Ces paramètres de configuration contrôlent la fonction LDAP (Lightweight Directory
Access Protocol) dans IBM® HTTP Server.
Fonction obsolète: Si vous utilisez le module mod_ibm_ldap pour votre configuration LDAP, envisagez la migration de vos directives mod_ibm_ldap pour utiliser le module mod_ldap. Le module mod_ibm_ldap est fourni avec cette édition d'IBM HTTP
Server à des fins de compatibilité avec les éditions précédentes. Toutefois, vous devez faire migrer les configurations existantes pour utiliser les modules mod_authnz_ldap et mod_ldap et garantir ainsi la prise en charge future de votre configuration LDAP.
depfeat
La directive LdapCodepageDir
Les pages de code sont à présent installées automatiquement dans le répertoire d'installation IHS et désignées par rapport au répertoire d'installation IHS, par opposition au répertoire principal du serveur configuré comme dans les versions précédentes.
La directive LdapConfigfile
La directive LdapConfigFile indique le nom du fichier de propriétés LDAP
associé à un groupe de paramètres LDAP.
Directive |
Description |
Syntaxe |
LdapConfigFile <Chemin d'accès complet au fichier
configuration> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
c:\program files\ibm http server\conf\ldap.prop.sample |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Chemin d'accès complet du fichier de configuration unique. Utilisez
cette directive dans le fichier httpd.conf. |
Directive LDAPRequire
La directive LDAPRequire permet de limiter les accès à une ressource contrôlée par l'authentification LDAP pour un groupe d'utilisateurs spécifié. Elle peut utiliser des groupes définis dans LDAP en utilisant le type du groupe ou utiliser le type de filtre LDAP pour désigner un ensemble d'utilisateurs avec un jeu de valeurs d'attributs similaires.
Nom |
Description |
Syntaxe |
LDAPRequire filter <nom du filtre> ou LDAPRequire group <groupe1
[groupe2.groupe3....]> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
ou LDAPRequire group "sample group". Utilisez
cette directive dans le fichier httpd.conf.
|
Si le type de groupe est utilisé et que plusieurs valeurs de groupe sont spécifiées, la validation du groupe est un ET (AND) logique des groupes. Un utilisateur doit être un membre du Groupe1 exemple et du Groupe2 exemple si un OU (OR) logique des groupes est requis. Par exemple, si un utilisateur est membre du Groupe1 exemple ou du Groupe2 exemple,
dans ce cas un nouveau groupe LDAP, groupe de notre département, doit être créé sur le serveur LDAP ayant pour membres Groupe1 exemple etGroupe2 exemple. Vous utiliserez alors la directive suivante : LDAPRequire group groupe de notre département.
La directive Ldap.application.authType
La directive Ldap.application.authType indique la méthode pour
l'authentification du serveur Web au serveur LDAP.
Nom |
Description |
Syntaxe |
ldap.application.authType=None |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
- None : si le serveur LDAP n'a pas besoin du serveur Web pour s'authentifier.
- Basic : utilise le nom distinctif (DN) du serveur Web comme ID utilisateur
et le mot de passe stocké dans le fichier de dissimulation, comme mot de passe.
|
La directive Ldap.application.DN
La directive Ldap.application.DN indique le nom distinctif
(DN) du serveur Web. Utilisez ce nom comme nom d'utilisateur lorsque vous accédez à un serveur LDAP
à l'aide de l'authentification de base. Utilisez l'entrée indiquée dans le serveur LDAP
pour accéder au serveur de répertoire.
Nom |
Description |
Syntaxe |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Nom distinctif (DN) |
La directive Ldap.application.password.stashFile
La directive Ldap.application.password.stashFile indique le nom
du fichier de dissimulation contenant le mot de passe chiffré pour que l'application
s'authentifie au serveur LDAP lorsque l'authentification de serveur est de type Basic.
Nom |
Description |
Syntaxe |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Chemin d'accès complet du fichier de dissimulation. Vous pouvez créer ce fichier de
dissimulation à l'aide de la commande ldapstash. |
La directive Ldap.cache.timeout
La directive ldap.cache.timeout met les réponses du serveur LDAP
en mémoire cache. Si vous configurez le serveur Web pour qu'il s'exécute comme plusieurs processus, chaque
processus gère sa propre copie de la mémoire cache.
Nom |
Description |
Syntaxe |
ldap.cache.timeout= <secs> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
600 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Durée maximale, en secondes, pendant laquelle une réponse provenant du serveur
LDAP demeure valide. |
Directive ldap.group.attribute
La directive ldap.group.attributes indique le filtre utilisé pour
déterminer si un nom distinctif (DN) est un groupe réel dans une recherche LDAP.
Nom |
Description |
Syntaxe |
ldap.group.memberattribute = <attribute> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
uniquegroup |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un attribut ldap - Voir la directive ldap.prop.sample pour plus
d'informations sur son utilisation. |
Directive ldap.group.dnattribute
La directive ldap.group.dnattributes indique le filtre utilisé pour déterminer,
à travers une recherche LDAP, si un nom distinctif (DN) est un groupe réel.
Nom |
Description |
Syntaxe |
ldap.group.memberattribute = <ldap filter> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
groupofnames groupofuniquenames |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un filtre ldap - Voir la directive ldap.prop.sample pour
plus d'informations sur son utilisation. |
La directive Ldap.group.memberattribute
La directive ldap.group.memberattribute indique l'attribut pour
l'extraction des groupes uniques d'un groupe existant.
Nom |
Description |
Syntaxe |
ldap.group.memberattribute = <ldap filter> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
groupofnames groupofuniquenames |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un filtre ldap - Voir la directive ldap.prop.sample pour
plus d'informations sur son utilisation. |
La directive Ldap.group.memberAttributes
La directive ldap.group.memberAttributes est un moyen d'extraire les
membres de groupes une fois que la fonction repère une entrée de groupe dans un répertoire LDAP.
Nom |
Description |
Syntaxe |
ldap.group.memberAttributes= attribute [attribute2....] |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
member et uniquemember |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Doit correspondre aux noms distinctifs des membres de groupes. Vous pouvez
utiliser plusieurs attributs pour contenir les informations des membres. |
La directive Ldap.group.name.filter
La directive ldap.group.name.filter indique le filtre que LDAP
utilise pour rechercher les noms de groupes.
Nom |
Description |
Syntaxe |
ldap.group.name.filter = <filtre de nom de groupe> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP. |
Directive Ldap.group.search.depth
La directive ldap.group.search.depth effectue une recherche dans les sous-groupes lors de la spécification des directives LDAPRequire group <groupe>. Les groupes peuvent contenir des membres
individuels ainsi que d'autres groupes.
Nom |
Description |
Syntaxe |
ldap.group.search.depth = <profondeur d'entier> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
1 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un entier. Lorsque vous recherchez un groupe, si un membre dans le processus
d'authentification n'est pas un membre du groupe requis, la recherche est également
effectuée dans les sous-groupes du groupe requis. Exemple :
group1 >group2 (group2 is a member of group1)
group2 >group3 (group3 is a member of group2)
group3 >jane (jane is a member of group3)
Si vous recherchez jane et que vous avez besoin d'elle en tant que membre du groupe1,
la recherche échoue avec la valeur ldap.search.depth par défaut de 1. Si vous indiquez ldap.group.search.depth>2,
la recherche aboutit.
Utilisez ldap.group.search.depth=<profondeur de recherche
-- nombre> pour limiter la profondeur de la recherche dans les sous-groupes. Ce type de recherche
peut devenir très intensive sur un serveur LDAP. Lorsque le groupe1 a le groupe2 pour
membre et que le groupe2 a le groupe1 pour membre, cette directive limite la profondeur
de la recherche. Dans l'exemple précédent, le groupe1 a une profondeur de 1, le groupe2 a
une profondeur de 2 et le groupe3 a une profondeur de 3.
|
La directive Ldap.group.URL
La directive ldap.group.URL indique un différent emplacement pour un
groupe sur le même serveur LDAP.
Vous ne pouvez pas utiliser cette directive pour indiquer
un serveur LDAP différent de celui indiqué dans la directive ldap.URL.
Nom |
Description |
Syntaxe |
ldap.group.URL = ldap://<nomhote:port>/<BaseDN> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
- Nom d'hôte : le nom d'hôte du serveur LDAP.
- Numéro de port : numéro de port facultatif sur lequel le serveur LDAP écoute. Le port par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez indiquer le numéro
de port.
- Nom distinctif de base : fournit la racine de l'arborescence LDAP dans laquelle effectuer la recherche
de groupes.
|
Avertissement :
Cette propriété est nécessaire lorsque l'URL LDAP des groupes diffère de
l'URL indiquée par la propriété ldap.URL.
La directive Ldap.idleConnection.timeout
La directive ldap.idleConnection.timeout met les connexions au
serveur LDAP en mémoire cache pour des performances.
Nom |
Description |
Syntaxe |
ldap.idleConection.timeout = <secs> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
600 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Durée, en secondes, avant qu'une connexion inactive au serveur LDAP
ne se ferme suite à l'inactivité. |
La directive Ldap.key.file.password.stashfile
La directive ldap.key.file.password.stashfile indique le fichier de
dissimulation contenant le mot de passe chiffré du fichier de clés ; utilisez la commande ldapstash
pour créer ce fichier de dissimulation.
Nom |
Description |
Syntaxe |
ldap.key.file.password.stashfile =d:\ <Nom du fichier
de mots de passe clés> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Chemin d'accès complet du fichier de dissimulation. |
La directive Ldap.key.fileName
La directive ldap.key.fileName indique le nom du fichier de la base de
données du fichier de clés. Cette option est nécessaire lorsque vous utilisez SSL (Secure Sockets
Layer).
Nom |
Description |
Syntaxe |
ldap.key.fileName=d:\<nom du fichier de clés> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Chemin d'accès complet du fichier de clés. |
La directive Ldap.key.label
La directive ldap.key.file.password.stashfile indique le nom de libellé de
certificats utilisé par le serveur Web pour s'authentifier au serveur LDAP.
Nom |
Description |
Syntaxe |
My Server Certificate |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un libellé valide utilisé dans le fichier de la base de données de clés. Ce libellé est uniquement
nécessaire lors de l'utilisation de SSL (Secure Sockets Layer) et le serveur LDAP demande l'authentification
des clients à partir du serveur Web. |
Directive LdapReferralhoplimit
La directive LdapReferralHopLimit indique le nombre maximal de référenceurs à suivre. L'authentification LDAP échouera si la limite spécifiée est dépassée.
Nom |
Description |
Syntaxe |
LdapReferralHopLimit = <nombre_de_sauts> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
10 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
0 à 10 |
Réglez la directive LdapReferrals sur
on pour utiliser la directive LdapReferralhoplimit.
Important : Une valeur LdapReferralhoplimit de 0 provoque l'échec de l'authentification si aucun référenceur n'est trouvé.
La directive LdapReferralhoplimit n'a aucun sens lorsque la directive LdapReferrals
est définie sur off (par défaut).
Directive LdapReferrals
La directive LdapReferrals indique si les référenceurs (qui renvoient une demande client vers un autre serveur LDAP) fera l'objet de recherche pendant l'exécution des requêtes LDAP.
Nom |
Description |
Syntaxe |
LdapReferrals = off | on |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
désactivé |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
On ou off |
La directive Ldap.realm
La directive
ldap.key.realm indique le nom de la zone protégée, telle qu'elle est perçue
par le client émettant la demande.
Nom |
Description |
Syntaxe |
ldap.realm=<Domaine de protection> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Une description de la page protégée. |
La directive Ldap.search.timeout
La directive ldap.search.timeout indique la durée maximale, en
secondes, pour qu'un serveur LDAP complète une opération de recherche.
Nom |
Description |
Syntaxe |
ldap.search.timeout = <secs> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
10 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Durée, en secondes. |
La directive Ldap.transport
La directive ldap.transport indique la méthode de transport utilisée pour
communiquer avec le serveur LDAP.
Nom |
Description |
Syntaxe |
ldap.transport = TCP |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
TCP |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
TCP ou SSL |
La directive Ldap.url
La directive ldap.url indique l'URL du serveur LDAP auquel s'authentifier.
Nom |
Description |
Syntaxe |
ldap.url = ldap://<nomhote:port>/<BaseDN>
|
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
La directive Ldap.user.authType
La directive ldap.usr.authType indique la méthode d'authentification
de l'utilisateur demandant un serveur Web. Utilisez ce nom comme nom d'utilisateur lorsque vous accédez à un serveur LDAP.
Nom |
Description |
Syntaxe |
ldap.user.authType = BasicIfNoCert |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
De base |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Basic, Cert, BasicIfNoCert |
La directive Ldap.user.cert.filter
La directive ldap.usr.cert.filter indique le filtre utilisé pour la
conversion des informations dans le certificat client transmis à travers SSL (Secure Sockets
Layer) à un filtre de recherche pour une entrée LDAP.
Nom |
Description |
Syntaxe |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP. |
Les certificats SSL (Secure Socket Layer) incluent les champs suivants, dont tous
peuvent être convertis en un filtre de recherche :
Zone de certificat |
Variable |
nom commun |
%v1 |
Unité d'organisation |
%v2 |
organisation |
%v3 |
pays |
%v4 |
localité |
%v5 |
état ou pays |
%v6 |
numéro de série |
%v7 |
Lorsque vous générez le filtre de recherche, vous pouvez trouver les valeurs du champ dans les
zones de variables correspondantes (%v1, %v2). Le tableau ci-dessous illustre la conversion :
Certificat de l'utilisateur |
Conversion du filtre |
Certificat |
cn=Road Runner, o=Acme Inc, c=US |
Filtre |
(cn=%v1, o=%v3, c=%v4) |
Question résultante |
(cn=RoadRunner, o=Acme, Inc, c=US) |
La directive Ldap.user.name.fieldSep
La directive ldap.usr.name.fieldSep indique les caractères comme des
caractères séparateurs de zone lors de l'analyse du nom d'utilisateur dans les zones.
Nom |
Description |
Syntaxe |
ldap.user.name.fieldSep=/ |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
L'espace, la virgule, et le caractère de tabulation (/t). |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Caractères. Si le signe '/' représente l'unique caractère séparateur de zone
et que l'utilisateur entre "Joe Smith/Acme", alors '%v2' est égal à
"Acme". |
La directive Ldap.user.name.filter
La directive ldap.usr.name.filter indique le filtre utilisé pour
convertir le nom d'utilisateur entré dans un filtre de recherche pour une entrée LDAP.
Nom |
Description |
Syntaxe |
ldap.user.name.filter=<filtre de nom de groupe> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
"((objectclass=person) (cn=%v1 %v2))", où %v1 et %v2 représentent
des caractères entrés par l'utilisateur. Par exemple, si l'utilisateur entre "Paul
Kelsey", le filtre de recherche résultant devient "((objectclass=person)(cn=Paul
Kelsey))". Vous trouverez la syntaxe du filtre de recherche décrit dans Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP.
Cependant, puisque le serveur Web est
incapable de faire la différence entre les entrées multiples retournées, l'authentification
échoue lorsque le serveur LDAP renvoie plus d'une entrée. Par exemple, si l'utilisateur
convertit ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))"
et entre Pa Kel, le filtre de recherche résultant devient "(cn=Pa*
Kel*)". Le filtre trouve plusieurs entrées telles (cn=Paul Kelsey) et
(cn=Paula Kelly) et l'authentification échoue. Vous devez modifier votre filtre de recherche.
|
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP. |
La directive Ldap.version
La directive ldap.version indique la version du protocole LDAP
utilisé pour se connecter au serveur LDAP. La version du protocole utilisé par le serveur LDAP
détermine la version LDAP.
Avertissement : Cette directive est facultative.
Nom |
Description |
Syntaxe |
ldap.version=3 |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
ldap.version=3 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
2 ou 3 |
La directive Ldap.waitToRetryConnection.interval
La directive ldap.waitToRetryConnection.interval indique la durée
d'attente du serveur Web entre les tentatives de connexion infructueuse.
Si un serveur LDAP tombe en panne, le serveur Web tente toujours de se connecter.
Nom |
Description |
Syntaxe |
ldap.waitToRetryConnection.interval=<secs> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
300 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
oui |
Valeurs |
Délai (en secondes) |