[AIX Solaris HP-UX Linux Windows]

Directives LDAP

Ces paramètres de configuration contrôlent la fonction LDAP (Lightweight Directory Access Protocol) dans IBM® HTTP Server.

Fonction obsolète Fonction obsolète: Si vous utilisez le module mod_ibm_ldap pour votre configuration LDAP, envisagez la migration de vos directives mod_ibm_ldap pour utiliser le module mod_ldap. Le module mod_ibm_ldap est fourni avec cette édition d'IBM HTTP Server à des fins de compatibilité avec les éditions précédentes. Toutefois, vous devez faire migrer les configurations existantes pour utiliser les modules mod_authnz_ldap et mod_ldap et garantir ainsi la prise en charge future de votre configuration LDAP.depfeat

La directive LdapCodepageDir

Les pages de code sont à présent installées automatiquement dans le répertoire d'installation IHS et désignées par rapport au répertoire d'installation IHS, par opposition au répertoire principal du serveur configuré comme dans les versions précédentes.

La directive LdapConfigfile

La directive LdapConfigFile indique le nom du fichier de propriétés LDAP associé à un groupe de paramètres LDAP.
Directive Description
Syntaxe LdapConfigFile <Chemin d'accès complet au fichier configuration>
Portée Instance unique par section de répertoire
Valeur par défaut c:\program files\ibm http server\conf\ldap.prop.sample
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Chemin d'accès complet du fichier de configuration unique. Utilisez cette directive dans le fichier httpd.conf.

Directive LDAPRequire

La directive LDAPRequire permet de limiter les accès à une ressource contrôlée par l'authentification LDAP pour un groupe d'utilisateurs spécifié. Elle peut utiliser des groupes définis dans LDAP en utilisant le type du groupe ou utiliser le type de filtre LDAP pour désigner un ensemble d'utilisateurs avec un jeu de valeurs d'attributs similaires.
Nom Description
Syntaxe LDAPRequire filter <nom du filtre> ou LDAPRequire group <groupe1 [groupe2.groupe3....]>
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", ou LDAPRequire group "sample group".

Utilisez cette directive dans le fichier httpd.conf.

Si le type de groupe est utilisé et que plusieurs valeurs de groupe sont spécifiées, la validation du groupe est un ET (AND) logique des groupes. Un utilisateur doit être un membre du Groupe1 exemple et du Groupe2 exemple si un OU (OR) logique des groupes est requis. Par exemple, si un utilisateur est membre du Groupe1 exemple ou du Groupe2 exemple, dans ce cas un nouveau groupe LDAP, groupe de notre département, doit être créé sur le serveur LDAP ayant pour membres Groupe1 exemple etGroupe2 exemple. Vous utiliserez alors la directive suivante : LDAPRequire group groupe de notre département.

La directive Ldap.application.authType

La directive Ldap.application.authType indique la méthode pour l'authentification du serveur Web au serveur LDAP.
Nom Description
Syntaxe ldap.application.authType=None
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs
  • None : si le serveur LDAP n'a pas besoin du serveur Web pour s'authentifier.
  • Basic : utilise le nom distinctif (DN) du serveur Web comme ID utilisateur et le mot de passe stocké dans le fichier de dissimulation, comme mot de passe.

La directive Ldap.application.DN

La directive Ldap.application.DN indique le nom distinctif (DN) du serveur Web. Utilisez ce nom comme nom d'utilisateur lorsque vous accédez à un serveur LDAP à l'aide de l'authentification de base. Utilisez l'entrée indiquée dans le serveur LDAP pour accéder au serveur de répertoire.
Nom Description
Syntaxe ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Nom distinctif (DN)

La directive Ldap.application.password.stashFile

La directive Ldap.application.password.stashFile indique le nom du fichier de dissimulation contenant le mot de passe chiffré pour que l'application s'authentifie au serveur LDAP lorsque l'authentification de serveur est de type Basic.
Nom Description
Syntaxe ldap.application.password.stashFile=c:\IHS\ldap.sth
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Chemin d'accès complet du fichier de dissimulation. Vous pouvez créer ce fichier de dissimulation à l'aide de la commande ldapstash.

La directive Ldap.cache.timeout

La directive ldap.cache.timeout met les réponses du serveur LDAP en mémoire cache. Si vous configurez le serveur Web pour qu'il s'exécute comme plusieurs processus, chaque processus gère sa propre copie de la mémoire cache.
Nom Description
Syntaxe ldap.cache.timeout= <secs>
Portée Instance unique par section de répertoire
Valeur par défaut 600
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Durée maximale, en secondes, pendant laquelle une réponse provenant du serveur LDAP demeure valide.

Directive ldap.group.attribute

La directive ldap.group.attributes indique le filtre utilisé pour déterminer si un nom distinctif (DN) est un groupe réel dans une recherche LDAP.
Nom Description
Syntaxe ldap.group.memberattribute = <attribute>
Portée Instance unique par section de répertoire
Valeur par défaut uniquegroup
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un attribut ldap - Voir la directive ldap.prop.sample pour plus d'informations sur son utilisation.

Directive ldap.group.dnattribute

La directive ldap.group.dnattributes indique le filtre utilisé pour déterminer, à travers une recherche LDAP, si un nom distinctif (DN) est un groupe réel.
Nom Description
Syntaxe ldap.group.memberattribute = <ldap filter>
Portée Instance unique par section de répertoire
Valeur par défaut groupofnames groupofuniquenames
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un filtre ldap - Voir la directive ldap.prop.sample pour plus d'informations sur son utilisation.

La directive Ldap.group.memberattribute

La directive ldap.group.memberattribute indique l'attribut pour l'extraction des groupes uniques d'un groupe existant.
Nom Description
Syntaxe ldap.group.memberattribute = <ldap filter>
Portée Instance unique par section de répertoire
Valeur par défaut groupofnames groupofuniquenames
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un filtre ldap - Voir la directive ldap.prop.sample pour plus d'informations sur son utilisation.

La directive Ldap.group.memberAttributes

La directive ldap.group.memberAttributes est un moyen d'extraire les membres de groupes une fois que la fonction repère une entrée de groupe dans un répertoire LDAP.
Nom Description
Syntaxe ldap.group.memberAttributes= attribute [attribute2....]
Portée Instance unique par section de répertoire
Valeur par défaut member et uniquemember
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Doit correspondre aux noms distinctifs des membres de groupes. Vous pouvez utiliser plusieurs attributs pour contenir les informations des membres.

La directive Ldap.group.name.filter

La directive ldap.group.name.filter indique le filtre que LDAP utilise pour rechercher les noms de groupes.
Nom Description
Syntaxe ldap.group.name.filter = <filtre de nom de groupe>
Portée Instance unique par section de répertoire
Valeur par défaut (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP.

Directive Ldap.group.search.depth

La directive ldap.group.search.depth effectue une recherche dans les sous-groupes lors de la spécification des directives LDAPRequire group <groupe>. Les groupes peuvent contenir des membres individuels ainsi que d'autres groupes.
Nom Description
Syntaxe ldap.group.search.depth = <profondeur d'entier>
Portée Instance unique par section de répertoire
Valeur par défaut 1
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un entier. Lorsque vous recherchez un groupe, si un membre dans le processus d'authentification n'est pas un membre du groupe requis, la recherche est également effectuée dans les sous-groupes du groupe requis. Exemple :
group1 >group2 (group2 is a member of group1)
group2 >group3 (group3 is a member of group2)
group3 >jane   (jane is a member of group3)

Si vous recherchez jane et que vous avez besoin d'elle en tant que membre du groupe1, la recherche échoue avec la valeur ldap.search.depth par défaut de 1. Si vous indiquez ldap.group.search.depth>2, la recherche aboutit.

Utilisez ldap.group.search.depth=<profondeur de recherche -- nombre> pour limiter la profondeur de la recherche dans les sous-groupes. Ce type de recherche peut devenir très intensive sur un serveur LDAP. Lorsque le groupe1 a le groupe2 pour membre et que le groupe2 a le groupe1 pour membre, cette directive limite la profondeur de la recherche. Dans l'exemple précédent, le groupe1 a une profondeur de 1, le groupe2 a une profondeur de 2 et le groupe3 a une profondeur de 3.

La directive Ldap.group.URL

La directive ldap.group.URL indique un différent emplacement pour un groupe sur le même serveur LDAP. Vous ne pouvez pas utiliser cette directive pour indiquer un serveur LDAP différent de celui indiqué dans la directive ldap.URL.

Nom Description
Syntaxe ldap.group.URL = ldap://<nomhote:port>/<BaseDN>
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs
  • Nom d'hôte : le nom d'hôte du serveur LDAP.
  • Numéro de port : numéro de port facultatif sur lequel le serveur LDAP écoute. Le port par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez indiquer le numéro de port.
  • Nom distinctif de base : fournit la racine de l'arborescence LDAP dans laquelle effectuer la recherche de groupes.
Avertissement :
Cette propriété est nécessaire lorsque l'URL LDAP des groupes diffère de l'URL indiquée par la propriété ldap.URL.

La directive Ldap.idleConnection.timeout

La directive ldap.idleConnection.timeout met les connexions au serveur LDAP en mémoire cache pour des performances.
Nom Description
Syntaxe ldap.idleConection.timeout = <secs>
Portée Instance unique par section de répertoire
Valeur par défaut 600
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Durée, en secondes, avant qu'une connexion inactive au serveur LDAP ne se ferme suite à l'inactivité.

La directive Ldap.key.file.password.stashfile

La directive ldap.key.file.password.stashfile indique le fichier de dissimulation contenant le mot de passe chiffré du fichier de clés ; utilisez la commande ldapstash pour créer ce fichier de dissimulation.
Nom Description
Syntaxe ldap.key.file.password.stashfile =d:\ <Nom du fichier de mots de passe clés>
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Chemin d'accès complet du fichier de dissimulation.

La directive Ldap.key.fileName

La directive ldap.key.fileName indique le nom du fichier de la base de données du fichier de clés. Cette option est nécessaire lorsque vous utilisez SSL (Secure Sockets Layer).
Nom Description
Syntaxe ldap.key.fileName=d:\<nom du fichier de clés>
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Chemin d'accès complet du fichier de clés.

La directive Ldap.key.label

La directive ldap.key.file.password.stashfile indique le nom de libellé de certificats utilisé par le serveur Web pour s'authentifier au serveur LDAP.
Nom Description
Syntaxe My Server Certificate
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un libellé valide utilisé dans le fichier de la base de données de clés. Ce libellé est uniquement nécessaire lors de l'utilisation de SSL (Secure Sockets Layer) et le serveur LDAP demande l'authentification des clients à partir du serveur Web.

Directive LdapReferralhoplimit

La directive LdapReferralHopLimit indique le nombre maximal de référenceurs à suivre. L'authentification LDAP échouera si la limite spécifiée est dépassée.
Nom Description
Syntaxe LdapReferralHopLimit = <nombre_de_sauts>
Portée Instance unique par section de répertoire
Valeur par défaut 10
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs 0 à 10
Réglez la directive LdapReferrals sur on pour utiliser la directive LdapReferralhoplimit.
Important : Une valeur LdapReferralhoplimit de 0 provoque l'échec de l'authentification si aucun référenceur n'est trouvé.

La directive LdapReferralhoplimit n'a aucun sens lorsque la directive LdapReferrals est définie sur off (par défaut).

Directive LdapReferrals

La directive LdapReferrals indique si les référenceurs (qui renvoient une demande client vers un autre serveur LDAP) fera l'objet de recherche pendant l'exécution des requêtes LDAP.
Nom Description
Syntaxe LdapReferrals = off | on
Portée Instance unique par section de répertoire
Valeur par défaut désactivé
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs On ou off

La directive Ldap.realm

La directive ldap.key.realm indique le nom de la zone protégée, telle qu'elle est perçue par le client émettant la demande.
Nom Description
Syntaxe ldap.realm=<Domaine de protection>
Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Une description de la page protégée.

La directive Ldap.search.timeout

La directive ldap.search.timeout indique la durée maximale, en secondes, pour qu'un serveur LDAP complète une opération de recherche.
Nom Description
Syntaxe ldap.search.timeout = <secs>
Portée Instance unique par section de répertoire
Valeur par défaut 10
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Durée, en secondes.

La directive Ldap.transport

La directive ldap.transport indique la méthode de transport utilisée pour communiquer avec le serveur LDAP.
Nom Description
Syntaxe ldap.transport = TCP
Portée Instance unique par section de répertoire
Valeur par défaut TCP
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs TCP ou SSL

La directive Ldap.url

La directive ldap.url indique l'URL du serveur LDAP auquel s'authentifier.
Nom Description
Syntaxe ldap.url = ldap://<nomhote:port>/<BaseDN>
où :
  • nomhote : représente le nom d'hôte du serveur LDAP.
  • port : représente le numéro de port facultatif sur lequel le serveur LDAP écoute. Le port par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez indiquer le numéro de port.
  • Nom distinctif de base : fournit la racine de l'arborescence LDAP dans laquelle effectuer la recherche d'utilisateurs.

    Par exemple : ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

Portée Instance unique par section de répertoire
Valeur par défaut Aucune
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui

La directive Ldap.user.authType

La directive ldap.usr.authType indique la méthode d'authentification de l'utilisateur demandant un serveur Web. Utilisez ce nom comme nom d'utilisateur lorsque vous accédez à un serveur LDAP.
Nom Description
Syntaxe ldap.user.authType = BasicIfNoCert
Portée Instance unique par section de répertoire
Valeur par défaut De base
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Basic, Cert, BasicIfNoCert

La directive Ldap.user.cert.filter

La directive ldap.usr.cert.filter indique le filtre utilisé pour la conversion des informations dans le certificat client transmis à travers SSL (Secure Sockets Layer) à un filtre de recherche pour une entrée LDAP.
Nom Description
Syntaxe ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Portée Instance unique par section de répertoire
Valeur par défaut "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP.

Les certificats SSL (Secure Socket Layer) incluent les champs suivants, dont tous peuvent être convertis en un filtre de recherche :

Zone de certificat Variable
nom commun %v1
Unité d'organisation %v2
organisation %v3
pays %v4
localité %v5
état ou pays %v6
numéro de série %v7
Lorsque vous générez le filtre de recherche, vous pouvez trouver les valeurs du champ dans les zones de variables correspondantes (%v1, %v2). Le tableau ci-dessous illustre la conversion :
Certificat de l'utilisateur Conversion du filtre
Certificat cn=Road Runner, o=Acme Inc, c=US
Filtre (cn=%v1, o=%v3, c=%v4)
Question résultante (cn=RoadRunner, o=Acme, Inc, c=US)

La directive Ldap.user.name.fieldSep

La directive ldap.usr.name.fieldSep indique les caractères comme des caractères séparateurs de zone lors de l'analyse du nom d'utilisateur dans les zones.
Nom Description
Syntaxe ldap.user.name.fieldSep=/
Portée Instance unique par section de répertoire
Valeur par défaut L'espace, la virgule, et le caractère de tabulation (/t).
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Caractères. Si le signe '/' représente l'unique caractère séparateur de zone et que l'utilisateur entre "Joe Smith/Acme", alors '%v2' est égal à "Acme".

La directive Ldap.user.name.filter

La directive ldap.usr.name.filter indique le filtre utilisé pour convertir le nom d'utilisateur entré dans un filtre de recherche pour une entrée LDAP.

Nom Description
Syntaxe ldap.user.name.filter=<filtre de nom de groupe>
Portée Instance unique par section de répertoire
Valeur par défaut "((objectclass=person) (cn=%v1 %v2))", où %v1 et %v2 représentent des caractères entrés par l'utilisateur.

Par exemple, si l'utilisateur entre "Paul Kelsey", le filtre de recherche résultant devient "((objectclass=person)(cn=Paul Kelsey))". Vous trouverez la syntaxe du filtre de recherche décrit dans Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP.

Cependant, puisque le serveur Web est incapable de faire la différence entre les entrées multiples retournées, l'authentification échoue lorsque le serveur LDAP renvoie plus d'une entrée. Par exemple, si l'utilisateur convertit ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" et entre Pa Kel, le filtre de recherche résultant devient "(cn=Pa* Kel*)". Le filtre trouve plusieurs entrées telles (cn=Paul Kelsey) et (cn=Paula Kelly) et l'authentification échoue. Vous devez modifier votre filtre de recherche.

Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP.

La directive Ldap.version

La directive ldap.version indique la version du protocole LDAP utilisé pour se connecter au serveur LDAP. La version du protocole utilisé par le serveur LDAP détermine la version LDAP.

Avertissement : Cette directive est facultative.
Nom Description
Syntaxe ldap.version=3
Portée Instance unique par section de répertoire
Valeur par défaut ldap.version=3
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs 2 ou 3

La directive Ldap.waitToRetryConnection.interval

La directive ldap.waitToRetryConnection.interval indique la durée d'attente du serveur Web entre les tentatives de connexion infructueuse.

Si un serveur LDAP tombe en panne, le serveur Web tente toujours de se connecter.

Nom Description
Syntaxe ldap.waitToRetryConnection.interval=<secs>
Portée Instance unique par section de répertoire
Valeur par défaut 300
Module mod_ibm_ldap
Plusieurs instances dans le fichier de configuration oui
Valeurs Délai (en secondes)

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ldapdirs
Nom du fichier : rihs_ldapdirs.html