Name der LDAP-Merkmaldatei, die einer Gruppe von LDAP-Parametern zugeordnet ist. Standardwert:
c:\Programme\ibm http server\conf\ldap.prop.sample. Diese Anweisung
wird in der Datei "httpd.conf" verwendet.
Diese Anweisung wird in der Datei "httpd.conf" angegeben, um die Gruppe festzulegen, wenn die LDAP-Authentifizierung
verwendet wird. Mögliche Werte:
LDAPRequire filter
"(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" oder
LDAPRequire group "Beispielgruppe"
Server-Authentifizierungsart - Geben Sie die Methode zur Authentifizierung des Web-Servers beim LDAP-Server an. Folgende Werte sind möglich:
None - Wenn der LDAP-Server keine Authentifizierung des Web-Servers fordert.
Basic - Der registrierte Name (DN, Distinguished Name) des Web-Servers wird als Benutzer-ID und das
in der versteckt gespeicherten Datei abgelegte Kennwort als Kennwort verwendet.
Registrierter Name des Servers - Der registrierte Name (DN, Distinguished Name) des Web-Servers. Dieser
Name wird beim Zugriff auf einen LDAP-Server mit der Basisauthentifizierungsart (Basic) als Benutzername
verwendet.
Verwenden Sie den auf dem LDAP-Server angegebenen Eintrag, um auf den Verzeichnis-Server
zuzugreifen.
Der Name der versteckt gespeicherten Datei, die das verschlüsselte Kennwort enthält, mit dem sich die
Anwendung beim LDAP-Server authentifizieren muss, wenn als
Server-Authentifizierungsart "Basic" festgelegt ist. Diese versteckt gespeicherte Datei kann mit dem Befehl "ldapstash" erstellt werden.
Zeitlimit für Cache - Die Antworten des LDAP-Servers werden im Cache gespeichert. Mit diesem Parameter
wird die maximale Gültigkeitsdauer (in Sekunden) einer vom LDAP-Server zurückgelieferten Antwort angegeben.
Wenn der Web-Server so konfiguriert ist, dass er bei der Ausführung in mehrere Prozesse aufgeteilt wird,
verwaltet jeder Prozess ein eigenes Exemplar des Cache.
Attribute für Gruppenmitglieder - Wenn ein Gruppeneintrag in einem LDAP-Verzeichnis gefunden wird, werden die
Gruppenmitglieder mit Hilfe dieser Attributnamen extrahiert. Bei den Werten dieser Attribute muss es sich um registrierte Namen der Gruppenmitglieder handeln. Für
den Inhalt der Mitgliederdaten können mehrere Attribute verwendet werden. Die Standardattribute sind "member" und "uniqueMember".
Filter für Gruppenname - Der Filter, den LDAP für die Suche nach Gruppennamen verwendet. Die
Standardeinstellung lautet: (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Dieses Merkmal ist nur erforderlich, wenn sich die LDAP-URL-Adresse für Gruppen von der im Merkmal
"ldap.URL" angegebenen URL-Adresse unterscheidet.
Host-Name - Host-Name des LDAP-Servers.
Port-Nummer - Nummer des Ports (wahlfrei), an dem der LDAP-Server empfangsbereit ist. Die
Standardeinstellung für TCP-Verbindungen ist 389. Wenn Sie SSL
verwenden, muss die Port-Nummer angegeben werden.
Basis-DN - Gibt die Basis für die LDAP-Baumstruktur an, in der die Suche nach Gruppen durchgeführt wird.
Anmerkung: Diese Anweisung darf nur verwendet werden, um eine andere Adresse für eine Gruppe auf demselben LDAP-Server
anzugeben. Sie darf nicht verwendet werden, um einen anderen LDAP-Server als in ldap.URL anzugeben.
Zeitlimit für inaktive Verbindungen - Aus Leistungsgründen werden Verbindungen mit dem LDAP-Server
im Cache gespeichert.
Mit diesem Parameter wird die Dauer (in Sekunden) angegeben, nach der eine inaktive Verbindung mit dem
LDAP-Server aufgrund von Inaktivität aufgehoben wird.
Name der Schlüsselkennwortdatei - Die versteckt gespeicherte Datei, die das verschlüsselte
Kennwort der Schlüsseldatei enthält. Diese versteckt gespeicherte Datei kann mit dem Befehl "ldapstash"
erstellt werden.
Schlüsselkennsatz - Name des Zertifikatkennsatzes, den der Web-Server für die Authentifizierung beim
LDAP-Server verwendet. Dieser Kennsatz ist nur erforderlich, wenn SSL verwendet wird und der LDAP-Server so
konfiguriert ist, dass eine Client-Authentifizierung vom Web-Server angefordert wird.
Beispiel: Mein Server-Zertifikat
Port-Nummer - Nummer des Ports (wahlfrei), an dem der LDAP-Server empfangsbereit ist. Die
Standardeinstellung für TCP-Verbindungen ist 389. Wenn Sie SSL
verwenden, muss die Port-Nummer angegeben werden.
Basis-DN - Gibt die Basis für die LDAP-Baumstruktur an, in der die Suche nach Benutzern durchgeführt wird.
Die für die Authentifizierung des Benutzers, der einen Web-Server anfordert, zu verwendende Methode. Dieser
Name wird beim Zugriff auf einen LDAP-Server als Benutzername verwendet. Mögliche Werte: Basic, Cert, BasicIfNoCert.
Filter, mit dem die Informationen im Client-Zertifikat umgewandelt werden, das über SSL an einen Suchfilter für einen
LDAP-Eintrag übergeben werden. Die Standardeinstellung lautet: "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))". SSL-Zertifikate
enthalten die folgenden Felder, von denen alle in einen Suchfilter umgewandelt werden können:
Zertifikatfeld
Variable
Allgemeiner Name
%v1
Organisationseinheit
%v2
Organisation
%v3
Land
%v4
Position
%v5
Bundesland
%v6
Fortlaufende Nummer
%v7
Anmerkung:
Bei der Generierung
des Suchfilters werden die Werte in den Felder in die entsprechenden
Variablenfelder (%v1, %v2) übernommen. In der folgenden Tabelle wird die Umwandlung verdeutlicht:
Die Zeichen, die bei der Syntaxanalyse des Benutzernamens in Feldern als gültige Feldtrennzeichen
erkannt werden. Beispiel: Wenn der Schrägstrich ('/') das einzige Feldtrennzeichen ist und der Benutzer "Joe Smith/Acme"
eingibt, entspricht '%v1' sowohl "Joe Smith" und '%v2' der Angabe "Acme." Die Standardtrennzeichen
sind Leerzeichen, Kommata und das Tabulatorzeichen (/t).
Filter für Benutzername - Der Filter, der verwendet wird, um den Benutzernamen als Eingabe durch den
Benutzer in einen Suchfilter für einen LDAP-Eintrag umzuwandeln. Die Standardeinstellung lautet "((objectclass=person) (cn=%v1 %v2))", wobei %v1 und %v2 für die vom Benutzer
eingegebenen Wörter stehen.
Wenn der Benutzer beispielsweise "Paul Kelsey" eingibt, ergibt sich daraus der Suchfilter
"((objectclass=person)(cn=Paul Kelsey))". Die Syntax der Suchfilter wird unter
"LDAP-Suchfilter" beschrieben.
Da der Web-Server jedoch nicht zwischen mehreren zurückgegebenen Einträgen unterscheiden kann, schlägt
die Authentifizierung fehlt, wenn der LDAP-Server mehrere Einträge zurückliefert. Wenn
der Benutzer beispielsweise den Filter "ldap.Benutzer.name.filter=
"((objectclass=person)(cn=%v1* %v2*))" erstellt und "Pa Kel" eingibt,
ergibt sich daraus der Suchfilter "(cn=Pa* Kel*)". Mit diesem Suchfilter werden dann mehrere Einträge, wie
z. B. (cn=Paul Kelsey) UND (cn=Paula Kelly) gefunden, woraufhin die Authentifizierung scheitert. Sie müssen Ihren Suchfilter ändern.
Die Version des LDAP-Protokolls, das zur Verbindung mit dem LDAP-Server verwendet wird. Die LDAP-Version
wird von der Protokoll-Version festgelegt, die der LDAP-Server verwendet. Dies ist eine wahlfreie
Anweisung. Die Standardeinstellung ist Version 3. (Mögliche Werte sind: 2 oder 3)
Intervall für Verbindungswiederholung - Wenn ein LDAP-Server abgestürzt ist,
muss ständig versucht werden, die Verbindung wiederherzustellen. Wenn eine Verbindung wegen eines abgestürzten Servers wiederhergestellt werden muss,
gibt dieser Parameter die Zeit (in Sekunden) an, die der Web-Server zwischen gescheiterten Verbindungsversuchen
wartet.