Hilfe zum IBM HTTP Server: LDAP-Anweisungen

LDAP-Anweisungen - Nicht gültig unter HP oder Linux

  • LdapConfigFile
  •  
  • ldap.key.label
  • LDAPRequire
  •  
  • ldap.realm
  • ldap.application.authType
  •  
  • ldap.search.timeout
  • ldap.application.DN
  •  
  • ldap.transport
  • ldap.application.password.stashFile
  •  
  • ldap.url
  • ldap.cache.timeout
  •  
  • Ldap.user.authType
  • ldap.group.memberAttributes
  •  
  • ldap.user.cert.filter
  • ldap.group.name.filter
  •  
  • ldap.user.name.fieldSep
  • ldap.group.URL
  •  
  • ldap.user.name.filter
  • ldap.idleConnection.timeout
  •  
  • ldap.waitToRetryConnection.interval
  • ldap.key.file.password.stashfile
  •  
  • Zugehörige Informationen
  • ldap.key.fileName
  •  
  • ldap.version
  • Anweisung "LdapConfigFile"

    Name der LDAP-Merkmaldatei, die einer Gruppe von LDAP-Parametern zugeordnet ist. Standardwert:
    c:\Programme\ibm http server\conf\ldap.prop.sample. Diese Anweisung wird in der Datei "httpd.conf" verwendet.

    LDAPRequire

    Diese Anweisung wird in der Datei "httpd.conf" angegeben, um die Gruppe festzulegen, wenn die LDAP-Authentifizierung verwendet wird. Mögliche Werte:
    LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" oder LDAPRequire group "Beispielgruppe"

    ldap.application.authType=None

    Server-Authentifizierungsart - Geben Sie die Methode zur Authentifizierung des Web-Servers beim LDAP-Server an. Folgende Werte sind möglich:

    None - Wenn der LDAP-Server keine Authentifizierung des Web-Servers fordert.

    Basic - Der registrierte Name (DN, Distinguished Name) des Web-Servers wird als Benutzer-ID und das in der versteckt gespeicherten Datei abgelegte Kennwort als Kennwort verwendet.

    ldap.application.DN

    Registrierter Name des Servers - Der registrierte Name (DN, Distinguished Name) des Web-Servers. Dieser Name wird beim Zugriff auf einen LDAP-Server mit der Basisauthentifizierungsart (Basic) als Benutzername verwendet. Verwenden Sie den auf dem LDAP-Server angegebenen Eintrag, um auf den Verzeichnis-Server zuzugreifen.

    Beispiel: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US

    ldap.application.password.stashFile=ldap.sth

    Der Name der versteckt gespeicherten Datei, die das verschlüsselte Kennwort enthält, mit dem sich die Anwendung beim LDAP-Server authentifizieren muss, wenn als Server-Authentifizierungsart "Basic" festgelegt ist. Diese versteckt gespeicherte Datei kann mit dem Befehl "ldapstash" erstellt werden.

    ldap.cache.timeout= <secs>

    Zeitlimit für Cache - Die Antworten des LDAP-Servers werden im Cache gespeichert. Mit diesem Parameter wird die maximale Gültigkeitsdauer (in Sekunden) einer vom LDAP-Server zurückgelieferten Antwort angegeben. Wenn der Web-Server so konfiguriert ist, dass er bei der Ausführung in mehrere Prozesse aufgeteilt wird, verwaltet jeder Prozess ein eigenes Exemplar des Cache.

    ldap.group.memberAttributes= <Attribut für Gruppenmitglieder>

    Attribute für Gruppenmitglieder - Wenn ein Gruppeneintrag in einem LDAP-Verzeichnis gefunden wird, werden die Gruppenmitglieder mit Hilfe dieser Attributnamen extrahiert. Bei den Werten dieser Attribute muss es sich um registrierte Namen der Gruppenmitglieder handeln. Für den Inhalt der Mitgliederdaten können mehrere Attribute verwendet werden. Die Standardattribute sind "member" und "uniqueMember".

    ldap.group.name.filter= <Filter für Gruppenname>

    Filter für Gruppenname - Der Filter, den LDAP für die Suche nach Gruppennamen verwendet. Die Standardeinstellung lautet: (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

    ldap.group.URL=ldap://<Host-Name>/<Basis-DN>

    Dieses Merkmal ist nur erforderlich, wenn sich die LDAP-URL-Adresse für Gruppen von der im Merkmal "ldap.URL" angegebenen URL-Adresse unterscheidet.

    Host-Name - Host-Name des LDAP-Servers.

    Port-Nummer - Nummer des Ports (wahlfrei), an dem der LDAP-Server empfangsbereit ist. Die Standardeinstellung für TCP-Verbindungen ist 389. Wenn Sie SSL verwenden, muss die Port-Nummer angegeben werden.

    Basis-DN - Gibt die Basis für die LDAP-Baumstruktur an, in der die Suche nach Gruppen durchgeführt wird.

    Anmerkung: Diese Anweisung darf nur verwendet werden, um eine andere Adresse für eine Gruppe auf demselben LDAP-Server anzugeben. Sie darf nicht verwendet werden, um einen anderen LDAP-Server als in ldap.URL anzugeben.

    ldap.idleConnection.timeout= <secs>

    Zeitlimit für inaktive Verbindungen - Aus Leistungsgründen werden Verbindungen mit dem LDAP-Server im Cache gespeichert. Mit diesem Parameter wird die Dauer (in Sekunden) angegeben, nach der eine inaktive Verbindung mit dem LDAP-Server aufgrund von Inaktivität aufgehoben wird.

    ldap.key.file.password.stashfile=d:\<Name der Schlüsselkennwortdatei>

    Name der Schlüsselkennwortdatei - Die versteckt gespeicherte Datei, die das verschlüsselte Kennwort der Schlüsseldatei enthält. Diese versteckt gespeicherte Datei kann mit dem Befehl "ldapstash" erstellt werden.

    ldap.key.Dateiname=d:\<Name der Schlüsseldatei>

    Name der Schlüsseldatei - Dateiname der Schlüsseldatenbank. Sie müssen diese Angabe vornehmen, wenn Sie SSL verwenden.

    ldap.key.label

    Schlüsselkennsatz - Name des Zertifikatkennsatzes, den der Web-Server für die Authentifizierung beim LDAP-Server verwendet. Dieser Kennsatz ist nur erforderlich, wenn SSL verwendet wird und der LDAP-Server so konfiguriert ist, dass eine Client-Authentifizierung vom Web-Server angefordert wird.
    Beispiel: Mein Server-Zertifikat

    ldap.realm=<Zugriffsschutzbereich>

    Zugriffsschutzbereich - Name des geschützten Bereichs, wie er vom anfordernden Client gesehen wird.
    Beispiel: Administratorzugriff

    ldap.search.timeout= <secs>

    Zeitlimit für Suche - Die maximale Wartezeit (in Sekunden) für die Durchführung einer Suchoperation durch den LDAP-Server.

    ldap.transport=TCP

    Die für die Kommunikation mit dem LDAP-Server verwendete Transportmethode.
    (Mögliche Werte: TCP und SSL)

    ldap.url=ldap://<Host-Name:Port>/<Basis-DN>

    Host-Name - Host-Name des LDAP-Servers.

    Port-Nummer - Nummer des Ports (wahlfrei), an dem der LDAP-Server empfangsbereit ist. Die Standardeinstellung für TCP-Verbindungen ist 389. Wenn Sie SSL verwenden, muss die Port-Nummer angegeben werden.

    Basis-DN - Gibt die Basis für die LDAP-Baumstruktur an, in der die Suche nach Benutzern durchgeführt wird.

    Beispiel: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US

    Ldap.user.authType=BasicIfNoCert

    Die für die Authentifizierung des Benutzers, der einen Web-Server anfordert, zu verwendende Methode. Dieser Name wird beim Zugriff auf einen LDAP-Server als Benutzername verwendet. Mögliche Werte: Basic, Cert, BasicIfNoCert.

    ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))

    Filter, mit dem die Informationen im Client-Zertifikat umgewandelt werden, das über SSL an einen Suchfilter für einen LDAP-Eintrag übergeben werden. Die Standardeinstellung lautet: "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))". SSL-Zertifikate enthalten die folgenden Felder, von denen alle in einen Suchfilter umgewandelt werden können:
    Zertifikatfeld Variable
    Allgemeiner Name %v1
    Organisationseinheit %v2
    Organisation %v3
    Land %v4
    Position %v5
    Bundesland %v6
    Fortlaufende Nummer %v7
    Anmerkung: Bei der Generierung des Suchfilters werden die Werte in den Felder in die entsprechenden Variablenfelder (%v1, %v2) übernommen. In der folgenden Tabelle wird die Umwandlung verdeutlicht:

    Konvertierung von Filtern für Benutzerzertifikate

    Zertifikat:
    cn=Road Runner
    o=Acme Inc
    c=US
    

    Filter
    (cn=%v1, o=%v3, c=%v4)
    

    Resultierende Abfrage
    (cn=RoadRunner, o=Acme, Inc, c=US)
    

    ldap.user.name.fieldSep=/

    Die Zeichen, die bei der Syntaxanalyse des Benutzernamens in Feldern als gültige Feldtrennzeichen erkannt werden. Beispiel: Wenn der Schrägstrich ('/') das einzige Feldtrennzeichen ist und der Benutzer "Joe Smith/Acme" eingibt, entspricht '%v1' sowohl "Joe Smith" und '%v2' der Angabe "Acme." Die Standardtrennzeichen sind Leerzeichen, Kommata und das Tabulatorzeichen (/t).

    ldap.user.name.filter=<Filter für Benutzername>

    Filter für Benutzername - Der Filter, der verwendet wird, um den Benutzernamen als Eingabe durch den Benutzer in einen Suchfilter für einen LDAP-Eintrag umzuwandeln. Die Standardeinstellung lautet "((objectclass=person) (cn=%v1 %v2))", wobei %v1 und %v2 für die vom Benutzer eingegebenen Wörter stehen.

    Wenn der Benutzer beispielsweise "Paul Kelsey" eingibt, ergibt sich daraus der Suchfilter "((objectclass=person)(cn=Paul Kelsey))". Die Syntax der Suchfilter wird unter "LDAP-Suchfilter" beschrieben.

    Da der Web-Server jedoch nicht zwischen mehreren zurückgegebenen Einträgen unterscheiden kann, schlägt die Authentifizierung fehlt, wenn der LDAP-Server mehrere Einträge zurückliefert. Wenn der Benutzer beispielsweise den Filter "ldap.Benutzer.name.filter= "((objectclass=person)(cn=%v1* %v2*))" erstellt und "Pa Kel" eingibt, ergibt sich daraus der Suchfilter "(cn=Pa* Kel*)". Mit diesem Suchfilter werden dann mehrere Einträge, wie z. B. (cn=Paul Kelsey) UND (cn=Paula Kelly) gefunden, woraufhin die Authentifizierung scheitert. Sie müssen Ihren Suchfilter ändern.

    Ldap.version=3

    Die Version des LDAP-Protokolls, das zur Verbindung mit dem LDAP-Server verwendet wird. Die LDAP-Version wird von der Protokoll-Version festgelegt, die der LDAP-Server verwendet. Dies ist eine wahlfreie Anweisung. Die Standardeinstellung ist Version 3. (Mögliche Werte sind: 2 oder 3)

    ldap.waitToRetryConnection.interval= <secs>

    Intervall für Verbindungswiederholung - Wenn ein LDAP-Server abgestürzt ist, muss ständig versucht werden, die Verbindung wiederherzustellen. Wenn eine Verbindung wegen eines abgestürzten Servers wiederhergestellt werden muss, gibt dieser Parameter die Zeit (in Sekunden) an, die der Web-Server zwischen gescheiterten Verbindungsversuchen wartet.

    Zugehörige Informationen

    Erste Schritte mit LDAP
    LDAP