這些配置參數可控制 IBM® HTTP Server 中的「輕量型目錄存取通訊協定 (LDAP)」特性。
已淘汰的特性: 如果您為 LDAP 配置使用 mod_ibm_ldap 模組,請考慮將 mod_ibm_ldap 指引移轉為使用 mod_ldap 模組。mod_ibm_ldap 模組隨附於此版本的 IBM HTTP Server,以與舊版相容,不過,您必須將現有的配置移轉為使用 mod_authnz_ldap 和 mod_ldap 模組,以確保未來能夠支援 LDAP 配置。
depfeat
LdapCodepageDir 指引
現在字碼頁會自動安裝在 IHS 安裝目錄中,並相對於 IHS 安裝目錄進行參照,這與舊版中配置的伺服器根目錄相反。
LdapConfigfile 指引
LdapConfigFile 指引指出與 LDAP 參數群組相關聯的 LDAP 內容檔名稱。
指引 |
說明 |
語法 |
LdapConfigFile <配置檔的完整路徑> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
c:\program files\ibm http server\conf\ldap.prop.sample |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
單一配置檔的完整路徑。將此指引用在 httpd.conf 檔案中。 |
LDAPRequire 指引
LDAPRequire 指引可將 LDAP 鑑別控制之資源的存取權限制在所指定的使用者集合。它可以藉由群組類型來使用 LDAP 中定義的群組,或者可以使用 LDAP 過濾器類型來指定具有類似屬性值集的使用者集合。
名稱 |
說明 |
語法 |
LDAPRequire filter <過濾器名稱> 或 LDAPRequire group <群組1 [群組2.群組3....]> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",或 LDAPRequire group "sample group"。 將此指引用在 httpd.conf 檔案中。
|
如果使用群組類型,並指定多個群組值,則群組驗證為群組的邏輯 AND。如果群組的邏輯 OR 是必要項目,則使用者必須是範例群組1 和範例群組2 的成員。例如,若使用者是範例群組1 和範例群組2 的成員,則新的 LDAP 群組「我們的部門群組」應該建立在具有範例群組1 和範例群組2 成員的 LDAP 伺服器上。然後您可以使用指引:LDAPRequire group 我們的部門群組。
Ldap.application.authType 指引
Ldap.application.authType 指引可指定用來向 LDAP 伺服器鑑別 Web 伺服器的方法。
名稱 |
說明 |
語法 |
ldap.application.authType=None |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
- None:如果 LDAP 伺服器不需要 Web 伺服器進行鑑別。
- Basic:使用 Web 伺服器的識別名稱 (DN) 作為使用者 ID,而密碼儲存在隱藏檔中作為密碼。
|
Ldap.application.DN 指引
Ldap.application.DN 指引指出 Web 伺服器的識別名稱 (DN)。使用基本鑑別 (BA) 來存取 LDAP 伺服器時,請使用這個名稱作為使用者名稱。使用 LDAP 伺服器中指定的項目來存取目錄伺服器。
名稱 |
說明 |
語法 |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
識別名稱 |
Ldap.application.password.stashFile 指引
Ldap.application.password.stashFile 指引指出包含已加密密碼的隱藏檔名稱,當「伺服器鑑別」類型為「基本」時,可讓應用程式向 LDAP 伺服器鑑別。
名稱 |
說明 |
語法 |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
隱藏檔的完整路徑。您可以用 ldapstash 指令來建立這個隱藏檔。 |
Ldap.cache.timeout 指引
ldap.cache.timeout 指引會從 LDAP 伺服器快取回應。如果您將 Web 伺服器配置為以多個程序來執行,則每個程序會管理它自己的快取副本。
名稱 |
說明 |
語法 |
ldap.cache.timeout= <秒> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
600 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
從 LDAP 伺服器傳回的回應維持有效的時間長度上限(以秒為單位)。 |
Ldap.group.attribute 指引
ldap.group.attributes 指引指出透過 LDAP 搜尋,用來判斷識別名稱 (DN) 是否為實際群組的過濾器。
名稱 |
說明 |
語法 |
ldap.group.memberattribute = <屬性> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
uniquegroup |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
ldap 屬性 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。 |
Ldap.group.dnattribute 指引
ldap.group.dnattributes 指定透過 LDAP 搜尋,用來判斷識別名稱 (DN) 是否為實際群組的過濾器。
名稱 |
說明 |
語法 |
ldap.group.memberattribute = <ldap 過濾器> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
groupofnames groupofuniquenames |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
ldap 過濾器 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。 |
Ldap.group.memberattribute 指引
ldap.group.memberattribute 指引指定用來從現有群組擷取唯一群組的屬性。
名稱 |
說明 |
語法 |
ldap.group.memberattribute = <ldap 過濾器> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
groupofnames groupofuniquenames |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
ldap 過濾器 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。 |
Ldap.group.memberAttributes 指引
當函數在 LDAP 目錄中找到群組項目時,ldap.group.memberAttributes 指引可用來作為擷取群組成員的方法。
名稱 |
說明 |
語法 |
ldap.group.memberAttributes= 屬性 [屬性2....] |
範圍 |
每個目錄段落各一個實例 |
預設值 |
member 和 uniquemember |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
必須等於群組成員的識別名稱。您可以使用多個屬性來包含成員資訊。 |
Ldap.group.name.filter 指引
ldap.group.name.filter 指引指出 LDAP 用來搜尋群組名稱的過濾器。
名稱 |
說明 |
語法 |
ldap.group.name.filter = <群組名稱過濾器> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。 |
Ldap.group.search.depth 指引
ldap.group.search.depth 指引會在指定 LDAPRequire group <群組> 指引時,搜尋子群組。群組可以包含個別成員和其他群組。
名稱 |
說明 |
語法 |
ldap.group.search.depth = <整數深度> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
1 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
整數。在搜尋群組時,如果鑑別程序中的成員不是必要群組的成員,也會搜尋必要群組的子群組。例如:group1 >group2(group2 是 group1 的成員)
group2 >group3(group3 是 group2 的成員)
group3 >jane (jane 是 group3 的成員)
如果您搜尋 jane,並且需要她作為 group1 的成員,則使用預設的 ldap.search.depth 值 1 時,搜尋會失敗。如果您指定 ldap.group.search.depth>2,則搜尋成功。
您可以使用 ldap.group.search.depth=<搜尋深度 -- 數值> 來限制子群組搜尋的深度。這種類型的搜尋在 LDAP 伺服器上會變得非常密集。當 group2 是 group1 的成員,且 group1 是 group2 的成員,此指引會限制搜尋的深度。在前一個範例中,group1 的深度為 1,group2 的深度為 2,而 group3 的深度為 3。
|
Ldap.group.URL 指引
ldap.group.URL 指引可以為群組在相同的 LDAP 伺服器上指定不同的位置。您不能使用這個指引來指定不同於 ldap.URL 指引中指定的 LDAP 伺服器。
名稱 |
說明 |
語法 |
ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
- host name:LDAP 伺服器的主機名稱。
- port number:LDAP 伺服器接聽的選用埠號。TCP 連線的預設值為 389。如果您使用 SSL,就必須指定埠號。
- BaseDN:提供 LDAP 樹狀結構的根目錄,以在其中執行群組的搜尋作業。
|
小心:
如果群組的 LDAP URL 不同於 ldap.URL 內容指定的 URL,則此內容變成必要項目。
Ldap.idleConnection.timeout 指引
ldap.idleConnection.timeout 指引會快取連接至 LDAP 伺服器的連線,以增進效能。
名稱 |
說明 |
語法 |
ldap.idleConection.timeout = <秒> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
600 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
閒置的 LDAP 伺服器連線因為沒有活動而關閉之前的時間長度(以秒為單位)。 |
Ldap.key.file.password.stashfile 指引
ldap.key.file.password.stashfile 指引指出包含已加密之金鑰檔密碼的隱藏檔;您可以使用 ldapstash 指令來建立這個隱藏檔。
名稱 |
說明 |
語法 |
ldap.key.file.password.stashfile =d:\ <金鑰密碼檔名稱> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
隱藏檔的完整路徑。 |
Ldap.key.fileName 指引
ldap.key.fileName 指引指出金鑰檔資料庫的檔名。當您使用 Secure Sockets Layer (SSL) 時,這會變成必要選項。
名稱 |
說明 |
語法 |
ldap.key.fileName=d:\<金鑰檔名稱> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
金鑰檔的完整路徑。 |
Ldap.key.label 指引
ldap.key.file.password.stashfile 指引指出 Web 伺服器用來向 LDAP 伺服器鑑別的憑證標籤名稱。
名稱 |
說明 |
語法 |
我的伺服器憑證 |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
金鑰資料庫檔中使用的有效標籤。唯有當您使用 Secure Sockets Layer (SSL),且 LDAP 伺服器向 Web 伺服器要求用戶端鑑別時,這才會變成必要標籤。 |
LdapReferralhoplimit 指引
LdapReferralHopLimit 指引指出所要追蹤的轉介數目上限。如果超過指定的限制,LDAP 鑑別將會失敗。
名稱 |
說明 |
語法 |
LdapReferralHopLimit = <躍點數目> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
10 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
0 到 10 |
將 LdapReferrals 指引設為
on,以使用 LdapReferralhoplimit 指引。
重要: 如果 LdapReferralhoplimit 值為 0,在遇到任何轉介時,將會導致鑑別失敗。
當 LdapReferrals 指引為 off(預設值)時,LdapReferralhoplimit 指引沒有意義。
LdapReferrals 指引
LdapReferrals 指引指出在執行 LDAP 查詢時,是否會追蹤轉介(將用戶端要求重新導向至另一部 LDAP 伺服器),以進行搜尋。
名稱 |
說明 |
語法 |
LdapReferrals = off | on |
範圍 |
每個目錄段落各一個實例 |
預設值 |
off |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
On 或 Off |
Ldap.realm 指引
ldap.key.realm 指引指出受保護區域的名稱,如發出要求的用戶端所看到的。
名稱 |
說明 |
語法 |
ldap.realm=<保護領域> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
描述受保護頁面的說明。 |
Ldap.search.timeout 指引
ldap.search.timeout 指引指出等待 LDAP 伺服器完成搜尋作業的時間上限(以秒為單位)。
名稱 |
說明 |
語法 |
ldap.search.timeout = <秒> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
10 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
時間長度(以秒為單位)。 |
Ldap.transport 指引
ldap.transport 指引指出用來與 LDAP 伺服器通訊的傳輸方法。
名稱 |
說明 |
語法 |
ldap.transport = TCP |
範圍 |
每個目錄段落各一個實例 |
預設值 |
TCP |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
TCP 或 SSL |
Ldap.url 指引
ldap.url 指引指出要對其進行鑑別之 LDAP 伺服器的 URL。
名稱 |
說明 |
語法 |
ldap.url = ldap://<hostname:port>/<BaseDN>
|
範圍 |
每個目錄段落各一個實例 |
預設值 |
無 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
Ldap.user.authType 指引
ldap.usr.authType 指引指出用來鑑別要求 Web 伺服器之使用者的方法。存取 LDAP 伺服器時,請使用這個名稱作為使用者名稱。
名稱 |
說明 |
語法 |
ldap.user.authType = BasicIfNoCert |
範圍 |
每個目錄段落各一個實例 |
預設值 |
基本 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
Basic、Cert、BasicIfNoCert |
Ldap.user.cert.filter 指引
ldap.usr.cert.filter 指引指出過濾器,以用來將透過 Secure Sockets Layer (SSL) 傳遞之用戶端憑證中的資訊,轉換成 LDAP 項目的搜尋過濾器。
名稱 |
說明 |
語法 |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
範圍 |
每個目錄段落各一個實例 |
預設值 |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。 |
Secure Socket Layer (SSL) 憑證包含下列欄位,這些欄位全都可以轉換成搜尋過濾器:
憑證欄位 |
變數 |
通用名稱 |
%v1 |
組織單位 |
%v2 |
組織 |
%v3 |
國家/地區 |
%v4 |
地區 |
%v5 |
州/省或國家/地區 |
%v6 |
序號 |
%v7 |
當您產生搜尋過濾器時,可以在相符的變數欄位(%v1、%v2)中尋找欄位值。下表顯示該轉換:
使用者憑證 |
過濾器轉換 |
憑證 |
cn=Road Runner、o=Acme Inc、c=US |
過濾器 |
(cn=%v1、o=%v3、c=%v4) |
所產生的查詢 |
(cn=RoadRunner、o=Acme, Inc、c=US) |
Ldap.user.name.fieldSep 指引
ldap.usr.name.fieldSep 指引指出將使用者名稱剖析至欄位中時,作為有效欄位分隔字元的字元。
名稱 |
說明 |
語法 |
ldap.user.name.fieldSep=/ |
範圍 |
每個目錄段落各一個實例 |
預設值 |
空格、逗點和定位點 (/t) 字元。 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
字元。如果 '/' 代表唯一的欄位分隔字元,而使用者輸入 "Joe Smith/Acme",則 '%v2' 等於 "Acme"。 |
Ldap.user.name.filter 指引
ldap.usr.name.filter 指引指出過濾器,以用來轉換在 LDAP 項目的搜尋過濾器中輸入的使用者名稱。
名稱 |
說明 |
語法 |
ldap.user.name.filter=<使用者名稱過濾器> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
"((objectclass=person) (cn=%v1 %v2))",其中 %v1 和 %v2 代表使用者輸入的字元。 例如,若使用者輸入 "Paul Kelsey",所產生的搜尋過濾器會變成 "((objectclass=person)(cn=Paul Kelsey))"。您可以尋找「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」中說明的搜尋過濾器語法。
不過,由於 Web 伺服器無法區分多個傳回的項目,因此當 LDAP 伺服器傳回多個項目時,鑑別會失敗。例如,如果使用者建立 ldap.user.name.filter=
"((objectclass=person)(cn=%v1* %v2*))",並輸入 Pa Kel,則產生的搜尋過濾器會變成
"(cn=Pa* Kel*)"。過濾器會尋找多個項目,例如 (cn=Paul Kelsey) 和 (cn=Paula Kelly),而鑑別就會失敗。您必須修改搜尋過濾器。
|
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。 |
Ldap.version 指引
ldap.version 指引指出用來連接至 LDAP 伺服器的 LDAP 通訊協定版本。LDAP 伺服器使用的通訊協定版本會決定 LDAP 版本。
小心: 此為選用指引。
名稱 |
說明 |
語法 |
ldap.version=3 |
範圍 |
每個目錄段落各一個實例 |
預設值 |
ldap.version=3 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
2 或 3 |
Ldap.waitToRetryConnection.interval 指引
ldap.waitToRetryConnection.interval 指引指出 Web 伺服器在嘗試連線失敗時,重試連線所等待的時間。
如果 LDAP 伺服器關閉,Web 伺服器會繼續嘗試連線。
名稱 |
說明 |
語法 |
ldap.waitToRetryConnection.interval=<秒> |
範圍 |
每個目錄段落各一個實例 |
預設值 |
300 |
模組 |
mod_ibm_ldap |
配置檔中的多個實例 |
yes |
值 |
時間(以秒為單位) |