IBM HTTP Server 說明:LDAP 指引

LDAP 入門 - 不適用於 HP 或 Linux

  • LdapConfigFile
  •  
  • ldap.key.label
  • LDAPRequire
  •  
  • ldap.realm
  • ldap.application.authType
  •  
  • ldap.search.timeout
  • ldap.application.DN
  •  
  • ldap.transport
  • ldap.application.password.stashFile
  •  
  • ldap.url
  • ldap.cache.timeout
  •  
  • Ldap.user.authType
  • ldap.group.memberAttributes
  •  
  • ldap.user.cert.filter
  • ldap.group.name.filter
  •  
  • ldap.user.name.fieldSep
  • ldap.group.URL
  •  
  • ldap.user.name.filter
  • ldap.idleConnection.timeout
  •  
  • ldap.waitToRetryConnection.interval
  • ldap.key.file.password.stashfile
  •  
  • 相關資訊
  • ldap.key.fileName
  •  
  • ldap.version
  • LdapConfigFile 指引

    與 LDAP 參數群組相關之 LDAP 內容檔案的名稱。預設值:
    c:\program files\ibm http server\conf\ldap.prop.sample。已使用於 httpd.conf 檔案中。

    LDAPRequire

    用於 httpd.conf 檔案中,在使用 LDAP 鑑別時,可用來指定群組。可能的值有:
    LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" 或 LDAPRequire group "sample group"。

    ldap.application.authType=None

    伺服器鑑別類型 - 指定用來向 LDAP 伺服器鑑別 Web 伺服器的方法。可能的值有:

    None- 如果 LDAP 伺服器不需要用 Web 伺服器來鑑別。

    Basic- 用 web 伺服器的分辨名稱來作為使用者 ID,用儲存在隱藏檔中的密碼來作為密碼。

    ldap.application.DN

    伺服器的分辨名稱 - Web 伺服器的分辨名稱。用「基本」鑑別來存取 LDAP 伺服器時,會將這個名稱當作使用者名稱來使用。 在 LDAP 伺服器使用項目指定存取目錄伺服器。

    範例: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US

    ldap.application.password.stashFile=ldap.sth

    在「伺服器鑑別」類型為「基本」的情況下, 包含應用程式用來對 LDAP 伺服器鑑別之加密密碼的隱藏檔案的名稱。 此檔可用 'ldapstash' 指令來建立。

    ldap.cache.timeout= <secs>

    快取逾時 - 快取 LDAP 伺服器的回應。 這是從 LDAP 伺服器傳回之回應保持有效狀態的時間上限 (以秒計)。 如果 Web 伺服器的配置是要當作多重處理來執行,則各個處理將會管理其本身的快取版本。

    ldap.group.memberAttributes= <Group Member Attributes>

    群組成員屬性 - 一旦在 LDAP 目錄中找到群組項目,便會用這些屬性名稱來擷取群組成員。 這些屬性的值必須是該群組成員的分辨名稱。 可能會用一個以上的屬性來包含成員資訊。 預設屬性為 member 及 uniqueMember。

    ldap.group.name.filter= <group name filter>

    群組名稱過濾 - LDAP 用來搜尋群組名稱的過濾。預設值為 (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

    ldap.group.URL=ldap://<hostName>/<BaseDN>

    只有當群組的 LDAP URL 不同於 ldap.URL 內容所指定的 URL 時,才需要這個內容。

    主電腦名稱 - LDAP 伺服器的主電腦名稱。

    埠號 - LDAP 伺服器所傾聽的選用性埠號。 TCP 連線的預設值為 389。 如果您正使用 SSL,埠號必須被指定。

    BaseDN - 提供 LDAP 樹狀結構的根目錄,群組可在其中執行搜尋作業。

    附註:這個指引您只可以使用在同一個 LDAP 伺服器上,為群組指定不同的位置。在 ldap.URL 中的指定不是使用在不同的 LDAP 伺服器。

    ldap.idleConnection.timeout= <secs>

    閒置連線逾時 - 基於效能原因,快取與 LDAP 伺服器的連線。 這是在閒置之 LDAP 伺服器連線失效前的時間上限 (以秒計)。

    ldap.key.file.password.stashfile=d:\<Key password file name>

    金鑰密碼檔案名稱 - 包含加密金鑰檔密碼的隱藏檔; 請使用 'ldapstash' 指令來建立這個隱藏檔。

    ldap.key.fileName=d:\<Key file name>

    金鑰檔案名稱 - 金鑰檔案資料庫的檔案名稱。如果您使用 SSL,即需要此名稱。

    ldap.key.label

    金鑰標籤 - Web 伺服器用來向 LDAP 伺服器鑑別之憑證標籤的名稱。只有在進行 SSL,以及設定 LDAP 伺服器來向 Web 伺服器要求從屬站鑑別,才會需要此標籤。
    例如:我的伺服器憑證

    ldap.realm=<Protection Realm>

    保護領域 - 提出要求之從屬站所看到之受保護區域的名稱。
    例如:管理者存取

    ldap.search.timeout= <secs>

    搜尋逾時 - 等待 LDAP 伺服器完成搜尋作業的時間上限 (以秒計)。

    ldap.transport=TCP

    用來與 LDAP 伺服器通信的傳輸方法。
    (可能的值:TCP 或 SSL)

    ldap.url=ldap://<hostName:Port>/<BaseDN>

    主電腦名稱 - LDAP 伺服器的主電腦名稱。

    埠號 - LDAP 伺服器所傾聽的選用性埠號。 TCP 連線的預設值為 389。 如果您正使用 SSL,埠號必須被指定。

    BaseDN - 提供 LDAP 樹狀結構的根目錄,使用者可在其中執行搜尋作業。

    例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US

    Ldap.user.authType=BasicIfNoCert

    用來鑑別要求 Web 伺服器之使用者的方法。在存取 LDAP 伺服器時,這個名稱會被當作使用者名稱來使用。可能的值有:Basic、Cert、BasicIfNoCert

    ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))

    用來將以 SSL 傳遞之從屬站憑證中的資訊,轉換成 LDAP 項目之搜尋過濾的過濾程式。預設值為 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"。SSL 憑證包含下列欄位,所有欄位都可以被轉換成搜尋過濾:
    憑證欄位 變數
    一般名稱 %v1
    組織單位 %v2
    組織 %v3
    國家 %v4
    地區 %v5
    州或省分 (省或市) %v6
    序號 %v7
    附註: 當搜尋過濾產生後,欄位中的值就會被放置在相符變數欄位 (%v1, %v2) 中。 下列表格將顯示轉換方式:

    使用者憑證過濾轉換

    憑證:
    cn=Road Runner
    o=Acme Inc
    c=US
    

    過濾
    (cn=%v1, o=%v3, c=%v4)
    

    結果查詢
    (cn=RoadRunner, o=Acme, Inc, c=US)
    

    ldap.user.name.fieldSep=/

    在將使用者名稱解析成欄位時,被當作有效欄位分隔字元的字元。 例如,若 '/' 是唯一的欄位分隔字元,而使用者輸入 "Joe Smith/Acme", 則 '%v1' 等於 "Joe Smith",而 '%v2' 等於 "Acme"。 預設字元為空格、逗點及 Tab 鍵 (/t) 字元。

    ldap.user.name.filter=<User Name Filter>

    使用者名稱過濾程式 - 用來將使用者名稱 (由使用者所輸入) 轉換成 LDAP 項目之搜尋的過濾程式。 預設值為 "((objectclass=person) (cn=%v1* %v2*))",其中 %v1 及 %v2 是使用者輸入的字。

    例如,若使用者輸入 "Paul Kelsey",搜尋過濾的結果就是 "((objectclass=person)(cn=Paul Kelsey))"。 搜尋過濾語法說明在 "LDAP 搜尋過濾"

    但是,由於 Web 伺服器無法區分多重傳回項目, 所以當 LDAP 伺服器傳回一個以上的項目時,鑑別就會失敗。 例如,若使用 者製作 ldap.user.name.filter="((objectclass=person)(cn=%v1* %v2*))" 且輸入 "Pa Kel",搜尋過濾的結果就是 "(cn=Pa* Kel*)"。 然後它將尋找到多重項 目如 (cn=Paul Kelsey)(cn=Paula Kelly),同時鑑別失敗。 您必須修改您的搜尋過濾。

    Ldap.version=3

    這個版本的 LDAP 通信協定,您可以使用來連接 LDAP 伺服器。 LDAP 的版本是由 LDAP 伺服器所使用的通信協定版本所決定。這個是一個可選用的指引。 預設的版本 LDAP 版本 3。 (可能的值有: 2 或 3。)

    ldap.waitToRetryConnection.interval= <secs>

    連線重試間隔 - 如果 LDAP 伺服器當機,我們必須持續地強制嘗試連線。 若因為伺服器當機而必須重新連線時, 這就是 Web 伺服器在每次嘗試連線失敗時所等待的時間 (以秒計)。

    相關資訊

    LDAP 入門
    LDAP