IBM HTTP Server 帮助:LDAP 伪指令

LDAP 伪指令-在 HP 或 Linux 上无效

  • LdapConfigFile
  •  
  • ldap.key.label
  • LDAPRequire
  •  
  • ldap.realm
  • ldap.application.authType
  •  
  • ldap.search.timeout
  • ldap.application.DN
  •  
  • ldap.transport
  • ldap.application.password.stashFile
  •  
  • ldap.url
  • ldap.cache.timeout
  •  
  • Ldap.user.authType
  • ldap.group.memberAttributes
  •  
  • ldap.user.cert.filter
  • ldap.group.name.filter
  •  
  • ldap.user.name.fieldSep
  • ldap.group.URL
  •  
  • ldap.user.name.filter
  • ldap.idleConnection.timeout
  •  
  • ldap.waitToRetryConnection.interval
  • ldap.key.file.password.stashfile
  •  
  • 相关信息
  • ldap.key.fileName
  •  
  • ldap.version
  • LdapConfigFile 伪指令

    与一组 LDAP 参数相关联的LDAP 属性文件名。缺省值:
    c:\program files\ibm http server\conf\ldap.prop.sample。在文件 httpd.conf 中使用。

    LDAPRequire

    在 httpd.conf 文件中使用,以在使用 LDAP 认证时指定组。可能值:
    LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" or LDAPRequire group "sample group".

    ldap.application.authType=None

    服务器认证类型-将 Web 服务器认证到 LDAP 服务器的方法。可能性为:

    无-如果 LDAP 服务器无须 Web 服务器来认证。

    基本-将 Web 服务器的专有名称作为用户标识,而将存储文件中的口令作为口令。

    ldap.application.DN

    服务器专有名称-Web 服务器的专有名称。当使用“基本”认证来访问 LDAP 服务器时,此名称将作为用户名。 使用在 LDAP 服务器中指定的条目,以访问目录服务器。

    例如:ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US

    ldap.application.password.stashFile=ldap.sth

    存储文件名,在服务器认证类型为"基本"时它包含了要认证到 LDAP 服务器的应用程序加密口令。使用 "ldapstash" 命令创建此存储文件。

    ldap.cache.timeout= <秒>

    高速缓存超时-对来自 LDAP 服务器的响应进行高速缓存。这是 LDAP 服务器所返回的响应保持有效的最大时间长度(以秒为单位)。 如果将 Web 服务器配置为多进程运行,则每个进程将管理其自己的高速缓存副本。

    ldap.group.memberAttributes= <组成员属性>

    组成员属性-一旦在 LDAP 目录中找到了组条目,就可以使用这些属性名来抽取组成员。这些属性的值必须是组成员的专有名称。不止一个属性可以用于包含成员信息。缺省属性为 member 和 uniqueMember。

    ldap.group.name.filter= <组名过滤器>

    组名过滤器-过滤器 LDAP 用于搜索组名。缺省为 (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

    ldap.group.URL=ldap://<hostName>/<BaseDN>

    仅当组的 LDAP URL 与 ldap.URL 特性所指定的 URL 不同时,才需要此特性。

    主机名-LDAP 服务器的主机名。

    端口号-用于 LDAP 服务器侦听的可选端口号。TCP 连接的缺省为 389。如果您使用 SSL,必须指定端口号。

    BaseDN-提供执行搜索组的 LDAP 树的根目录。

    注:此伪指令仅可用于为同一 LDAP 服务器上的组指定不同的位置。它不能用于指定与ldap.URL 所指定的不相同的 LDAP 服务器。

    ldap.idleConnection.timeout= <秒>

    空闲连接超时-为提高性能,对到 LDAP 服务器的连接进行高速缓存。 这是指在关闭空闲 LDAP 服务器连接之前,此服务器处于不活动状态的时间长度(以秒为单位)。

    ldap.key.file.password.stashfile=d:\<密钥口令文件名>

    密钥口令文件名-包含加密的密钥文件口令的存储文件;使用 'ldapstash' 命令创建此存储文件。

    ldap.key.fileName=d:\<密钥文件名>

    密钥文件名-密钥文件数据库的文件名。如果您正在使用 SSL,需要此文件名。

    ldap.key.label

    密钥标签-Web 服务器用于认证到 LDAP 服务器的证书标签名。只有当使用 SSL,并设置 LDAP 服务器以 从 Web 服务器请求客户机认证,该标签才是必需的。
    例如:我的服务器证书

    ldap.realm=<保护领域>

    保护领域-如请求客户机所见的受保护区域名。
    例如:管理员访问

    ldap.search.timeout= <秒>

    搜索超时-等待 LDAP 服务器完成搜索操作的最大时间(以秒为单位)。

    ldap.transport=TCP

    用于和 LDAP 服务器进行通信的传送方法。
    (可能值为:TCP 或 SSL)

    ldap.url=ldap://<hostName:Port>/<BaseDN>

    主机名-LDAP 服务器的主机名。

    端口号-用于 LDAP 服务器侦听的可选端口号。TCP 连接的缺省为 389。如果您使用 SSL,必须指定端口号。

    BaseDN-提供为用户执行搜索的 LDAP 树的根目录。

    例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US

    Ldap.user.authType=BasicIfNoCert

    用于对请求 Web 服务器的用户进行认证的方法。当访问 LDAP 服务器时,此名称作为用户名。可能值:Basic、Cert、BasicIfNoCert

    ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))

    用于将 SSL 上所发送客户机证书中的信息转换为 LDAP 条目的搜索过滤器的过滤器。缺省为 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"。SSL 证书包括了下列字段,它们都可以转换为搜索过滤器:
    证书字段 变量
    公共名称 %v1
    组织部门 %v2
    组织 %v3
    国家 %v4
    地区 %v5
    州或国家 %v6
    序列号 %v7
    注: 当生成搜索过滤器时,字段中的值将放入相匹配的变量字段 (%v1, %v2)。下表显示了转换过程:

    用户证书过滤器转换

    证书:
    cn=Road Runner
    o=Acme Inc
    c=US
    

    过滤器
    (cn=%v1, o=%v3, c=%v4)
    

    结果查询
    (cn=RoadRunner, o=Acme, Inc, c=US)
    

    ldap.user.name.fieldSep=/

    当把用户名分析到字段中时,被认为是有效字段分隔字符的字符。例如:如果 "/" 是仅有的字段分隔字符,而且用 户输入了 "Joe Smith/Acme",则 "%v1" 等于 "Joe Smith",而 "%v2" 等于 "Acme"。缺省字符为空格、逗号和制表符 (/t)。

    ldap.user.name.filter=<用户名过滤器>

    用户名过滤器-用于将用户所输入的用户名转换为 LDAP 条目的搜索过滤器的过滤器。缺省为:"((objectclass=person) (cn=%v1 %v2))",其中 %v1 和 %v2 由用户输入。

    例如,如果用户输入 "Paul Kelsey",结果搜索过滤器为:"((objectclass=person)(cn=Paul Kelsey))"。在“LDAP 搜索过滤器”中描述了搜索过滤器的语法。

    然而,由于 Web 服务器无法区分多个返回的条目,所以当 LDAP 服务器返回多个条目时,认证将失败。例如,如果用户设置 ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))",并输入 "Pa Kel",则结果搜索过滤器将为:"(cn=Pa* Kel*)"。这样将找到多个条目,如 (cn=Paul Kelsey) 和 (cn=Paula Kelly),而且认证将失败。您必须修改您的搜索过滤器。

    Ldap.version=3

    用于连接到 LDAP 服务器的 LDAP 协议版本。LDAP 版本由 LDAP 服务器所用的协议版本来确定。这是可选的伪指令。缺省为 LDAP 版本 3。(可能值为:2 或 3。)

    ldap.waitToRetryConnection.interval= <秒>

    连接重试间隔-如果 LDAP 服务器已关闭,则我们必须连续地尝试以再次接通。当由于服务器停机而必须重 建连接时,这就是 Web 服务器在连接的失败尝试间等待的时间(以秒为单位)。

    相关信息

    LDAP 入门
    LDAP