IBM HTTP Server 帮助:LDAP 伪指令
LDAP 伪指令-在 HP 或 Linux 上无效
与一组 LDAP 参数相关联的LDAP 属性文件名。缺省值:
c:\program files\ibm http server\conf\ldap.prop.sample。在文件 httpd.conf 中使用。
在 httpd.conf 文件中使用,以在使用 LDAP 认证时指定组。可能值:
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" or LDAPRequire group "sample group".
服务器认证类型-将 Web 服务器认证到 LDAP 服务器的方法。可能性为:
无-如果 LDAP 服务器无须 Web 服务器来认证。
基本-将 Web 服务器的专有名称作为用户标识,而将存储文件中的口令作为口令。
服务器专有名称-Web 服务器的专有名称。当使用“基本”认证来访问 LDAP 服务器时,此名称将作为用户名。
使用在 LDAP 服务器中指定的条目,以访问目录服务器。
例如:ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
存储文件名,在服务器认证类型为"基本"时它包含了要认证到 LDAP 服务器的应用程序加密口令。使用 "ldapstash" 命令创建此存储文件。
高速缓存超时-对来自 LDAP 服务器的响应进行高速缓存。这是 LDAP 服务器所返回的响应保持有效的最大时间长度(以秒为单位)。
如果将 Web 服务器配置为多进程运行,则每个进程将管理其自己的高速缓存副本。
组成员属性-一旦在 LDAP 目录中找到了组条目,就可以使用这些属性名来抽取组成员。这些属性的值必须是组成员的专有名称。不止一个属性可以用于包含成员信息。缺省属性为 member 和 uniqueMember。
组名过滤器-过滤器 LDAP 用于搜索组名。缺省为 (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
仅当组的 LDAP URL 与 ldap.URL 特性所指定的 URL 不同时,才需要此特性。
主机名-LDAP 服务器的主机名。
端口号-用于 LDAP 服务器侦听的可选端口号。TCP 连接的缺省为 389。如果您使用 SSL,必须指定端口号。
BaseDN-提供执行搜索组的 LDAP 树的根目录。
注:此伪指令仅可用于为同一 LDAP 服务器上的组指定不同的位置。它不能用于指定与ldap.URL 所指定的不相同的 LDAP 服务器。
空闲连接超时-为提高性能,对到 LDAP 服务器的连接进行高速缓存。
这是指在关闭空闲 LDAP 服务器连接之前,此服务器处于不活动状态的时间长度(以秒为单位)。
密钥口令文件名-包含加密的密钥文件口令的存储文件;使用 'ldapstash' 命令创建此存储文件。
密钥文件名-密钥文件数据库的文件名。如果您正在使用 SSL,需要此文件名。
密钥标签-Web 服务器用于认证到 LDAP 服务器的证书标签名。只有当使用 SSL,并设置 LDAP 服务器以
从 Web 服务器请求客户机认证,该标签才是必需的。
例如:我的服务器证书
保护领域-如请求客户机所见的受保护区域名。
例如:管理员访问
搜索超时-等待 LDAP 服务器完成搜索操作的最大时间(以秒为单位)。
用于和 LDAP 服务器进行通信的传送方法。
(可能值为:TCP 或 SSL)
ldap.url=ldap://<hostName:Port>/<BaseDN>
主机名-LDAP 服务器的主机名。
端口号-用于 LDAP 服务器侦听的可选端口号。TCP 连接的缺省为 389。如果您使用 SSL,必须指定端口号。
BaseDN-提供为用户执行搜索的 LDAP 树的根目录。
例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US
用于对请求 Web 服务器的用户进行认证的方法。当访问 LDAP 服务器时,此名称作为用户名。可能值:Basic、Cert、BasicIfNoCert
用于将 SSL 上所发送客户机证书中的信息转换为 LDAP 条目的搜索过滤器的过滤器。缺省为 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"。SSL 证书包括了下列字段,它们都可以转换为搜索过滤器:
证书字段 |
变量 |
公共名称 |
%v1 |
组织部门 |
%v2 |
组织 |
%v3 |
国家 |
%v4 |
地区 |
%v5 |
州或国家 |
%v6 |
序列号 |
%v7 |
注:
|
当生成搜索过滤器时,字段中的值将放入相匹配的变量字段 (%v1, %v2)。下表显示了转换过程:
用户证书过滤器转换
证书: |
cn=Road Runner
o=Acme Inc
c=US
|
过滤器 |
(cn=%v1, o=%v3, c=%v4)
|
结果查询 |
(cn=RoadRunner, o=Acme, Inc, c=US)
|
|
当把用户名分析到字段中时,被认为是有效字段分隔字符的字符。例如:如果 "/" 是仅有的字段分隔字符,而且用
户输入了 "Joe Smith/Acme",则 "%v1" 等于 "Joe Smith",而 "%v2" 等于 "Acme"。缺省字符为空格、逗号和制表符 (/t)。
用户名过滤器-用于将用户所输入的用户名转换为 LDAP 条目的搜索过滤器的过滤器。缺省为:"((objectclass=person) (cn=%v1 %v2))",其中 %v1 和 %v2 由用户输入。
例如,如果用户输入 "Paul Kelsey",结果搜索过滤器为:"((objectclass=person)(cn=Paul Kelsey))"。在“LDAP 搜索过滤器”中描述了搜索过滤器的语法。
然而,由于 Web 服务器无法区分多个返回的条目,所以当 LDAP 服务器返回多个条目时,认证将失败。例如,如果用户设置 ldap.user.name.filter=
"((objectclass=person)(cn=%v1* %v2*))",并输入 "Pa Kel",则结果搜索过滤器将为:"(cn=Pa* Kel*)"。这样将找到多个条目,如 (cn=Paul Kelsey) 和 (cn=Paula Kelly),而且认证将失败。您必须修改您的搜索过滤器。
用于连接到 LDAP 服务器的 LDAP 协议版本。LDAP 版本由 LDAP 服务器所用的协议版本来确定。这是可选的伪指令。缺省为 LDAP 版本 3。(可能值为:2 或 3。)
连接重试间隔-如果 LDAP 服务器已关闭,则我们必须连续地尝试以再次接通。当由于服务器停机而必须重
建连接时,这就是 Web 服务器在连接的失败尝试间等待的时间(以秒为单位)。
LDAP 入门
LDAP