IBM HTTP Server のヘルプ : LDAP ディレクティブ
LDAP パラメーターのグループと関連付けられた LDAP プロパティーの名前。 デフォルト値 :
c:\program files\ibm http server\conf\ldap.prop.sample. httpd.conf ファイルで使用されています。
LDAP 認証が使用されているときに、httpd.conf ファイルの中でグループを指定するために使用されます。 可能な値 :
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"、または
LDAPRequire group "sample group"。
サーバー認証タイプ - Web サーバーを LDAP サーバーに対して認証するためのメソッドを指定します。以下から選択できます。
None- LDAP サーバーが Web サーバーの認証を必要としない場合。
Basic- Web サーバーの識別名がユーザー ID として使用され、
stash ファイルに保管されたパスワードがパスワードとして使用される場合。
サーバーの識別名 - Web サーバーの識別名。この名前は、Basic 認証を使って LDAP サーバーにアクセスする場合使用されるユーザー名です。LDAP サーバーに指定されているエントリーを使用して、ディレクトリー・サーバーにアクセスします。
例 : ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
サーバー認証タイプが Basic の場合に、アプリケーションが LDAP サーバーに対して認証を行うために使用する暗号化されたパスワードが含まれた stash ファイルの名前。この stash ファイルは、'ldapstash' コマンドを使って作成できます。
キャッシュ・タイムアウト - LDAP サーバーからの応答がキャッシュされます。これは、LDAP サーバーから戻された応答が有効である最大時間 (秒単位) です。
Web サーバーがマルチプロセスとして実行されるよう構成されている場合、
各プロセスはキャッシュの独自のコピーを管理します。
グループ・メンバー属性 - グループ項目が LDAP ディレクトリーの中で見つかると、これらの属性名を使ってそのグループ・メンバーの名前が抽出されます。これらの属性の値は、グループのメンバーの識別名でなければなりません。メンバー情報を含めるためには、複数の属性を使用することができます。 デフォルト属性は、member と uniqueMember です。
グループ名フィルター - LDAP グループ名を検索するために LDAP が使用するフィルター。 デフォルトは、
(&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))) です。
このプロパティーは、グループの LDAP URL が ldap.URL プロパティーによって指定された URL と異なる場合にのみ必要とされます。
ホスト名 - LDAP サーバーのホスト名。
ポート番号 - LDAP サーバーが listen している任意選択のポート番号。 TCP 接続のデフォルトは 389です。 SSL を使用している場合、ポート番号を指定する必要があります。
BaseDN - グループ検索を行う LDAP ツリーのルートを提供します。
注: このディレクティブは、同じ LDAP サーバー上のグループの異なる場所を指定するためだけに使用されます。
ldap.URL に指定されているものと異なる LDAP サーバーを指定するためには使用されません。
アイドル接続タイムアウト - LDAP サーバーへの接続がパフォーマンスのためにキャッシュされます。これは、アイドル LDAP 接続が非活動状態のために切断されるまでの時間 (秒単位) です。
鍵パスワード・ファイル名 - 暗号化された鍵ファイルのパスワードを含んだ stash ファイル。この stash ファイルを作成するには 'ldapstash' コマンドを使用します。
鍵ファイル名 - 鍵ファイル・データベースのファイル名。 SSL を使用する場合に必要です。
鍵ラベル - Web サーバーが LDAP サーバーに対して認証を行うときに使用する証明書ラベルの名前。 このラベルは SSL を行なうときと、Web サーバーからクライアント認証を要求するために LDAP サーバーが設定されているときにのみ必要です。
例 : My Server's Certificate
保護レルム - 要求を行っているクライアントによって表示される記憶保護域の名前。
例: Administrator Access
Search Time-out - LDAP サーバーが検索操作を完了するのを待機する最大時間 (秒単位)。
LDAP サーバーとの通信に使用されるトランスポート・メソッド。
(可能な値 : TCP または SSL)
ldap.url=ldap://<ホスト名:ポート>/<BaseDN>
ホスト名 - LDAP サーバーのホスト名。
ポート番号 - LDAP サーバーが listen している任意選択のポート番号。 TCP 接続のデフォルトは 389です。 SSL を使用している場合、ポート番号を指定する必要があります。
BaseDN - ユーザー検索を行う LDAP ツリーのルートを提供します。
例: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US
Web サーバーを要求しているユーザーを認証するために使用されるメソッド。 この名前は、LDAP サーバーにアクセスする時にユーザー名として使用されます。次の中から選択できます : Basic, Cert, BasicIfNoCert
SSL を介して渡されたクライアント証明書の中の情報を、
LDAP 項目のための検索フィルターに変換するために使用されるフィルター。 デフォルトは "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" です。 SSL 証明書には、以下のフィールドが含まれ、そのすべてを検索フィルターに変換することができます。
証明書フィールド |
変数 |
共通名 |
%v1 |
組織単位 |
%v2 |
組織 |
%v3 |
国 |
%v4 |
市町村 |
%v5 |
都道府県 |
%v6 |
シリアル番号 |
%v7 |
注:
|
検索フィルターが生成されるとフィールドの値は、一致する変数フィールド (%v1, %v2) の中に入れられます。 以下の表は、この変換を示したものです。
ユーザー証明書フィルターの変換
証明書: |
cn=Road Runner
o=Acme Inc
c=US
|
フィルター |
(cn=%v1, o=%v3, c=%v4)
|
結果の照会 |
(cn=RoadRunner, o=Acme, Inc, c=US)
|
|
ユーザー名を複数のフィールドに解析するときに、有効なフィールド区切り文字と考えられる文字。 たとえば、'/' が唯一のフィールド区切り文字であり、ユーザーが "Joe Smith/Acme" と入力した場合、
'%v1' は "Joe Smith" と等しく、'%v2' は "Acme" と等しくなります。 デフォルト文字は、スペース、コンマ、およびタブ (/t) 文字です。
User Name Filter - ユーザーに入力されたユーザー名を、
LDAP 項目の検索フィルターに変換するために使用されるフィルター。 デフォルトは、"((objectclass=person) (cn=%v1 %v2))" で、
%v1 と %v2 はユーザーによって入力されるワードです。
たとえば、ユーザーが "Paul Kelsey" と入力すると、
その結果作成される検索フィルターは "((objectclass=person)(cn=Paul Kelsey))" となります。 検索フィルターの構文については、
"LDAP 検索フィルター" を参照してください。
ただし、LDAP サーバーが複数の項目を戻した場合は、
Web サーバーは戻された複数の項目の違いがわからないため認証は失敗します。 たとえば、ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" を作成し、
"Pa Kel" と入力すると、作成される検索フィルターは "(cn=Pa* Kel*)" となります。 その結果、(cn=Paul Kelsey) と (cn=Paula Kelly) という複数のエントリーが検出され、認証は失敗します。 この場合、検索フィルターを変更する必要があります。
LDAP サーバーに接続するために使用する LDAP プロトコルのバージョンです。
LDAP バージョンは、LDAP サーバーによって使用されるプロトコル・バージョンによって判別されます。
これは、オプションのディレクティブです。デフォルトは、LDAP バージョン 3 です。(可能な値は 2 または 3 です)
Connection retry interval - LDAP サーバーがダウンしている場合、
そのサーバーへの接続を繰り返し試行しなければなりません。 これはサーバーがダウンしているために接続を再確立しなければならないような場合に、
Web サーバーが接続を試行する間隔 (秒単位) です。
LDAP の使用法
LDAP