Nom du fichier de propriétés LDAP associé à un groupe de paramètres
LDAP. Valeur par défaut :
c:\program files\ibm http server\conf\ldap.prop.sample. Utilisée
dans le fichier httpd.conf.
Utilisée dans le fichier httpd.conf pour spécifier le groupe lorsque
l'authentification de LDAP est en cours. Valeurs admises :
LDAPRequire filter
"(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" ou
LDAPRequire group "groupe exemple".
Server Authentication Type - indique la méthode d'authentification du
serveur Web pour le serveur LDAP. Les options sont les suivantes :
None- si le serveur LDAP ne requiert pas d'authentification du
serveur Web.
Basic- le nom distinctif du serveur Web est utilisé comme
ID utilisateur et le mot de passe est celui qui est stocké dans
le fichier de dissimulation (stash).
Server's Distinguished Name - nom distinctif du serveur Web. Il
est utilisé comme nom d'utilisateur en cas d'accès à un serveur
LDAP utilisant le type d'authentification Basic.
Utilisez l'entrée spécifiée dans le serveur LDAP pour
accéder au serveur d'annuaire.
Par exemple : ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Nom du fichier de dissimulation contenant le mot de passe chiffré qui permet à
l'application de s'authentifier auprès du serveur LDAP lorsque le
type d'authentication est Basic. Ce fichier
peut être créé via la commande 'ldapstash'.
Cache Time-out - Les réponses du serveur LDAP sont mises en cache. Il
s'agit de l'intervalle maximal (en secondes) pendant lequel une
réponse émise par le serveur LDAP reste valide.
Si le serveur Web est configuré pour exécuter plusieurs processus, chacun d'entre eux gérera sa propre
copie de la cache.
Group Member Attributes - Une fois qu'un groupe est localisé dans un annuaire LDAP, ses membres sont
extraits à l'aide de leurs noms d'attributs. Les valeurs de ces attributs doivent correspondre aux noms
distinctifs des membres du groupe. Il est possible d'utiliser plus d'un attribut pour
ajouter des informations sur les membres. Les attributs par défaut sont member et uniqueMember.
Group Name Filter - filtre LDAP permettant de rechercher des
noms de groupes. La valeur par défaut est (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Cette propriété est uniquement requise si l'URL LDAP pour les groupes
est différente de l'URL indiquée par la propriété ldap.URL.
Host Name - nom d'hôte du serveur LDAP.
Port Number - numéro de port de contrôle disponible pour le
serveur LDAP. La valeur par défaut pour les connexions TCP est 389. Si vous
utilisez SSL, le numéro de port doit être indiqué.
BaseDN - indique la racine de l'arborescence LDAP dans
laquelle une recherche de groupes peut être effectuée.
Remarque : Cette directive doit être utilisée uniquement pour indiquer un emplacement différent pour un groupe figurant sur le même serveur
LDAP. Elle ne doit pas servir à indiquer un serveur LDAP différent de celui indiqué dans ldap.URL.
Idle Connection Time-out - Les connexions au serveur LDAP sont
mises en cache pour des raisons de performance.
Il s'agit de l'intervalle maximal accordé (en secondes) avant
l'interruption de la connexion au serveur LDAP
après une période d'inactivité.
Key password file name - fichier de dissimulation contenant le mot de
passe chiffré de la base de données de clés ; utilisez la commande 'ldapstash'
pour le créer.
Key Label - nom du label de certificat que le serveur Web utilise pour authentifier le serveur LDAP. Ce
label n'est requis qu'en cas de sécurisation SSL et lorsque le serveur LDAP est paramétré pour demander
au serveur Web de procéder à l'authentification du client.
Par exemple : Le certificat de mon serveur
Port Number - numéro de port de contrôle disponible pour le
serveur LDAP. La valeur par défaut pour les connexions TCP est 389. Si vous
utilisez SSL, le numéro de port doit être indiqué.
BaseDN - indique la racine de l'arborescence LDAP dans laquelle
une recherche d'utilisateurs peut être effectuée.
Par exemple : ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry,
c=US
Méthode permettant d'authentifier l'utilisateur demandant un serveur
Web. Ce nom est utilisé comme nom utilisateur lors de l'accès à un serveur
LDAP. Valeurs admises : Basic, Cert, BasicIfNoCert
Filtre utilisé pour convertir les informations contenues dans le certificat
du client et transmises via SSL en filtre de recherche
pour une entrée LDAP. La valeur par défaut est "(&(objectclass=person)
(cn=%v1, ou=%v2, o=%v3,c=%v4))". Les certificats SSL comprennent
les zones ci-dessous, qui peuvent toutes être converties en
filtres de recherche :
Zone du certificat
Variable
nom usuel
%v1
service d'une entreprise
%v2
entreprise
%v3
pays
%v4
localité
%v5
département
%v6
numéro de série
%v7
Remarque :
Lorsque
le filtre de recherche est généré, les valeurs des zones sont
placées
dans les zones de variables correspondantes (%v1, %v2). La table
suivante affiche la conversion :
Eléments considérés comme caractères de séparation valides
lorsque
le nom de l'utilisateur est analysé à l'intérieur de zones données. Par
exemple, si '/' est le seul caractère de séparation et que
l'utilisateur saisit "Paul Dupont/Acme," alors '%v1' correspond à
"Paul Dupont" et '%v2' à "Acme." Les caractères de séparation par défaut
sont l'espace, la virgule et le caractère de tabulation (/t).
User Name Filter - filtre permettant de convertir le nom de l'utilisateur
en entrée de filtre de recherche pour une entrée LDAP. La valeur par défaut est "((objectclass=person)
(cn=%v1 %v2))"
où %v1 et %v2 sont des mots saisis par l'utilisateur.
Par exemple, si l'utilisateur saisit "Paul Dupont", le
filtre de recherche sera "((objectclass=person)(cn=Paul
Dupont))". La syntaxe des filtres de recherche est décrite dans "Filtres de recherche LDAP".
Cependant, étant donné que le serveur Web ne différencie pas
les entrées multiples, l'authentification échoue lorsque le serveur
LDAP prend en compte plus d'une entrée. Par exemple, si
l'utilisateur saisit ldap.user.name.filter=
"((objectclass=person)(cn=%v1* %v2*))" et "Pa Du", le filtre de
recherche correspondant sera "(cn=Pa* Du*)". Il trouvera plusieurs
entrées telles que (cn=Paul Dupont) ET (cn=Pauline Durand) et
l'authentification n'aboutira pas. Vous devez modifier votre
filtre de recherche.
La version du protocole LDAP utilisée pour a connexion au serveur LDAP. La version de
LDAP est déterminée par la version du protocole utilisée par le serveur LDAP. Il s'agit d'une directive
optionnelle. LDAP Version 3 correspond à la valeur par défaut. (Valeurs admises : 2 ou 3.)
Connection retry interval - Si le serveur LDAP est hors service,
tentez régulièrement de vous connecter. Lorsqu'une connexion doit
être rétablie parce qu'un serveur est hors service, il s'agit du
temps d'attente (en secondes) enregistré par le serveur Web
entre les différentes tentatives de connexion.