Estes parâmetros de configuração controlam o recurso Lightweight Directory
Access Protocol (LDAP) no IBM® HTTP Server.
Recurso Reprovado: Se você estiver usando o módulo mod_ibm_ldap
para sua configuração LDAP, considere migrar suas diretivas mod_ibm_ldap
para usar o módulo mod_ldap. O módulo mod_ibm_ldap é fornecido com esta
liberação do IBM HTTP
Server para compatibilidade com as liberações anteriores, no entanto, você deve migrar
configurações existentes para usar os módulos mod_authnz_ldap e mod_ldap para
assegurar suporte futuro para sua configuração LDAP.
depfeat
Diretiva LdapCodepageDir
As páginas de código
agora são instaladas automaticamente no diretório de instalação IHS e são
referenciadas com relação ao diretório de instalação IHS, em oposição ao
diretório raiz do servidor configurado como em versões anteriores.
Diretiva LdapConfigfile
A diretiva LdapConfigFile indica o nome do arquivo de
propriedades LDAP associado a um grupo de parâmetros LDAP.
Diretiva |
Descrição |
Sintaxe |
LdapConfigFile <Fully qualified path to configuration
file> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
c:\arquivos de programa\ibm http server\conf\ldap.prop.sample |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Caminho completo para um único arquivo de configuração. Utilize
essa diretiva no arquivo httpd.conf. |
Diretiva LDAPRequire
A diretiva LDAPRequire é utilizada para restringir o acesso a um recurso
controlado pela autenticação LDAP para uma coleta de usuários especificada. Ela pode utilizar grupos definidos no LDAP utilizando o tipo de grupo,
ou pode utilizar um tipo de filtro LDAP para designar uma coleta de usuários com
um conjunto semelhante de valores de atributos.
Name |
Descrição |
Sintaxe |
LDAPRequire filter <filter name> or LDAPRequire group <group1
[group2.group3....]> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or LDAPRequire group "sample group". Utilize
essa diretiva no arquivo httpd.conf.
|
Se o tipo de grupo for utilizado e vários valores de grupos forem especificados,
a validação do grupo será um AND lógico dos grupos. Um usuário deve ser membro de sample
Group1 e sample Group2 se for requerido um OR lógico de grupos. Por exemplo, se um usuário for membro de sample Group1 ou de sample Group2,
um novo grupo LDAP, our department group, deverá ser criado no servidor
LDAP, que tenha sample Group1 e sample Group2 como seus
membros. Utilize então a diretiva: LDAPRequire group our Department
Group.
Diretiva Ldap.application.authType
A diretiva Ldap.application.authType especifica o método para
autenticar o servidor da Web para o servidor LDAP.
Name |
Descrição |
Sintaxe |
ldap.application.authType=None |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
- Nenhum: Se o servidor LDAP não solicitar que o servidor da Web seja autenticado.
- Básico: Utiliza o DN (Nome Distinto) do servidor da Web como o ID do
usuário e a senha armazenados no arquivo stash, como senha.
|
Diretiva Ldap.application.DN
A diretiva Ldap.application.DN indica o DN (Nome Distinto) do
servidor da Web. Utilize esse nomes como o nome do usuário ao acessar um servidor LDAP utilizando a autenticação básica. Utilize a entrada especificada no servidor LDAP
para acessar o servidor de diretórios.
Name |
Descrição |
Sintaxe |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Nome Distinto |
Diretiva Ldap.application.password.stashFile
A diretiva Ldap.application.password.stashFile indica o nome do arquivo
stash que contém a senha criptografada para o aplicativo a ser autenticado no
servidor LDAP quando o tipo de Autenticação do Servidor for Básico.
Name |
Descrição |
Sintaxe |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Caminho completo para o arquivo stash. Você pode criar esse arquivo
stash com o comando ldapstash. |
Diretiva Ldap.cache.timeout
A diretiva ldap.cache.timeout armazena em cache as respostas do
servidor LDAP. Se você configurar o servidor da Web para executar como diversos processos, cada processo irá gerenciar
sua própria cópia de cache.
Name |
Descrição |
Sintaxe |
ldap.cache.timeout= <secs> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
600 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
O período máximo de tempo, em segundos, no qual uma resposta
retornada do servidor LDAP permanece válida. |
Diretiva Ldap.group.attribute
A diretiva ldap.group.attributes indica o filtro utilizado para
determinar se um DN (Nome Distinto) é um grupo real por meio de uma procura
LDAP.
Name |
Descrição |
Sintaxe |
ldap.group.memberattribute = <attribute> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
uniquegroup |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações
sobre o uso dessa diretiva. |
Diretiva Ldap.group.dnattribute
A diretiva ldap.group.dnattributes especifica o filtro utilizado para determinar,
por meio de uma procura LDAP, se um DN (Nome Distinto) é um grupo real.
Name |
Descrição |
Sintaxe |
ldap.group.memberattribute = <ldap filter> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
groupofnames groupofuniquenames |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações
sobre o uso dessa diretiva. |
Diretiva Ldap.group.memberattribute
A diretiva ldap.group.memberattribute especifica o atributo
para recuperar grupos exclusivos a partir de um grupo existente.
Name |
Descrição |
Sintaxe |
ldap.group.memberattribute = <ldap filter> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
groupofnames groupofuniquenames |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um atributo ldap - Consulte a diretiva ldap.prop.sample para obter mais informações
sobre o uso dessa diretiva. |
Diretiva Ldap.group.memberAttributes
A diretiva ldap.group.memberAttributes serve como um meio de extrair
membros do grupo, assim que a função localiza uma entrada de grupo em um diretório LDAP.
Name |
Descrição |
Sintaxe |
ldap.group.memberAttributes= attribute [attribute2....] |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
member e uniquemember |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Devem ser iguais aos nomes distintos dos membros do grupo. Você pode utilizar mais de um atributo para conter as informações do membro. |
Diretiva Ldap.group.name.filter
A diretiva ldap.group.name.filter indica os usos do filtro LDAP
que procuram pelos nomes de grupo.
Name |
Descrição |
Sintaxe |
ldap.group.name.filter = <group name filter> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP. |
Diretiva Ldap.group.search.depth
A
diretiva ldap.group.search.depth procura subgrupos ao especificar as diretivas
do grupo <group> LDAPRequire. Os grupos podem conter
membros individuais e outros grupos.
Name |
Descrição |
Sintaxe |
ldap.group.search.depth = <integer depth> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
1 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um inteiro. Ao fazer uma procura para um grupo, se um membro no processo
de autenticação não for um membro do grupo exigido, quaisquer subgrupos do
grupo exigido também serão procurados. Exemplo:
group1 >group2 (group2 é um membro de group1)
group2 >group3 (group3 é um membro de group2)
group3 >jane (jane é um membro de group3)
Se procurar por jane e requerer que ela seja um membro do
group1, a procura falhará com o valor padrão ldap.search.depth de 1.
Se especificar ldap.group.search.depth>2, a procura será bem sucedida.
Use
ldap.group.search.depth=<depth to search -- number> para limitar a
profundidade das procuras do subgrupo. Esse tipo de pesquisa pode se tornar muito intensiva em um servidor LDAP. Onde group1 tem group2 como membro e group2 tem group1
como um membro, esta diretriz limita a profundidade da pesquisa. No exemplo anterior, group1 tem uma profundidade de 1, group2
tem uma profundidade de 2 e group3 tem uma profundidade de 3.
|
Diretiva Ldap.group.URL
A diretiva ldap.group.URL especifica um local diferente para um
grupo no mesmo servidor LDAP.
Você não pode utilizar essa diretriz para especificar um servidor LDAP diferente daquele especificado na diretriz ldap.URL.
Name |
Descrição |
Sintaxe |
ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
- host name: Nome do host do servidor LDAP.
- port number: Número da porta opcional na qual o servidor LDAP atende. O padrão para as conexões TCP é 389. Se você utilizar SSL, será necessário especificar
o número da porta.
- BaseDN: Fornece a raiz da árvore LDAP na qual executar a procura
para grupos.
|
Atenção:
Esta propriedade se torna obrigatória se o URL do LDAP para grupos for diferente do
URL especificado pela propriedade ldap.URL.
Diretiva Ldap.idleConnection.timeout
A diretiva ldap.idleConnection.timeout armazena em cache as conexões
para o servidor LDAP para desempenho.
Name |
Descrição |
Sintaxe |
ldap.idleConection.timeout = <secs> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
600 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Período de tempo, em segundos, antes que uma conexão do servidor LDAP
inativa se feche devido a uma inatividade. |
Diretiva Ldap.key.file.password.stashfile
A diretiva ldap.key.file.password.stashfile indica o arquivo
stash que contém a senha criptografada do arquivo de chave; utilize o
comando ldapstash para criar esse arquivo stash.
Name |
Descrição |
Sintaxe |
ldap.key.file.password.stashfile =d:\ <Key password
file name> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Caminho completo para o arquivo stash. |
Diretiva Ldap.key.fileName
A diretiva ldap.key.fileName indica o nome do arquivo do banco de
dados do arquivo de chave. Essa opção se torna obrigatória quando você utiliza o SSL
(Secure Sockets Layer).
Name |
Descrição |
Sintaxe |
ldap.key.fileName=d:\<Key file name> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Caminho completo para o arquivo de chave. |
Diretiva Ldap.key.label
A diretiva ldap.key.file.password.stashfile indica o nome da etiqueta do
certificado que o servidor da Web utiliza para se autenticar no servidor LDAP.
Name |
Descrição |
Sintaxe |
My Server Certificate |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Uma etiqueta válida utilizada no arquivo do banco de dados de chaves. Essa etiqueta se torna
necessária apenas ao utilizar SSL (Secure Sockets Layer) e quando o servidor LDAP pedir
autenticação do cliente a partir do servidor da Web. |
Diretiva LdapReferralhoplimit
A
diretiva LdapReferralHopLimit indica o número máximo de indicações a
seguir. A autenticação LDAP falhará, se o limite especificado
foi excedido.
Name |
Descrição |
Sintaxe |
LdapReferralHopLimit = <number_of_hops> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
10 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
0 a 10 |
Configure a diretiva LdapReferrals
on para utilizar a diretiva
LdapReferralhoplimit.
Importante: Um valor 0 de LdapReferralhoplimit fará
com que a autenticação falhe, se quaisquer orientações forem encontradas.
A diretiva LdapReferralhoplimit não é significativa quando a diretiva LdapReferrals
éoff (padrão).
Diretiva LdapReferrals
A
diretiva LdapReferrals indica se as indicações (que redirecionam uma solicitação
do cliente para um outro servidor LDAP) serão procuradas por procuras ao executar
consultas LDAP.
Name |
Descrição |
Sintaxe |
LdapReferrals = off | on |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
off |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Ligado ou Desligado |
Diretiva Ldap.realm
A diretiva ldap.key.realm indica o nome da área protegida, como
pode ser visto pelo cliente solicitante.
Name |
Descrição |
Sintaxe |
ldap.realm=<Protection Realm> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Uma descrição que descreve a página protegida. |
Diretiva Ldap.search.timeout
A diretiva ldap.search.timeout indica o tempo máximo, em
segundos, para aguardar um servidor LDAP concluir a operação de procura.
Name |
Descrição |
Sintaxe |
ldap.search.timeout = <secs> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
10 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Período de tempo, em segundos. |
Diretiva Ldap.transport
A diretiva ldap.transport indica o método de transporte utilizado
para comunicar-se com o servidor LDAP.
Name |
Descrição |
Sintaxe |
ldap.transport = TCP |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
TCP |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
TCP ou SSL |
Diretiva Ldap.url
A diretiva ldap.url indica o URL do servidor LDAP no qual
autenticar.
Name |
Descrição |
Sintaxe |
ldap.url = ldap://<hostname:port>/<BaseDN>
|
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Nenhum |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Diretiva Ldap.user.authType
A diretiva ldap.usr.authType indica o método para autenticar o
usuário que solicita um servidor da Web. Utilize esse nome como o nome do usuário ao acessar um servidor LDAP.
Name |
Descrição |
Sintaxe |
ldap.user.authType = BasicIfNoCert |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
Básica |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Basic, Cert, BasicIfNoCert |
Diretiva Ldap.user.cert.filter
A diretiva ldap.usr.cert.filter indica o filtro utilizado para
converter as informações no certificado cliente transmitido sobre o SSL
(Secure Sockets Layer) para um filtro de procura para uma entrada LDAP.
Name |
Descrição |
Sintaxe |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP. |
Os certificados SSL (Secure Socket Layer) incluem os seguintes campos,
dos quais todos podem ser convertidos para um filtro de procura:
Campo de certificado |
Variável |
Nome comum |
%v1 |
organizational unit |
%v2 |
organização |
%v3 |
país |
%v4 |
localidade |
%v5 |
estado ou país |
%v6 |
número de série |
%v7 |
Ao gerar o filtro de pesquisa, você pode localizar os valores de campos nos
campos de variáveis correspondentes (%v1, %v2). A tabela a seguir mostra a conversão:
Certificado de usuário |
Conversão de filtro |
Certificado |
cn=Road Runner, o=Acme Inc, c=US |
Tarefas |
(cn=%v1, o=%v3, c=%v4) |
Consulta Resultante |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Diretiva Ldap.user.name.fieldSep
A diretiva ldap.usr.name.fieldSep indica os caracteres como caracteres
separadores válidos de campo ao analisar o nome do usuário nos campos.
Name |
Descrição |
Sintaxe |
ldap.user.name.fieldSep=/ |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
O espaço, a vírgula e o caractere de tabulação (/t). |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Caracteres. Se '/' representar apenas o caractere separador de campo e se o
usuário inserir "Joe Smith/Acme", então '%v2' será igual a "Acme". |
Diretiva Ldap.user.name.filter
A diretiva ldap.usr.name.filter indica o filtro utilizado para
converter o nome do usuário digitado em um filtro de procura para uma entrada LDAP.
Name |
Descrição |
Sintaxe |
ldap.user.name.filter=<user name filter> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
"((objectclass=person) (cn=%v1 %v2))", em que %v1 e %v2 representam
caracteres inseridos pelo usuário. Por exemplo, se o usuário inserir
"Paul Kelsey", o filtro de procura resultante será "((objectclass=person)(cn=Paul
Kelsey))". Você pode localizar a sintaxe do filtro de procura descrita em Consultando o
Servidor LDAP Utilizando Filtros de Procura LDAP.
Entretanto, como o servidor Web não pode diferenciar entre múltiplas entradas
retornadas, a autenticação falhará quando o servidor LDAP retornar mais de
uma entrada. Por exemplo, se o usuário tornar o ldap.user.name.filter= "((objectclass=person)(cn=%v1*
%v2*))" e inserir Pa Kel, o filtro de procura resultante será
"(cn=Pa* Kel*)". O filtro encontra múltiplas entradas como (cn=Paul Kelsey) e (cn=Paula
Kelly) e a autenticação falha. Seu filtro de procura deve ser
modificado.
|
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Um filtro LDAP. Consulte Consultando o Servidor LDAP Utilizando Filtros de Procura LDAP. |
Diretiva Ldap.version
A diretiva ldap.version indica a versão do protocolo LDAP
utilizada para conectar-se ao servidor LDAP. A versão do protocolo utilizada
pelo servidor LDAP determina a versão LDAP.
Atenção: Esta diretriz é opcional.
Name |
Descrição |
Sintaxe |
ldap.version=3 |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
ldap.version=3 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
2 ou 3 |
Diretiva Ldap.waitToRetryConnection.interval
A diretiva ldap.waitToRetryConnection.interval indica o tempo
no qual o servidor da Web aguarda entre as tentativas com falha até a conexão.
Se o servidor LDAP ficar inativo, o servidor da Web continuará tentando se
conectar.
Name |
Descrição |
Sintaxe |
ldap.waitToRetryConnection.interval=<secs> |
Escopo |
Instância única por sub-rotina de diretório |
Padrão |
300 |
Módulo |
mod_ibm_ldap |
Várias instâncias no arquivo de configuração |
yes |
Valores |
Tempo (em segundos) |