[AIX Solaris HP-UX Linux Windows]

Directivas LDAP

Estos parámetros de configuración controlan la característica LDAP (Lightweight Directory Access Protocol) de IBM® HTTP Server.

Deprecated feature Deprecated feature: Si utiliza el módulo mod_ibm_ldap para la configuración LDAP, piense en migrar las directivas de mod_ibm_ldap para utilizar el módulo mod_ldap. El módulo mod_ibm_ldap se proporciona con este release de IBM HTTP Server a efectos de compatibilidad con releases anteriores; no obstante, debe migrar las configuraciones existentes para que utilicen los módulos mod_authnz_ldap y mod_ldap para garantizar el soporte futuro de la configuración LDAP. depfeat

Directiva LdapCodepageDir

Las páginas de códigos ahora se instalan automáticamente en el directorio de instalación de IHS y la referencia a ellas se hace con respecto al directorio de instalación de IHS, en lugar del directorio raíz del servidor configurado, como en las versiones anteriores.

Directiva LdapConfigfile

La directiva LdapConfigFile indica el nombre del archivo de propiedades LDAP asociado a un grupo de parámetros LDAP.
Directiva Descripción
Sintaxis LdapConfigFile <vía de acceso completa al archivo de configuración>
Ámbito Instancia única por stanza de directorio
Valor predeterminado c:\Archivos de programa\ibm http server\conf\ldap.prop.sample
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada a un solo archivo de configuración. Utilice esta directiva en el archivo httpd.conf.

Directiva LDAPRequire

La directiva LDAPRequire se utiliza para limitar el acceso a recursos que se controlan mediante la autenticación LDAP con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto similar de valores de atributo.
Nombre Descripción
Sintaxis LDAPRequire filter <nombre de filtro> or LDAPRequire group <grupo1 [grupo2.grupo3....]>
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", or LDAPRequire group "grupo de ejemplo".

Utilice esta directiva en el archivo httpd.conf.

Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo, entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: LDAPRequire group nuestro grupo de departamento.

Directiva Ldap.application.authType

La directiva Ldap.application.authType especifica el método para autenticar el servidor web con el servidor LDAP.
Nombre Descripción
Sintaxis ldap.application.authType=None
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores
  • Ninguna: si el servidor de LDAP no requiere que se autentique el servidor web.
  • Básica: utiliza el nombre distinguido (DN) del servidor web como el ID de usuario y la contraseña almacenada en el archivo stash, como la contraseña.

Directiva Ldap.application.DN

La directiva Ldap.application.DN indica el nombre distinguido (DN) del servidor web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP utilizando la autenticación básica. Utilice la entrada especificada en el servidor LDAP para acceder al servidor de directorio.
Nombre Descripción
Sintaxis ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Nombre distinguido

Directiva Ldap.application.password.stashFile

La directiva Ldap.application.password.stashFile indica el nombre del archivo de contraseñas que contiene la contraseña cifrada para que la autentique la aplicación con el servidor LDAP cuando el tipo de autenticación del servidor es básico.
Nombre Descripción
Sintaxis ldap.application.password.stashFile=c:\IHS\ldap.sth
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo stash. Puede crear este archivo stash con el mandato ldapstash.

Directiva Ldap.cache.timeout

La directiva ldap.cache.timeout almacena en memoria caché respuestas del servidor LDAP. Si configura el servidor web para que se ejecute en varios procesos, cada proceso gestiona su propia copia de la memoria caché.
Nombre Descripción
Sintaxis ldap.cache.timeout= <seg>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 600
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores La longitud máxima de tiempo, en segundos, que sigue siendo válida una respuesta devuelta por el servidor LDAP.

Directiva Ldap.group.attribute

La directiva ldap.group.attributes indica el filtro que se utiliza para determinar si un nombre distinguido (DN) es un grupo real en una búsqueda de LDAP.
Nombre Descripción
Sintaxis ldap.group.memberattribute = <attribute>
Ámbito Instancia única por stanza de directorio
Valor predeterminado uniquegroup
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un atributo de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.dnattribute

La directiva ldap.group.dnattributes especifica el filtro utilizado para determinar, a través de una búsqueda de LDAP, si un nombre distinguido (DN) es un grupo real.
Nombre Descripción
Sintaxis ldap.group.memberattribute = <filtro ldap>
Ámbito Instancia única por stanza de directorio
Valor predeterminado groupofnames groupofuniquenames
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.memberattribute

La directiva ldap.group.memberattribute especifica el atributo para recuperar grupos únicos de grupos existentes.
Nombre Descripción
Sintaxis ldap.group.memberattribute = <filtro ldap>
Ámbito Instancia única por stanza de directorio
Valor predeterminado groupofnames groupofuniquenames
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.memberAttributes

La directiva ldap.group.memberAttributes sirve como un medio de extraer miembros de grupo, una vez que la función encuentra una entrada de grupo en un directorio de LDAP.
Nombre Descripción
Sintaxis ldap.group.memberAttributes= atributo [atributo2....]
Ámbito Instancia única por stanza de directorio
Valor predeterminado member y uniquemember
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Debe ser igual que los nombres distinguidos de los miembros del grupo. Puede utilizar más de un atributo para contener información del miembro.

Directiva Ldap.group.name.filter

La directiva ldap.group.name.filter indica el filtro que utiliza LDAP para buscar nombres de grupo.
Nombre Descripción
Sintaxis ldap.group.name.filter = <filtro de nombre de grupo>
Ámbito Instancia única por stanza de directorio
Valor predeterminado (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Directiva Ldap.group.search.depth

La directiva ldap.group.search.depth busca subgrupos al especificar las directivas LDAPRequire group <grupo>. Los grupos pueden contener miembros individuales y otros grupos.
Nombre Descripción
Sintaxis ldap.group.search.depth = <profundidad en entero>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 1
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un entero. Cuando se realiza una búsqueda de un grupo, si un miembro del proceso de autenticación no forma parte del grupo requerido, también se busca en los subgrupos del grupo requerido. Por ejemplo:
grupo1 >grupo2 (grupo2 es miembro del grupo1)
grupo2 >grupo3 (grupo3 es miembro del grupo2)
grupo3 >jane   (jane es miembro del grupo3)

Si busca jane y requiere que sea miembro del grupo1, la búsqueda no lo encuentra y produce el valor por omisión para ldap.search.depth de 1. Si especifica ldap.group.search.depth>2, la búsqueda resulta satisfactoria.

Utilice ldap.group.search.depth=<profundidad de búsqueda -- número> para limitar la profundidad de las búsquedas de subgrupos. Este tipo de búsqueda puede resultar muy intensiva en un servidor LDAP. Donde el grupo1 tiene el grupo2 como miembro y el grupo2 tiene el grupo3 como miembro, esta directiva limita la profundidad de la búsqueda. En el ejemplo anterior, el grupo1 tiene una profundidad de 1, el grupo2 tiene una profundidad de 2 y el grupo3 tiene una profundidad de 3.

Directiva Ldap.group.URL

La directiva ldap.group.URL especifica una ubicación distinta para un grupo en el mismo servidor LDAP. No puede utilizar esta directiva para especificar un servidor LDAP distinto del que se ha especificado en la directiva ldap.URL.

Nombre Descripción
Sintaxis ldap.group.URL = ldap://<nombrehost:puerto>/<DNBase>
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores
  • nombre de host: nombre de host del servidor LDAP.
  • número de puerto: número de puerto opcional en el que está a la escucha el servidor LDAP. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto.
  • DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de grupos.
Atención:
Esta propiedad es necesaria si el URL de LDAP para grupos es distinto del URL especificado por la propiedad ldap.URL.

Directiva Ldap.idleConnection.timeout

La directiva ldap.idleConnection.timeout almacena en memoria caché conexiones con el servidor LDAP para el rendimiento
Nombre Descripción
Sintaxis ldap.idleConection.timeout = <seg>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 600
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Longitud de tiempo, en segundos, antes de que una conexión de servidor LDAP inactiva se cierre debido a la inactividad.

Directiva Ldap.key.file.password.stashfile

La directiva ldap.key.file.password.stashfile indica el archivo stash que contiene la contraseña del archivo de claves cifradas; utilice el mandato ldapstash para crear este archivo stash.
Nombre Descripción
Sintaxis ldap.key.file.password.stashfile =d:\ <nombre de archivo de contraseñas de claves>
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo stash.

Directiva Ldap.key.fileName

La directiva ldap.key.fileName indica el nombre de archivo de la base de datos del archivo de claves. Esta opción es necesaria cuando se utiliza SSL (Secure Sockets Layer).
Nombre Descripción
Sintaxis ldap.key.fileName=d:\<nombre de archivo de claves>
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo de claves.

Directiva Ldap.key.label

La directiva ldap.key.file.password.stashfile indica el nombre de etiqueta del certificado que el servidor web utiliza para autenticarse con el servidor LDAP.
Nombre Descripción
Sintaxis Mi certificado de servidor
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Etiqueta válida utilizada en el archivo de base de datos de claves. Esta etiqueta sólo es necesaria cuando se utiliza SSL (Secure Sockets Layer) y el servidor LDAP solicita autenticación de cliente del servidor web.

Directiva LdapReferralhoplimit

La directiva LdapReferralHopLimit indica el número máximo de referencias que se van a seguir. La autenticación de LDAP fallará si se supera el límite especificado.
Nombre Descripción
Sintaxis LdapReferralHopLimit = <número_de_saltos>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 10
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores De 0 a 10
Establezca la directiva LdapReferrals on para utilizar la directiva LdapReferralhoplimit.
Importante: Un valor 0 de LdapReferralhoplimit hará que falle la autenticación, si se encuentra alguna referencia.

La directiva LdapReferralhoplimit no es significativa si la directiva LdapReferrals es off (por omisión).

Directiva LdapReferrals

La directiva LdapReferrals indica si las referencias (que redireccionan una petición de cliente a otro servidor LDAP) se utilizarán para las búsquedas mientras se realizan consultas de LDAP.
Nombre Descripción
Sintaxis LdapReferrals = off | on
Ámbito Instancia única por stanza de directorio
Valor predeterminado off
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores On u off

Directiva Ldap.realm

La directiva ldap.key.realm indica el nombre del área protegida, como lo ve el cliente solicitante.
Nombre Descripción
Sintaxis ldap.realm=<Reino de protección>
Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Una descripción de la página protegida.

Directiva Ldap.search.timeout

La directiva ldap.search.timeout indica el tiempo máximo, en segundos, que se debe esperar para que un servidor LDAP complete una operación de búsqueda.
Nombre Descripción
Sintaxis ldap.search.timeout = <seg>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 10
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Longitud de tiempo, en segundos.

Directiva Ldap.transport

La directiva ldap.transport indica el método de transporte utilizado para comunicarse con el servidor LDAP.
Nombre Descripción
Sintaxis ldap.transport = TCP
Ámbito Instancia única por stanza de directorio
Valor predeterminado TCP
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores TCP o SSL

Directiva Ldap.url

La directiva ldap.url indica la dirección URL del servidor LDAP con el que se va a realizar la autenticación.
Nombre Descripción
Sintaxis ldap.url = ldap://<nombrehost:puerto>/<DNBase>
donde:
  • nombresistemaprpal: representa el nombre de host del servidor LDAP.
  • puerto: representa el número de puerto opcional en el que el servidor LDAP realiza la escucha. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto si utiliza SSL.
  • DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de usuarios.

    Por ejemplo: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industria, c=España>

Ámbito Instancia única por stanza de directorio
Valor predeterminado Ninguno
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración

Directiva Ldap.user.authType

La directiva ldap.usr.authType indica el método de autenticar el usuario que solicita un servidor web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP.
Nombre Descripción
Sintaxis ldap.user.authType = BasicIfNoCert
Ámbito Instancia única por stanza de directorio
Valor predeterminado Básico
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Basic, Cert, BasicIfNoCert

Directiva Ldap.user.cert.filter

La directiva ldap.usr.cert.filter indica el filtro que se utiliza para convertir la información del certificado de cliente pasada en SSL (Secure Sockets Layer) a un filtro de búsqueda de entradas LDAP.
Nombre Descripción
Sintaxis ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Ámbito Instancia única por stanza de directorio
Valor predeterminado "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Los certificados SSL (Secure Socket Layer) incluyen los campos siguientes, todos ellos los puede convertir en filtros de búsqueda:

Campo de certificado Variable
nombre común %v1
unidad organizativa %v2
organización %v3
país %v4
localidad %v5
provincia o país %v6
número de serie %v7
Cuando genera el filtro de búsqueda, puede encontrar los valores de campo en los campos de variables coincidentes (%v1, %v2). La tabla siguiente muestra la conversión:
Certificado de usuario Conversión de filtro
Certificado nc=Pedro Sánchez, o=Acme S.L., p=España
Filtro (nc=%v1, o=%v3, p=%v4)
Consulta resultante (nc=Pedro Sánchez, o=Acme, S.L., p=España)

Directiva Ldap.user.name.fieldSep

La directiva ldap.usr.name.fieldSep indica que los caracteres son separadores de campo válidos cuando se analiza el nombre de usuario en campos.
Nombre Descripción
Sintaxis ldap.user.name.fieldSep=/
Ámbito Instancia única por stanza de directorio
Valor predeterminado El carácter de espacio, coma y tabulador (/t).
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Caracteres. Si '/' representa el único carácter separador de campo y el usuario especifica "Jorge Sánchez/Acme", entonces '%v2' es igual a "Acme".

Directiva Ldap.user.name.filter

La directiva ldap.usr.name.filter indica el filtro utilizado para convertir el nombre de usuario especificado en filtros de búsqueda de entradas LDAP.

Nombre Descripción
Sintaxis ldap.user.name.filter=<filtro de nombre de usuario>
Ámbito Instancia única por stanza de directorio
Valor predeterminado "((objectclass=person) (cn=%v1 %v2))", donde %v1 y %v2 representan caracteres entrados por el usuario.

Por ejemplo, si el usuario especifica "Pablo Rey", el filtro de búsqueda resultante pasa a ser "((objectclass=person)(cn=Pablo Rey))". Puede encontrar la sintaxis del filtro de búsqueda descrita en el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

No obstante, dado que el servidor web no puede diferenciar entre varias entradas devueltas, se produce un error de autenticación cuando el servidor LDAP devuelve más de una entrada. Por ejemplo, si el usuario crea el filtro ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" y especifica Pa Re, el filtro de búsqueda resultante pasa a ser "(cn=Pa* Re*)". El filtro encuentra varias entradas como (cn=Pablo Rey) y (cn=Pablo Reyes) y se produce un error de autenticación. Debe modificar el filtro de búsqueda.

Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Directiva Ldap.version

La directiva ldap.version indica la versión del protocolo LDAP utilizado para conectar con el servidor LDAP. La versión del protocolo que utiliza el servidor LDAP determina la versión de LDAP.

Atención: Esta directiva es opcional.
Nombre Descripción
Sintaxis ldap.version=3
Ámbito Instancia única por stanza de directorio
Valor predeterminado ldap.version=3
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores 2 ó 3

Directiva Ldap.waitToRetryConnection.interval

La directiva ldap.waitToRetryConnection.interval indica el tiempo que espera el servidor web entre intentos fallidos de conexión.

Si un servidor LDAP se desactiva, el servidor web continúa intentando conectarse.

Nombre Descripción
Sintaxis ldap.waitToRetryConnection.interval=<seg>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 300
Módulo mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Tiempo (en segundos)

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ldapdirs
File name: rihs_ldapdirs.html