Estos parámetros de configuración controlan la característica
LDAP (Lightweight Directory Access Protocol) de IBM® HTTP Server.
Deprecated feature: Si utiliza el módulo
mod_ibm_ldap para la configuración LDAP, piense en migrar las
directivas de mod_ibm_ldap para utilizar el módulo mod_ldap. El módulo
mod_ibm_ldap se proporciona con este release de
IBM HTTP Server a efectos de
compatibilidad con releases anteriores; no obstante, debe migrar las
configuraciones existentes para que utilicen los módulos mod_authnz_ldap
y
mod_ldap para garantizar el soporte futuro de la configuración LDAP.
depfeat
Directiva LdapCodepageDir
Las páginas de códigos ahora se instalan automáticamente en el
directorio de
instalación de IHS y la referencia a ellas se hace con respecto al
directorio de instalación
de IHS, en lugar del directorio raíz del servidor
configurado, como en las
versiones anteriores.
Directiva LdapConfigfile
La directiva LdapConfigFile indica el nombre del archivo de propiedades LDAP
asociado a un grupo de parámetros LDAP.
Directiva |
Descripción |
Sintaxis |
LdapConfigFile <vía de acceso completa al archivo de
configuración> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
c:\Archivos de programa\ibm http server\conf\ldap.prop.sample |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Vía de acceso plenamente cualificada a un solo archivo de configuración. Utilice esta directiva en el
archivo httpd.conf. |
Directiva LDAPRequire
La directiva LDAPRequire se utiliza para limitar el acceso a recursos que
se controlan mediante la autenticación LDAP con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o
puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto
similar de valores de atributo.
Nombre |
Descripción |
Sintaxis |
LDAPRequire filter <nombre de filtro> or LDAPRequire group
<grupo1 [grupo2.grupo3....]> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or LDAPRequire group "grupo de ejemplo". Utilice esta directiva en el
archivo httpd.conf.
|
Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la
validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de
Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo,
entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor
LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: LDAPRequire group nuestro grupo de departamento.
Directiva Ldap.application.authType
La directiva Ldap.application.authType especifica el método para autenticar
el servidor web con el servidor LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.application.authType=None |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
- Ninguna: si el servidor de LDAP no requiere que se autentique el servidor web.
- Básica: utiliza el nombre distinguido (DN) del servidor web como el ID de usuario
y la contraseña almacenada en el archivo stash, como la contraseña.
|
Directiva Ldap.application.DN
La directiva Ldap.application.DN indica el nombre distinguido
(DN) del servidor web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP
utilizando la autenticación básica. Utilice la entrada especificada en el servidor LDAP para acceder al
servidor de directorio.
Nombre |
Descripción |
Sintaxis |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Nombre distinguido |
Directiva Ldap.application.password.stashFile
La directiva Ldap.application.password.stashFile indica el nombre del
archivo de contraseñas que contiene la contraseña cifrada para que la autentique la aplicación
con el servidor LDAP cuando el tipo de autenticación del servidor es básico.
Nombre |
Descripción |
Sintaxis |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Vía de acceso plenamente cualificada al archivo stash. Puede crear este archivo stash
con el mandato ldapstash. |
Directiva Ldap.cache.timeout
La directiva ldap.cache.timeout almacena en memoria caché respuestas del servidor
LDAP. Si configura el servidor web para que se ejecute en varios procesos, cada
proceso gestiona su propia copia de la memoria caché.
Nombre |
Descripción |
Sintaxis |
ldap.cache.timeout= <seg> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
600 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
La longitud máxima de tiempo, en segundos, que sigue siendo válida una respuesta
devuelta por el servidor LDAP. |
Directiva Ldap.group.attribute
La directiva ldap.group.attributes indica el filtro que se utiliza para
determinar si un nombre distinguido (DN) es un grupo real en una búsqueda de LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.group.memberattribute = <attribute> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
uniquegroup |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un atributo de ldap: consulte la directiva
ldap.prop.sample para obtener más información sobre el uso de
esta directiva. |
Directiva Ldap.group.dnattribute
La directiva ldap.group.dnattributes especifica el filtro utilizado para determinar,
a través de una búsqueda de LDAP, si un nombre distinguido (DN) es un grupo real.
Nombre |
Descripción |
Sintaxis |
ldap.group.memberattribute = <filtro ldap> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
groupofnames groupofuniquenames |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro de ldap: consulte la directiva ldap.prop.sample para
obtener más información sobre el uso de esta directiva. |
Directiva Ldap.group.memberattribute
La directiva ldap.group.memberattribute especifica el atributo para
recuperar grupos únicos de grupos existentes.
Nombre |
Descripción |
Sintaxis |
ldap.group.memberattribute = <filtro ldap> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
groupofnames groupofuniquenames |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro de ldap: consulte la directiva ldap.prop.sample para
obtener más información sobre el uso de esta directiva. |
Directiva Ldap.group.memberAttributes
La directiva ldap.group.memberAttributes sirve como un medio de extraer
miembros de grupo, una vez que la función encuentra una entrada de grupo en un directorio de LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.group.memberAttributes= atributo [atributo2....] |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
member y uniquemember |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Debe ser igual que los nombres distinguidos de los miembros del grupo. Puede
utilizar más de un atributo para contener información del miembro. |
Directiva Ldap.group.name.filter
La directiva ldap.group.name.filter indica el filtro que utiliza LDAP
para buscar nombres de grupo.
Nombre |
Descripción |
Sintaxis |
ldap.group.name.filter = <filtro de nombre de grupo> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP. |
Directiva Ldap.group.search.depth
La directiva
ldap.group.search.depth busca subgrupos al especificar las directivas LDAPRequire
group <grupo>. Los grupos pueden contener miembros individuales
y otros grupos.
Nombre |
Descripción |
Sintaxis |
ldap.group.search.depth = <profundidad en entero> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
1 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un entero. Cuando se realiza una búsqueda de un grupo, si un miembro del proceso
de autenticación no forma parte del grupo requerido, también se busca en los subgrupos del
grupo requerido. Por ejemplo: grupo1 >grupo2 (grupo2 es miembro del grupo1)
grupo2 >grupo3 (grupo3 es miembro del grupo2)
grupo3 >jane (jane es miembro del grupo3)
Si busca jane y requiere que sea miembro del grupo1, la
búsqueda no lo encuentra y produce el valor por omisión para
ldap.search.depth de 1. Si especifica
ldap.group.search.depth>2, la búsqueda resulta satisfactoria.
Utilice ldap.group.search.depth=<profundidad de búsqueda --
número> para limitar la profundidad de las búsquedas de subgrupos. Este tipo de búsqueda
puede resultar muy intensiva en un servidor LDAP. Donde el grupo1 tiene el grupo2 como
miembro y el grupo2 tiene el grupo3 como miembro, esta directiva limita la profundidad
de la búsqueda. En el ejemplo anterior, el grupo1 tiene una profundidad de 1, el grupo2 tiene
una profundidad de 2 y el grupo3 tiene una profundidad de 3.
|
Directiva Ldap.group.URL
La directiva ldap.group.URL especifica una ubicación distinta para un grupo
en el mismo servidor LDAP. No puede utilizar esta directiva para especificar un servidor
LDAP distinto del que se ha especificado en la directiva ldap.URL.
Nombre |
Descripción |
Sintaxis |
ldap.group.URL = ldap://<nombrehost:puerto>/<DNBase> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
- nombre de host: nombre de host del servidor LDAP.
- número de puerto: número de puerto opcional en el que está a la escucha el servidor LDAP. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto.
- DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de
grupos.
|
Atención:
Esta propiedad es necesaria si el URL de LDAP para grupos es distinto del
URL especificado por la propiedad ldap.URL.
Directiva Ldap.idleConnection.timeout
La directiva ldap.idleConnection.timeout almacena en memoria caché conexiones con el
servidor LDAP para el rendimiento
Nombre |
Descripción |
Sintaxis |
ldap.idleConection.timeout = <seg> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
600 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Longitud de tiempo, en segundos, antes de que una conexión de servidor LDAP inactiva
se cierre debido a la inactividad. |
Directiva Ldap.key.file.password.stashfile
La directiva ldap.key.file.password.stashfile indica el archivo stash
que contiene la contraseña del archivo de claves cifradas; utilice el mandato ldapstash
para crear este archivo stash.
Nombre |
Descripción |
Sintaxis |
ldap.key.file.password.stashfile =d:\ <nombre de archivo de contraseñas de claves> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Vía de acceso plenamente cualificada al archivo stash. |
Directiva Ldap.key.fileName
La directiva ldap.key.fileName indica el nombre de archivo de la base de datos del
archivo de claves.
Esta opción es necesaria cuando se utiliza SSL (Secure Sockets
Layer).
Nombre |
Descripción |
Sintaxis |
ldap.key.fileName=d:\<nombre de archivo de
claves> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Vía de acceso plenamente cualificada al archivo de claves. |
Directiva Ldap.key.label
La directiva ldap.key.file.password.stashfile indica el nombre de etiqueta del certificado
que el servidor web utiliza para autenticarse con el servidor LDAP.
Nombre |
Descripción |
Sintaxis |
Mi certificado de servidor |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Etiqueta válida utilizada en el archivo de base de datos de claves. Esta etiqueta sólo es necesaria
cuando se utiliza SSL (Secure Sockets Layer) y el servidor LDAP solicita autenticación de cliente
del servidor web. |
Directiva
LdapReferralhoplimit
La directiva LdapReferralHopLimit
indica el número máximo de referencias que se van a seguir. La autenticación de LDAP fallará si se supera el límite especificado.
Nombre |
Descripción |
Sintaxis |
LdapReferralHopLimit = <número_de_saltos> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
10 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
De 0 a 10 |
Establezca la directiva LdapReferrals
on para utilizar la directiva LdapReferralhoplimit.
Importante: Un valor 0 de LdapReferralhoplimit hará que falle la autenticación, si se encuentra alguna referencia.
La directiva LdapReferralhoplimit no es significativa si la directiva LdapReferrals
es off (por omisión).
Directiva LdapReferrals
La directiva LdapReferrals indica si las referencias (que
redireccionan una petición de cliente a otro servidor LDAP) se utilizarán
para las búsquedas mientras se realizan consultas de LDAP.
Nombre |
Descripción |
Sintaxis |
LdapReferrals = off | on |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
off |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
On u off |
Directiva Ldap.realm
La directiva ldap.key.realm
indica el nombre del área protegida, como lo ve el cliente solicitante.
Nombre |
Descripción |
Sintaxis |
ldap.realm=<Reino de protección> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Una descripción de la página protegida. |
Directiva Ldap.search.timeout
La directiva ldap.search.timeout indica el tiempo máximo, en
segundos, que se debe esperar para que un servidor LDAP complete una operación de búsqueda.
Nombre |
Descripción |
Sintaxis |
ldap.search.timeout = <seg> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
10 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Longitud de tiempo, en segundos. |
Directiva Ldap.transport
La directiva ldap.transport indica el método de transporte utilizado para
comunicarse con el servidor LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.transport = TCP |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
TCP |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
TCP o SSL |
Directiva Ldap.url
La directiva ldap.url indica la dirección URL del servidor LDAP con el que se va a realizar la autenticación.
Nombre |
Descripción |
Sintaxis |
ldap.url = ldap://<nombrehost:puerto>/<DNBase>
|
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Ninguno |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Directiva Ldap.user.authType
La directiva ldap.usr.authType indica el método de autenticar el usuario
que solicita un servidor web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.user.authType = BasicIfNoCert |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
Básico |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Basic, Cert, BasicIfNoCert |
Directiva Ldap.user.cert.filter
La directiva ldap.usr.cert.filter indica el filtro que se utiliza para
convertir la información del certificado de cliente pasada en SSL (Secure Sockets
Layer) a un filtro de búsqueda de entradas LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP. |
Los certificados SSL (Secure Socket Layer) incluyen los campos siguientes, todos ellos los
puede convertir en filtros de búsqueda:
Campo de certificado |
Variable |
nombre común |
%v1 |
unidad organizativa |
%v2 |
organización |
%v3 |
país |
%v4 |
localidad |
%v5 |
provincia o país |
%v6 |
número de serie |
%v7 |
Cuando genera el filtro de búsqueda, puede encontrar los valores de campo en los campos de variables
coincidentes (%v1, %v2). La tabla siguiente muestra la conversión:
Certificado de usuario |
Conversión de filtro |
Certificado |
nc=Pedro Sánchez, o=Acme S.L., p=España |
Filtro |
(nc=%v1, o=%v3, p=%v4) |
Consulta resultante |
(nc=Pedro Sánchez, o=Acme, S.L., p=España) |
Directiva Ldap.user.name.fieldSep
La directiva ldap.usr.name.fieldSep indica que los caracteres son separadores
de campo válidos cuando se analiza el nombre de usuario en campos.
Nombre |
Descripción |
Sintaxis |
ldap.user.name.fieldSep=/ |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
El carácter de espacio, coma y tabulador (/t). |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Caracteres. Si '/' representa el único carácter separador de campo
y el usuario especifica "Jorge Sánchez/Acme", entonces '%v2' es igual a "Acme". |
Directiva Ldap.user.name.filter
La directiva ldap.usr.name.filter indica el filtro utilizado para
convertir el nombre de usuario especificado en filtros de búsqueda de entradas LDAP.
Nombre |
Descripción |
Sintaxis |
ldap.user.name.filter=<filtro de nombre de usuario> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
"((objectclass=person) (cn=%v1 %v2))", donde %v1 y
%v2 representan caracteres entrados por el usuario. Por ejemplo,
si el usuario especifica "Pablo Rey", el filtro de búsqueda
resultante pasa a ser "((objectclass=person)(cn=Pablo Rey))". Puede encontrar la sintaxis del filtro de búsqueda descrita en el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.
No obstante, dado que el servidor web
no puede diferenciar entre varias entradas devueltas, se produce un error de autenticación
cuando el servidor LDAP devuelve más de una entrada. Por ejemplo, si el
usuario crea el filtro ldap.user.name.filter=
"((objectclass=person)(cn=%v1* %v2*))" y especifica Pa Re,
el filtro de búsqueda resultante pasa a ser "(cn=Pa* Re*)". El filtro encuentra varias entradas como (cn=Pablo Rey) y
(cn=Pablo Reyes) y se produce un error de autenticación. Debe modificar el filtro de búsqueda.
|
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP. |
Directiva Ldap.version
La directiva ldap.version indica la versión del protocolo LDAP
utilizado para conectar con el servidor LDAP. La versión del protocolo que utiliza el servidor LDAP
determina la versión de LDAP.
Atención: Esta directiva es opcional.
Nombre |
Descripción |
Sintaxis |
ldap.version=3 |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
ldap.version=3 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
2 ó 3 |
Directiva Ldap.waitToRetryConnection.interval
La directiva ldap.waitToRetryConnection.interval indica el tiempo
que espera el servidor web entre intentos fallidos de conexión.
Si un servidor LDAP se desactiva, el servidor web continúa intentando conectarse.
Nombre |
Descripción |
Sintaxis |
ldap.waitToRetryConnection.interval=<seg> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
300 |
Módulo |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Tiempo (en segundos) |