (cn=%v1 %v2))"、 ここで、%v1%v2 は、 ユーザーによって入力された文字を表します。

例えば、ユーザーが「Paul Kelsey」と入力すると、 結果として得られる検索フィルターは、 「((objectclass=person)(cn=Paul Kelsey))」となります。 検索フィルター構文については、 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。

ただし、Web サーバーは、複数の戻されたエントリーを区別できないため、 LDAP サーバーが複数のエントリーを戻すと、認証は失敗します。 例えば、ユーザーが ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" を作成し、 Pa Kel と入力すると、 結果として得られる検索フィルターは「(cn=Pa* Kel*)」となります。 フィルターは、(cn=Paul Kelsey) や (cn=Paula Kelly) などの複数のエントリーを検出して、 認証が失敗します。 検索フィルターを変更する必要があります。

モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。

Ldap.version ディレクティブ

ldap.version ディレクティブは、 LDAP サーバーへの接続に使用される LDAP プロトコルのバージョンを指示します。 LDAP サーバーによって使用されるプロトコル・バージョンは、LDAP バージョ ンを判別します。

重要: このディレクティブはオプションです。
名前 説明
構文 ldap.version=3
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト ldap.version=3
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
2 または 3

Ldap.waitToRetryConnection.interval ディレクティブ

ldap.waitToRetryConnection.interval ディレクティブは、 Web サーバーが、失敗した接続試行間に待機する時間を指示します。

LDAP サーバーが停止すると、Web サーバーは引き続き接続を試行します。

名前 説明
構文 ldap.waitToRetryConnection.interval=<secs>
有効範囲 ディレクトリー・スタンザごとの単一インスタンス
デフォルト 300
モジュール mod_ibm_ldap
構成ファイル内の複数インスタンス あり
時間 (秒数)

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ldapdirs
ファイル名:rihs_ldapdirs.html