IBM HTTP Server 說明:LDAP 指引
LDAP 入門 - 不適用於 HP 或 Linux
與 LDAP 參數群組相關之 LDAP 內容檔案的名稱。預設值:
c:\program files\ibm http server\conf\ldap.prop.sample。已使用於 httpd.conf 檔案中。
用於 httpd.conf 檔案中,在使用 LDAP 鑑別時,可用來指定群組。可能的值有:
LDAPRequire filter
"(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" 或
LDAPRequire group "sample group"。
伺服器鑑別類型 - 指定用來向 LDAP 伺服器鑑別 Web 伺服器的方法。可能的值有:
None- 如果 LDAP 伺服器不需要用 Web 伺服器來鑑別。
Basic- 用 web 伺服器的分辨名稱來作為使用者 ID,用儲存在隱藏檔中的密碼來作為密碼。
伺服器的分辨名稱 - Web 伺服器的分辨名稱。用「基本」鑑別來存取 LDAP 伺服器時,會將這個名稱當作使用者名稱來使用。
在 LDAP 伺服器使用項目指定存取目錄伺服器。
範例: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
在「伺服器鑑別」類型為「基本」的情況下,
包含應用程式用來對 LDAP 伺服器鑑別之加密密碼的隱藏檔案的名稱。 此檔可用 'ldapstash' 指令來建立。
快取逾時 - 快取 LDAP 伺服器的回應。 這是從 LDAP 伺服器傳回之回應保持有效狀態的時間上限 (以秒計)。
如果 Web 伺服器的配置是要當作多重處理來執行,則各個處理將會管理其本身的快取版本。
群組成員屬性 - 一旦在 LDAP 目錄中找到群組項目,便會用這些屬性名稱來擷取群組成員。 這些屬性的值必須是該群組成員的分辨名稱。 可能會用一個以上的屬性來包含成員資訊。 預設屬性為 member 及 uniqueMember。
群組名稱過濾 - LDAP 用來搜尋群組名稱的過濾。預設值為 (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
只有當群組的 LDAP URL 不同於 ldap.URL 內容所指定的 URL 時,才需要這個內容。
主電腦名稱 - LDAP 伺服器的主電腦名稱。
埠號 - LDAP 伺服器所傾聽的選用性埠號。 TCP 連線的預設值為 389。 如果您正使用 SSL,埠號必須被指定。
BaseDN - 提供 LDAP 樹狀結構的根目錄,群組可在其中執行搜尋作業。
附註:這個指引您只可以使用在同一個 LDAP 伺服器上,為群組指定不同的位置。在 ldap.URL 中的指定不是使用在不同的 LDAP 伺服器。
閒置連線逾時 - 基於效能原因,快取與 LDAP 伺服器的連線。
這是在閒置之 LDAP 伺服器連線失效前的時間上限 (以秒計)。
金鑰密碼檔案名稱 - 包含加密金鑰檔密碼的隱藏檔;
請使用 'ldapstash' 指令來建立這個隱藏檔。
金鑰檔案名稱 - 金鑰檔案資料庫的檔案名稱。如果您使用 SSL,即需要此名稱。
金鑰標籤 - Web 伺服器用來向 LDAP 伺服器鑑別之憑證標籤的名稱。只有在進行 SSL,以及設定 LDAP 伺服器來向 Web 伺服器要求從屬站鑑別,才會需要此標籤。
例如:我的伺服器憑證
保護領域 - 提出要求之從屬站所看到之受保護區域的名稱。
例如:管理者存取
搜尋逾時 - 等待 LDAP 伺服器完成搜尋作業的時間上限 (以秒計)。
用來與 LDAP 伺服器通信的傳輸方法。
(可能的值:TCP 或 SSL)
ldap.url=ldap://<hostName:Port>/<BaseDN>
主電腦名稱 - LDAP 伺服器的主電腦名稱。
埠號 - LDAP 伺服器所傾聽的選用性埠號。 TCP 連線的預設值為 389。 如果您正使用 SSL,埠號必須被指定。
BaseDN - 提供 LDAP 樹狀結構的根目錄,使用者可在其中執行搜尋作業。
例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US
用來鑑別要求 Web 伺服器之使用者的方法。在存取 LDAP 伺服器時,這個名稱會被當作使用者名稱來使用。可能的值有:Basic、Cert、BasicIfNoCert
用來將以 SSL 傳遞之從屬站憑證中的資訊,轉換成 LDAP 項目之搜尋過濾的過濾程式。預設值為 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"。SSL 憑證包含下列欄位,所有欄位都可以被轉換成搜尋過濾:
憑證欄位 |
變數 |
一般名稱 |
%v1 |
組織單位 |
%v2 |
組織 |
%v3 |
國家 |
%v4 |
地區 |
%v5 |
州或省分 (省或市) |
%v6 |
序號 |
%v7 |
附註:
|
當搜尋過濾產生後,欄位中的值就會被放置在相符變數欄位 (%v1, %v2) 中。 下列表格將顯示轉換方式:
使用者憑證過濾轉換
憑證: |
cn=Road Runner
o=Acme Inc
c=US
|
過濾 |
(cn=%v1, o=%v3, c=%v4)
|
結果查詢 |
(cn=RoadRunner, o=Acme, Inc, c=US)
|
|
在將使用者名稱解析成欄位時,被當作有效欄位分隔字元的字元。 例如,若 '/' 是唯一的欄位分隔字元,而使用者輸入 "Joe Smith/Acme",
則 '%v1' 等於 "Joe Smith",而 '%v2' 等於 "Acme"。 預設字元為空格、逗點及 Tab 鍵 (/t) 字元。
使用者名稱過濾程式 - 用來將使用者名稱 (由使用者所輸入) 轉換成 LDAP 項目之搜尋的過濾程式。 預設值為 "((objectclass=person) (cn=%v1* %v2*))",其中 %v1 及 %v2 是使用者輸入的字。
例如,若使用者輸入 "Paul Kelsey",搜尋過濾的結果就是
"((objectclass=person)(cn=Paul Kelsey))"。 搜尋過濾語法說明在 "LDAP 搜尋過濾" 中
但是,由於 Web 伺服器無法區分多重傳回項目,
所以當 LDAP 伺服器傳回一個以上的項目時,鑑別就會失敗。 例如,若使用
者製作 ldap.user.name.filter="((objectclass=person)(cn=%v1* %v2*))"
且輸入 "Pa Kel",搜尋過濾的結果就是 "(cn=Pa* Kel*)"。 然後它將尋找到多重項
目如 (cn=Paul Kelsey) 及 (cn=Paula Kelly),同時鑑別失敗。 您必須修改您的搜尋過濾。
這個版本的 LDAP 通信協定,您可以使用來連接 LDAP 伺服器。
LDAP 的版本是由 LDAP 伺服器所使用的通信協定版本所決定。這個是一個可選用的指引。
預設的版本 LDAP 版本 3。 (可能的值有: 2 或 3。)
連線重試間隔 - 如果 LDAP 伺服器當機,我們必須持續地強制嘗試連線。 若因為伺服器當機而必須重新連線時,
這就是 Web 伺服器在每次嘗試連線失敗時所等待的時間 (以秒計)。
LDAP 入門
LDAP