Die folgenden Konfigurationsparameter steuern das LDAP-Feature (Lightweight Directory Access Protocol) in IBM® HTTP Server.
Veraltetes Feature: Wenn Sie das Modul "mod_ibm_ldap" für Ihre
LDAP-Konfiguration verwenden, sollten Sie Ihre mod_ibm_ldap-Anweisungen für die Verwendung des Moduls "mod_ldap" migrieren.
Das Modul "mod_ibm_ldap" wird in diesem Release
von IBM HTTP
Server für die Kompatibilität mit früheren Releases zwar noch bereitgestellt, aber Sie müssen vorhandene
Konfigurationen auf die Verwendung der Module "mod_authnz_ldap" und "mod_ldap" umstellen, um die künftige Unterstützung
Ihrer LDAP-Konfiguration sicherzustellen.
depfeat
Anweisung "LdapCodepageDir"
Codepages werden jetzt anstatt im konfigurierten Serverstammverzeichnis, wie es in Vorgängerversionen der Fall war, automatisch im IHS-Installationsverzeichnis installiert und relativ zum IHS-Installationsverzeichnis referenziert.
Anweisung "LdapConfigfile"
Die Anweisung "LdapConfigFile" gibt den Namen der LDAP-Eigenschaftendatei an, die einer Gruppe von LDAP-Parametern zugeordnet ist.
Anweisung |
Beschreibung |
Syntax |
LdapConfigFile <vollständig_qualifizierter_Pfad_zur_Konfigurationsdatei> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
c:\program files\ibm http server\conf\ldap.prop.sample |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad zu einer einzelnen Konfigurationsdatei. Verwenden Sie diese Anweisung in der Datei
httpd.conf. |
Anweisung "LDAPRequire"
Die Anweisung "LDAPRequire" wird verwendet, um den Zugriff auf eine Ressource, die durch die LDAP-Authentifizierung
gesteuert wird, auf einen bestimmten Benutzerverbund zu beschränken. Unter Verwendung des Gruppentyps können in LDAP definierte Gruppen verwendet werden oder
es kann ein LDAP-Filtertyp verwendet werden, um einen Benutzerverbund mit einem ähnlichen Satz von Attributwerten anzugeben.
Name |
Beschreibung |
Syntax |
LDAPRequire filter <Filtername> oder LDAPRequire group <Gruppe1
[Gruppe2.Gruppe3....]> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", oder LDAPRequire group
"Beispielgruppe". Verwenden Sie diese Anweisung in der Datei
httpd.conf.
|
Wenn der Gruppentyp verwendet wird und mehrere Gruppenwerte angegeben sind, ist die Gruppenauswertung
eine logische UND-Verknüpfung der Gruppen. Ein Benutzer muss ein Mitglied von Beispielgruppe1 und Beispielgruppe2
sein, wenn eine logische ODER-Verknüpfung der Gruppen erforderlich ist. Wenn ein Benutzer beispielsweise ein Mitglied von Beispielgruppe1
oder Beispielgruppe2 ist, muss eine neue LDAP-Gruppe, our department group, im LDAP-Server erstellt werden, zu der
Beispielgruppe1 und Beispielgruppe2 gehören.
In diesem Fall verwenden Sie die Anweisung LDAPRequire group our Department Group.
Anweisung "Ldap.application.authType"
Die Anweisung "Ldap.application.authType" gibt die Methode für die Authentifizierung des Web-Servers beim LDAP-Server an.
Name |
Beschreibung |
Syntax |
ldap.application.authType=None |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- None: Wenn der LDAP-Server nicht voraussetzt, dass sich der Web-Server authentifiziert.
- Basic: Der definierte Name (DN) des Web-Servers wird als Benutzer-ID und das in der Stashdatei gespeicherte Kennwort als Kennwort verwendet.
|
Anweisung "Ldap.application.DN"
Die Anweisung "Ldap.application.DN" gibt den definierten Namen (DN) des Web-Servers an. Verwenden Sie
diesen Namen als Benutzernamen, wenn Sie auf einen LDAP-Server unter Verwendung der Basisauthentifizierung zugreifen.
Verwenden Sie den im LDAP-Server angegebenen Eintrag, um auf den Verzeichnisserver zuzugreifen.
Name |
Beschreibung |
Syntax |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Definierter Name (DN) |
Anweisung "Ldap.application.password.stashFile"
Die Anweisung "Ldap.application.password.stashFile" gibt den Namen der Stashdatei mit dem verschlüsselten Kennwort an, mit dem sich die Anwendung
beim LDAP-Server authentifizieren kann, wenn der Serverauthentifizierungstyp "Basic" ist.
Name |
Beschreibung |
Syntax |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad zur Stashdatei. Sie können diese Stashdatei mit dem Befehl ldapstash erstellen. |
Anweisung "Ldap.cache.timeout"
Die Anweisung "ldap.cache.timeout" speichert Antworten vom LDAP-Server zwischen. Wenn Sie im Web-Server die Ausführung mehrerer Prozessen konfigurieren, verwaltet jeder Prozess seine eigene
Kopie des Cache.
Name |
Beschreibung |
Syntax |
ldap.cache.timeout= <Sekunden> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Die maximale Zeit (in Sekunden), für die eine vom LDAP-Server zurückgegebene Antwort gültig bleibt. |
Anweisung "Ldap.group.attribute"
Die Anweisung "ldap.group.attributes" gibt den Filter an, der bei einer LDAP-Suche verwendet wird, um zu ermitteln, ob ein definierter Name (DN) tatsächlich eine Gruppe ist.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <Attribut> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
uniquegroup |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Attribut. Weitere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.dnattribute"
Die Anweisung "ldap.group.dnattributes" gibt den Filter an, der bei einer LDAP-Suche verwendet wird, um zu ermitteln, ob ein definierter Name (DN) tatsächlich eine Gruppe ist.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
groupofnames groupofuniquenames |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Weitere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.memberattribute"
Die Anweisung "ldap.group.memberattribute" gibt das Attribut zum Abrufen eindeutiger Gruppen aus einer vorhandenen Gruppe an.
Name |
Beschreibung |
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
groupofnames groupofuniquenames |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Weitere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung der Anweisung "ldap.prop.sample". |
Anweisung "Ldap.group.memberAttributes"
Die Anweisung "ldap.group.memberAttributes" dient als Methode zum Extrahieren von Gruppenmitgliedern, wenn die Funktion einen Gruppeneintrag in einem LDAP-Verzeichnis findet.
Name |
Beschreibung |
Syntax |
ldap.group.memberAttributes= Attribut [Attribut2....] |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
member und uniquemember |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Muss den definierten Namen der Gruppenmitglieder entsprechen. Sie können mehrere Attribute für Mitgliedsinformationen verwenden. |
Anweisung "Ldap.group.name.filter"
Die Anweisung "ldap.group.name.filter" gibt den Filter an, der von LDAP für die Suche nach Gruppennamen verwendet wird.
Name |
Beschreibung |
Syntax |
ldap.group.name.filter = <Filter_für_Gruppennamen> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Informationen hierzu finden Sie im Abschnitt zum Abfragen des LDAP-Servers mit LDAP-Suchfiltern. |
Anweisung "Ldap.group.search.depth"
Die Anweisung "ldap.group.search.depth" durchsucht Untergruppen, wenn die Anweisungen des Typs "LDAPRequire group
<Gruppe>" angegeben werden. Gruppen können Mitglieder und andere Gruppen enthalten.
Name |
Beschreibung |
Syntax |
ldap.group.search.depth = <Tiefe in Form einer ganzen Zahl> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
1 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Eine ganze Zahl. Wenn Sie nach einer Gruppe suchen und bei der Authentifizierung festgestellt wird, dass ein Mitglied nicht zur erforderlichen Gruppe gehört,
werden alle Untergruppen der erforderlichen Gruppe ebenfalls durchsucht. Beispiel:
Gruppe1 >Gruppe2 (Gruppe2 ist ein Mitglied von Gruppe1)
Gruppe2 >Gruppe3 (Gruppe3 ist ein Mitglied von Gruppe2)
Gruppe3 >Jane (Jane ist ein Mitglied von Gruppe3)
Wenn Sie nach "Jane" suchen und sie ein Mitglied von Gruppe1 sein muss,
schlägt die Suche mit dem Standardwert "1" für
ldap.search.depth fehl. Wenn Sie "ldap.group.search.depth>2" angeben, wird die Suche erfolgreich durchgeführt.
Verwenden Sie ldap.group.search.depth=<Suchtiefe -- Zahl>, um die Tiefe für das Durchsuchen von Untergruppen zu beschränken.
Dieser Suchtyp kann in einem LDAP-Server sehr rechenintensiv werden. Wenn Gruppe1 Gruppe2
als Mitglied enthält und Gruppe2 Gruppe1 als Mitglied enthält, beschränkt diese Anweisung die Suchtiefe. Im obigen Beispiel
hat Gruppe1 eine Tiefe von 1, Gruppe2 eine Tiefe von 2 und Gruppe3 eine Tiefe von
3.
|
Anweisung "Ldap.group.URL"
Die Anweisung "ldap.group.URL" gibt eine andere Position für eine Gruppe in demselben LDAP-Server an.
Sie können diese Anweisung nicht verwenden, um einen anderen LDAP-Server als den, der in der Anweisung "ldap.URL" angegeben ist,
anzugeben.
Name |
Beschreibung |
Syntax |
ldap.group.URL = ldap://<Hostname:Port>/<Basis-DN> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- Hostname: Der Hostname des LDAP-Servers.
- Portnummer: Die Nummer des optionalen Ports, an dem der LDAP-Server empfangsbereit ist. Die Standardportnummer für TCP-Verbindungen ist "389".
Wenn Sie SSL verwenden, müssen Sie die Portnummer angeben.
- Basis-DN: Gibt das Stammverzeichnis der LDAP-Baumstruktur an, in der nach Gruppen gesucht werden soll.
|
Achtung:
Diese Eigenschaft wird erforderlich, wenn sich die LDAP-URL für Gruppen von der mit der Eigenschaft "ldap.URL" angegebenen URL unterscheidet.
Anweisung "Ldap.idleConnection.timeout"
Die Anweisung "ldap.idleConnection.timeout" speichert Verbindungen zum LDAP-Server aus Leistungsgründen zwischen.
Name |
Beschreibung |
Syntax |
ldap.idleConection.timeout = <Sekunden> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit in Sekunden, nach deren Verstreichen eine inaktive LDAP-Serververbindung aufgrund von Inaktivität geschlossen wird. |
Anweisung "Ldap.key.file.password.stashfile"
Die Anweisung "ldap.key.file.password.stashfile" gibt die Stashdatei an, die das verschlüsselte Schlüsseldateikennwort enthält.
Verwenden Sie den Befehl "ldapstash", um diese Stashdatei zu erstellen.
Name |
Beschreibung |
Syntax |
ldap.key.file.password.stashfile =d:\ <Dateiame_für_Schlüsselkennwort> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad zur Stashdatei. |
Anweisung "Ldap.key.fileName"
Die Anweisung "ldap.key.fileName" gibt den Dateinamen der Schlüsseldatenbankdatei an. Diese Option wird erforderlich, wenn Sie
Secure Sockets Layer (SSL) verwenden.
Name |
Beschreibung |
Syntax |
ldap.key.fileName=d:\<Name_der_Schlüsseldatei> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad zur Schlüsseldatei. |
Anweisung "Ldap.key.label"
Die Anweisung "ldap.key.file.password.stashfile" gibt die Zertifikatsbezeichnung an, die der Web-Server für die Authentifizierung beim LDAP-Server verwendet.
Name |
Beschreibung |
Syntax |
Eigenes Serverzertifikat |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Eine gültige in der Schlüsseldatenbankdatei verwendete Bezeichnung. Diese Bezeichnung wird nur erforderlich, wenn
Secure Sockets Layer (SSL) verwendet wird und der LDAP-Server vom Web-Server eine Clientauthentifizierung anfordert. |
Anweisung "LdapReferralhoplimit"
Die Anweisung "LdapReferralHopLimit" gibt die maximale Anzahl der zu verfolgenden Bezugsdaten an. Die LDAP-Authentifizierung schlägt fehl, wenn der angegebene Grenzwert überschritten wird.
Name |
Beschreibung |
Syntax |
LdapReferralHopLimit = <Anzahl_der_Hops> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
0 bis 10 |
Legen Sie für die Anweisung "LdapReferrals" den Wert
on fest, um die Anweisung "LdapReferralhoplimit" zu verwenden.
Wichtig: Wird für LdapReferralhoplimit der Wert "0" angegeben, schlägt die Authentifizierung fehl, falls Bezugsdaten gefunden werden.
Die Anweisung "LdapReferralhoplimit" ist wirkungslos, wenn für die Anweisung "LdapReferrals"
der Wert off (Standardwert) festgelegt ist.
Anweisung "LdapReferrals"
Die Anweisung "LdapReferrals" gibt an, ob Bezugsdaten (über die eine Clientanforderung an einen anderen LDAP-Server umgeleitet wird) für Suchen bei LDAP-Abfragen verfolgt werden.
Name |
Beschreibung |
Syntax |
LdapReferrals = off | on |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
off |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
On oder Off |
Anweisung "Ldap.realm"
Die Anweisung "ldap.key.realm" gibt den Namen des geschützten Bereichs an, der für den anfordernden Client sichtbar ist.
Name |
Beschreibung |
Syntax |
ldap.realm=<Zugriffsschutzrealm> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Eine Beschreibung der geschützten Seite. |
Anweisung "Ldap.search.timeout"
Die Anweisung "ldap.search.timeout" gibt die maximale Zeit (in Sekunden) an, die auf den Abschluss einer Suchoperation im LDAP-Server gewartet wird.
Name |
Beschreibung |
Syntax |
ldap.search.timeout = <Sekunden> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit in Sekunden. |
Anweisung "Ldap.transport"
Die Anweisung "ldap.transport" gibt die Transportmethode an, die für die Kommunikation mit dem LDAP-Server verwendet wird.
Name |
Beschreibung |
Syntax |
ldap.transport = TCP |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
TCP |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
TCP oder SSL |
Anweisung "Ldap.url"
Die Anweisung "ldap.url" gibt die URL des LDAP-Servers für die Authentifizierung an.
Name |
Beschreibung |
Syntax |
ldap.url = ldap://<Hostname:Port>/<Basis-DN>Für diese Angaben gilt Folgendes:
|
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Anweisung "Ldap.user.authType"
Die Anweisung "ldap.usr.authType" gibt die Methode für die Authentifizierung des Benutzers, der einen Web-Server anfordert, an. Verwenden Sie diesen Namen beim Zugriff auf einen LDAP-Server als Benutzernamen.
Name |
Beschreibung |
Syntax |
ldap.user.authType = BasicIfNoCert |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Basic |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Basic, Cert, BasicIfNoCert |
Anweisung "Ldap.user.cert.filter"
Die Anweisung "ldap.usr.cert.filter" gibt den Filter für die Umwandlung der Informationen im über SSL (Secure Sockets Layer)
übergebenen Clientzertifikat in einen Suchfilter für einen LDAP-Eintrag an.
Name |
Beschreibung |
Syntax |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Informationen hierzu finden Sie im Abschnitt zum Abfragen des LDAP-Servers mit LDAP-Suchfiltern. |
SSL-Zertifikate (Secure Socket Layer) enthalten die folgenden Felder, die Sie alle in einen Suchfilter umwandeln können:
Zertifikatsfeld |
Variable |
Allgemeiner Name |
%v1 |
Organisationseinheit |
%v2 |
Organisation |
%v3 |
Land |
%v4 |
Standort |
%v5 |
Staat oder Land |
%v6 |
Seriennummer |
%v7 |
Wenn Sie den Suchfilter generieren, können Sie die Feldwerte in den entsprechenden Variablenfeldern
(%v1, %v2) finden. Die folgende Tabelle zeigt die Umwandlung:
Benutzerzertifikat |
Filterumwandlung |
Zertifikat |
cn=Road Runner, o=Acme Inc, c=US |
Filter |
(cn=%v1, o=%v3, c=%v4) |
Generierte Abfrage |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Anweisung "Ldap.user.name.fieldSep"
Die Anweisung "ldap.usr.name.fieldSep" gibt Zeichen als gültige Feldtrennzeichen an, wenn der Benutzername in Felder geparst wird.
Name |
Beschreibung |
Syntax |
ldap.user.name.fieldSep=/ |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
Leerzeichen, Komma und Tabulator (/t) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeichen. Wenn "/" das einzige Feldtrennzeichen ist und der Benutzer "Joe
Smith/Acme" eingibt, entspricht "%v2" "Acme". |
Anweisung "Ldap.user.name.filter"
Die Anweisung "ldap.usr.name.filter" gibt den Filter für die Umwandlung des im Suchfilter für einen LDAP-Eintrag eingegebenen Benutzernamens an.
Name |
Beschreibung |
Syntax |
ldap.user.name.filter=<Filter_für_Benutzernamen> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
"((objectclass=person) (cn=%v1 %v2))", wobei %v1 und %v2
vom Benutzer eingegebene Zeichen darstellen. Wenn der Benutzer beispielsweise "Paul Kelsey" eingibt,
ist der generierte Suchfilter "((objectclass=person)(cn=Paul Kelsey))". Die Suchfiltersyntax ist im Abschnitt zum Abfragen des LDAP-Servers mit LDAP-Suchfiltern beschrieben.
Da der Web-Server nicht zwischen mehreren zurückgegebenen Einträgen unterscheiden kann,
schlägt die Authentifizierung fehl, wenn der LDAP-Server mehrere Einträge zurückgibt.
Wenn der Benutzer beispielsweise ldap.user.name.filter=
"((objectclass=person)(cn=%v1* %v2*))" festlegt und Pa Kel eingibt, ist der generierte Suchfilter
"(cn=Pa* Kel*)". Der Filter findet mehrere Einträge wie (cn=Paul Kelsey) und (cn=Paula Kelly) und die Authentifizierung schlägt fehl. Sie müssen den Suchfilter anpassen.
|
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Informationen hierzu finden Sie im Abschnitt zum Abfragen des LDAP-Servers mit LDAP-Suchfiltern. |
Anweisung "Ldap.version"
Die Anweisung "ldap.version" gibt die Version des für das Herstellen einer Verbindung zum LDAP-Server verwendeten LDAP-Protokolls an. Die vom LDAP-Server verwendete
Protokollversion legt die LDAP-Version fest.
Achtung: Diese Anweisung ist optional.
Name |
Beschreibung |
Syntax |
ldap.version=3 |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
ldap.version=3 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
2 oder 3 |
Anweisung "Ldap.waitToRetryConnection.interval"
Die Anweisung "ldap.waitToRetryConnection.interval" gibt die Zeit an, die der Web-Server zwischen fehlgeschlagenen Verbindungsversuchen wartet.
Wenn ein LDAP-Server inaktiv wird, versucht der Web-Server weiterhin, eine Verbindung herzustellen.
Name |
Beschreibung |
Syntax |
ldap.waitToRetryConnection.interval=<Sekunden> |
Geltungsbereich |
Einzelinstanz je Verzeichniszeilengruppe |
Standardeinstellung |
300 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit (in Sekunden) |