[AIX Solaris HP-UX Linux Windows]

LDAP 指引

這些配置參數可控制 IBM® HTTP Server 中的「輕量型目錄存取通訊協定 (LDAP)」特性。

已淘汰的特性 已淘汰的特性: 如果您為 LDAP 配置使用 mod_ibm_ldap 模組,請考慮將 mod_ibm_ldap 指引移轉為使用 mod_ldap 模組。mod_ibm_ldap 模組隨附於此版本的 IBM HTTP Server,以與舊版相容,不過,您必須將現有的配置移轉為使用 mod_authnz_ldap 和 mod_ldap 模組,以確保未來能夠支援 LDAP 配置。depfeat

LdapCodepageDir 指引

現在字碼頁會自動安裝在 IHS 安裝目錄中,並相對於 IHS 安裝目錄進行參照,這與舊版中配置的伺服器根目錄相反。

LdapConfigfile 指引

LdapConfigFile 指引指出與 LDAP 參數群組相關聯的 LDAP 內容檔名稱。
指引 說明
語法 LdapConfigFile <配置檔的完整路徑>
範圍 每個目錄段落各一個實例
預設值 c:\program files\ibm http server\conf\ldap.prop.sample
模組 mod_ibm_ldap
配置檔中的多個實例 yes
單一配置檔的完整路徑。將此指引用在 httpd.conf 檔案中。

LDAPRequire 指引

LDAPRequire 指引可將 LDAP 鑑別控制之資源的存取權限制在所指定的使用者集合。它可以藉由群組類型來使用 LDAP 中定義的群組,或者可以使用 LDAP 過濾器類型來指定具有類似屬性值集的使用者集合。
名稱 說明
語法 LDAPRequire filter <過濾器名稱> 或 LDAPRequire group <群組1 [群組2.群組3....]>
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",或 LDAPRequire group "sample group"。

將此指引用在 httpd.conf 檔案中。

如果使用群組類型,並指定多個群組值,則群組驗證為群組的邏輯 AND。如果群組的邏輯 OR 是必要項目,則使用者必須是範例群組1範例群組2 的成員。例如,若使用者是範例群組1範例群組2 的成員,則新的 LDAP 群組「我們的部門群組」應該建立在具有範例群組1範例群組2 成員的 LDAP 伺服器上。然後您可以使用指引:LDAPRequire group 我們的部門群組

Ldap.application.authType 指引

Ldap.application.authType 指引可指定用來向 LDAP 伺服器鑑別 Web 伺服器的方法。
名稱 說明
語法 ldap.application.authType=None
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
  • None:如果 LDAP 伺服器不需要 Web 伺服器進行鑑別。
  • Basic:使用 Web 伺服器的識別名稱 (DN) 作為使用者 ID,而密碼儲存在隱藏檔中作為密碼。

Ldap.application.DN 指引

Ldap.application.DN 指引指出 Web 伺服器的識別名稱 (DN)。使用基本鑑別 (BA) 來存取 LDAP 伺服器時,請使用這個名稱作為使用者名稱。使用 LDAP 伺服器中指定的項目來存取目錄伺服器。
名稱 說明
語法 ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
識別名稱

Ldap.application.password.stashFile 指引

Ldap.application.password.stashFile 指引指出包含已加密密碼的隱藏檔名稱,當「伺服器鑑別」類型為「基本」時,可讓應用程式向 LDAP 伺服器鑑別。
名稱 說明
語法 ldap.application.password.stashFile=c:\IHS\ldap.sth
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
隱藏檔的完整路徑。您可以用 ldapstash 指令來建立這個隱藏檔。

Ldap.cache.timeout 指引

ldap.cache.timeout 指引會從 LDAP 伺服器快取回應。如果您將 Web 伺服器配置為以多個程序來執行,則每個程序會管理它自己的快取副本。
名稱 說明
語法 ldap.cache.timeout= <秒>
範圍 每個目錄段落各一個實例
預設值 600
模組 mod_ibm_ldap
配置檔中的多個實例 yes
從 LDAP 伺服器傳回的回應維持有效的時間長度上限(以秒為單位)。

Ldap.group.attribute 指引

ldap.group.attributes 指引指出透過 LDAP 搜尋,用來判斷識別名稱 (DN) 是否為實際群組的過濾器。
名稱 說明
語法 ldap.group.memberattribute = <屬性>
範圍 每個目錄段落各一個實例
預設值 uniquegroup
模組 mod_ibm_ldap
配置檔中的多個實例 yes
ldap 屬性 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。

Ldap.group.dnattribute 指引

ldap.group.dnattributes 指定透過 LDAP 搜尋,用來判斷識別名稱 (DN) 是否為實際群組的過濾器。
名稱 說明
語法 ldap.group.memberattribute = <ldap 過濾器>
範圍 每個目錄段落各一個實例
預設值 groupofnames groupofuniquenames
模組 mod_ibm_ldap
配置檔中的多個實例 yes
ldap 過濾器 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。

Ldap.group.memberattribute 指引

ldap.group.memberattribute 指引指定用來從現有群組擷取唯一群組的屬性。
名稱 說明
語法 ldap.group.memberattribute = <ldap 過濾器>
範圍 每個目錄段落各一個實例
預設值 groupofnames groupofuniquenames
模組 mod_ibm_ldap
配置檔中的多個實例 yes
ldap 過濾器 - 請參閱 ldap.prop.sample 指引,以取得此指引的用法相關資訊。

Ldap.group.memberAttributes 指引

當函數在 LDAP 目錄中找到群組項目時,ldap.group.memberAttributes 指引可用來作為擷取群組成員的方法。
名稱 說明
語法 ldap.group.memberAttributes= 屬性 [屬性2....]
範圍 每個目錄段落各一個實例
預設值 member 和 uniquemember
模組 mod_ibm_ldap
配置檔中的多個實例 yes
必須等於群組成員的識別名稱。您可以使用多個屬性來包含成員資訊。

Ldap.group.name.filter 指引

ldap.group.name.filter 指引指出 LDAP 用來搜尋群組名稱的過濾器。
名稱 說明
語法 ldap.group.name.filter = <群組名稱過濾器>
範圍 每個目錄段落各一個實例
預設值 (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
模組 mod_ibm_ldap
配置檔中的多個實例 yes
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。

Ldap.group.search.depth 指引

ldap.group.search.depth 指引會在指定 LDAPRequire group <群組> 指引時,搜尋子群組。群組可以包含個別成員和其他群組。
名稱 說明
語法 ldap.group.search.depth = <整數深度>
範圍 每個目錄段落各一個實例
預設值 1
模組 mod_ibm_ldap
配置檔中的多個實例 yes
整數。在搜尋群組時,如果鑑別程序中的成員不是必要群組的成員,也會搜尋必要群組的子群組。例如:
group1 >group2(group2 是 group1 的成員)
group2 >group3(group3 是 group2 的成員)
group3 >jane  (jane 是 group3 的成員)

如果您搜尋 jane,並且需要她作為 group1 的成員,則使用預設的 ldap.search.depth 值 1 時,搜尋會失敗。如果您指定 ldap.group.search.depth>2,則搜尋成功。

您可以使用 ldap.group.search.depth=<搜尋深度 -- 數值> 來限制子群組搜尋的深度。這種類型的搜尋在 LDAP 伺服器上會變得非常密集。當 group2 是 group1 的成員,且 group1 是 group2 的成員,此指引會限制搜尋的深度。在前一個範例中,group1 的深度為 1,group2 的深度為 2,而 group3 的深度為 3。

Ldap.group.URL 指引

ldap.group.URL 指引可以為群組在相同的 LDAP 伺服器上指定不同的位置。您不能使用這個指引來指定不同於 ldap.URL 指引中指定的 LDAP 伺服器。

名稱 說明
語法 ldap.group.URL = ldap://<hostname:port>/<BaseDN>
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
  • host name:LDAP 伺服器的主機名稱。
  • port number:LDAP 伺服器接聽的選用埠號。TCP 連線的預設值為 389。如果您使用 SSL,就必須指定埠號。
  • BaseDN:提供 LDAP 樹狀結構的根目錄,以在其中執行群組的搜尋作業。
小心:
如果群組的 LDAP URL 不同於 ldap.URL 內容指定的 URL,則此內容變成必要項目。

Ldap.idleConnection.timeout 指引

ldap.idleConnection.timeout 指引會快取連接至 LDAP 伺服器的連線,以增進效能。
名稱 說明
語法 ldap.idleConection.timeout = <秒>
範圍 每個目錄段落各一個實例
預設值 600
模組 mod_ibm_ldap
配置檔中的多個實例 yes
閒置的 LDAP 伺服器連線因為沒有活動而關閉之前的時間長度(以秒為單位)。

Ldap.key.file.password.stashfile 指引

ldap.key.file.password.stashfile 指引指出包含已加密之金鑰檔密碼的隱藏檔;您可以使用 ldapstash 指令來建立這個隱藏檔。
名稱 說明
語法 ldap.key.file.password.stashfile =d:\ <金鑰密碼檔名稱>
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
隱藏檔的完整路徑。

Ldap.key.fileName 指引

ldap.key.fileName 指引指出金鑰檔資料庫的檔名。當您使用 Secure Sockets Layer (SSL) 時,這會變成必要選項。
名稱 說明
語法 ldap.key.fileName=d:\<金鑰檔名稱>
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
金鑰檔的完整路徑。

Ldap.key.label 指引

ldap.key.file.password.stashfile 指引指出 Web 伺服器用來向 LDAP 伺服器鑑別的憑證標籤名稱。
名稱 說明
語法 我的伺服器憑證
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
金鑰資料庫檔中使用的有效標籤。唯有當您使用 Secure Sockets Layer (SSL),且 LDAP 伺服器向 Web 伺服器要求用戶端鑑別時,這才會變成必要標籤。

LdapReferralhoplimit 指引

LdapReferralHopLimit 指引指出所要追蹤的轉介數目上限。如果超過指定的限制,LDAP 鑑別將會失敗。
名稱 說明
語法 LdapReferralHopLimit = <躍點數目>
範圍 每個目錄段落各一個實例
預設值 10
模組 mod_ibm_ldap
配置檔中的多個實例 yes
0 到 10
將 LdapReferrals 指引設為 on,以使用 LdapReferralhoplimit 指引。
重要: 如果 LdapReferralhoplimit 值為 0,在遇到任何轉介時,將會導致鑑別失敗。

當 LdapReferrals 指引為 off(預設值)時,LdapReferralhoplimit 指引沒有意義。

LdapReferrals 指引

LdapReferrals 指引指出在執行 LDAP 查詢時,是否會追蹤轉介(將用戶端要求重新導向至另一部 LDAP 伺服器),以進行搜尋。
名稱 說明
語法 LdapReferrals = off | on
範圍 每個目錄段落各一個實例
預設值 off
模組 mod_ibm_ldap
配置檔中的多個實例 yes
On 或 Off

Ldap.realm 指引

ldap.key.realm 指引指出受保護區域的名稱,如發出要求的用戶端所看到的。
名稱 說明
語法 ldap.realm=<保護領域>
範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes
描述受保護頁面的說明。

Ldap.search.timeout 指引

ldap.search.timeout 指引指出等待 LDAP 伺服器完成搜尋作業的時間上限(以秒為單位)。
名稱 說明
語法 ldap.search.timeout = <秒>
範圍 每個目錄段落各一個實例
預設值 10
模組 mod_ibm_ldap
配置檔中的多個實例 yes
時間長度(以秒為單位)。

Ldap.transport 指引

ldap.transport 指引指出用來與 LDAP 伺服器通訊的傳輸方法。
名稱 說明
語法 ldap.transport = TCP
範圍 每個目錄段落各一個實例
預設值 TCP
模組 mod_ibm_ldap
配置檔中的多個實例 yes
TCP 或 SSL

Ldap.url 指引

ldap.url 指引指出要對其進行鑑別之 LDAP 伺服器的 URL。
名稱 說明
語法 ldap.url = ldap://<hostname:port>/<BaseDN>
其中:
  • hostname:代表 LDAP 伺服器的主機名稱。
  • port:代表 LDAP 伺服器接聽的選用埠號。TCP 連線的預設值為 389。如果您使用 SSL,就必須指定埠號。
  • BaseDN:提供 LDAP 樹狀結構的根目錄,以在其中執行使用者的搜尋作業。

    例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

範圍 每個目錄段落各一個實例
預設值
模組 mod_ibm_ldap
配置檔中的多個實例 yes

Ldap.user.authType 指引

ldap.usr.authType 指引指出用來鑑別要求 Web 伺服器之使用者的方法。存取 LDAP 伺服器時,請使用這個名稱作為使用者名稱。
名稱 說明
語法 ldap.user.authType = BasicIfNoCert
範圍 每個目錄段落各一個實例
預設值 基本
模組 mod_ibm_ldap
配置檔中的多個實例 yes
Basic、Cert、BasicIfNoCert

Ldap.user.cert.filter 指引

ldap.usr.cert.filter 指引指出過濾器,以用來將透過 Secure Sockets Layer (SSL) 傳遞之用戶端憑證中的資訊,轉換成 LDAP 項目的搜尋過濾器。
名稱 說明
語法 ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
範圍 每個目錄段落各一個實例
預設值 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
模組 mod_ibm_ldap
配置檔中的多個實例 yes
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。

Secure Socket Layer (SSL) 憑證包含下列欄位,這些欄位全都可以轉換成搜尋過濾器:

憑證欄位 變數
通用名稱 %v1
組織單位 %v2
組織 %v3
國家/地區 %v4
地區 %v5
州/省或國家/地區 %v6
序號 %v7
當您產生搜尋過濾器時,可以在相符的變數欄位(%v1、%v2)中尋找欄位值。下表顯示該轉換:
使用者憑證 過濾器轉換
憑證 cn=Road Runner、o=Acme Inc、c=US
過濾器 (cn=%v1、o=%v3、c=%v4)
所產生的查詢 (cn=RoadRunner、o=Acme, Inc、c=US)

Ldap.user.name.fieldSep 指引

ldap.usr.name.fieldSep 指引指出將使用者名稱剖析至欄位中時,作為有效欄位分隔字元的字元。
名稱 說明
語法 ldap.user.name.fieldSep=/
範圍 每個目錄段落各一個實例
預設值 空格、逗點和定位點 (/t) 字元。
模組 mod_ibm_ldap
配置檔中的多個實例 yes
字元。如果 '/' 代表唯一的欄位分隔字元,而使用者輸入 "Joe Smith/Acme",則 '%v2' 等於 "Acme"。

Ldap.user.name.filter 指引

ldap.usr.name.filter 指引指出過濾器,以用來轉換在 LDAP 項目的搜尋過濾器中輸入的使用者名稱。

名稱 說明
語法 ldap.user.name.filter=<使用者名稱過濾器>
範圍 每個目錄段落各一個實例
預設值 "((objectclass=person) (cn=%v1 %v2))",其中 %v1%v2 代表使用者輸入的字元。

例如,若使用者輸入 "Paul Kelsey",所產生的搜尋過濾器會變成 "((objectclass=person)(cn=Paul Kelsey))"。您可以尋找「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」中說明的搜尋過濾器語法。

不過,由於 Web 伺服器無法區分多個傳回的項目,因此當 LDAP 伺服器傳回多個項目時,鑑別會失敗。例如,如果使用者建立 ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))",並輸入 Pa Kel,則產生的搜尋過濾器會變成 "(cn=Pa* Kel*)"。過濾器會尋找多個項目,例如 (cn=Paul Kelsey) 和 (cn=Paula Kelly),而鑑別就會失敗。您必須修改搜尋過濾器。

模組 mod_ibm_ldap
配置檔中的多個實例 yes
LDAP 過濾器。請參閱「使用 LDAP 搜尋過濾器來查詢 LDAP 伺服器」。

Ldap.version 指引

ldap.version 指引指出用來連接至 LDAP 伺服器的 LDAP 通訊協定版本。LDAP 伺服器使用的通訊協定版本會決定 LDAP 版本。

小心: 此為選用指引。
名稱 說明
語法 ldap.version=3
範圍 每個目錄段落各一個實例
預設值 ldap.version=3
模組 mod_ibm_ldap
配置檔中的多個實例 yes
2 或 3

Ldap.waitToRetryConnection.interval 指引

ldap.waitToRetryConnection.interval 指引指出 Web 伺服器在嘗試連線失敗時,重試連線所等待的時間。

如果 LDAP 伺服器關閉,Web 伺服器會繼續嘗試連線。

名稱 說明
語法 ldap.waitToRetryConnection.interval=<秒>
範圍 每個目錄段落各一個實例
預設值 300
模組 mod_ibm_ldap
配置檔中的多個實例 yes
時間(以秒為單位)

指出主題類型的圖示 參照主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ldapdirs
檔名:rihs_ldapdirs.html