Questi parametri di configurazione controllano la funzione LDAP (Lightweight Directory
Access Protocol) in IBM HTTP Server.
Istruzione LdapCodepageDir
La direttiva LdapCodepageDir specifica il percoso completo alla directory delle codepage installata con IBM HTTP Server.
Sintassi: |
ldap.CodepageDir <percorso_completo_alla_directory_paginecodice> |
Ambito |
Server globale o host virtuale |
Valore predefinito |
<root_server>/codepages |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
Un'istanza nella configurazione globale. |
Direttiva LDAPRequire
La direttiva uire
consente di limitare l'accesso ad una risorsa controllata dall'autenticazione LDAP su una raccolta specificata degli utenti. È inoltre possibile utilizzare gruppi definiti in LDAP utilizzando il tipo di gruppo oppure un tipo
di filtro LDAP per indicare una raccolta di utenti con una serie simile di valori attributo.
Sintassi: |
uire filter <filter name> o uire group <group1
[group2.group3....]> |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
Nessuno |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or uire group "sample group". Utilizzare questa direttiva nel file httpd.conf.
|
Se viene utilizzato il tipo di gruppo e vengono specificati più valori gruppo, la convalida del
gruppo è un AND logico dei gruppi. Se è necessario un OR logico di gruppi, un utente deve essere un
membro del gruppo campione 1 e gruppo campione 2. Ad esempio, se un utente è un membro del gruppo campione 1 o del gruppo campione 2,
deve essere creato un nuovo gruppo LDAP, gruppo reparto, sul server LDAP che dispone di
gruppo campione 1 e gruppo campione 2 come membri. Quindi occorre utilizzare la direttiva: uire group our
Department Group .
Direttiva Ldap.group.URL
La direttiva ldap.group.URL specifica un'ubicazione differente per un gruppo sullo stesso server LDAP. Non è possibile utilizzare questa direttiva per specificare un server LDAP differente da quello indicato nella direttiva ldap.URL.
Sintassi: |
ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
Nessuno |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
- nome host: Nome host del server LDAP.
- numero porta: Numero di porta opzionale su cui il server LDAP è in ricezione. Il numero predefinito per le connessioni TCP è 389. Se si utilizza SSL, è necessario specificare il numero di porta.
- BaseDN: fornisce la root della struttura ad albero
LDAP su cui eseguire la ricerca dei
gruppi.
|
Attenzione:
Questa proprietà è necessaria se l'URL
LDAP per i gruppi è diverso da quello specificato dalla proprietà ldap.URL.
Direttiva Ldap.LdapReferralhoplimit
La direttiva ldap.LdapReferralHopLimit indica il numero massimo di riferimenti da seguire. L'autenticazione LDAP avrà esito negativo se viene superato il limite specificato.
Sintassi: |
ldap.LdapReferralHopLimit = <number_of_hops> |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
10 |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
Da 0 a 10 |
Impostare la direttiva LdapReferrals su
on per utilizzare la direttiva LdapReferralhoplimit.
Importante: Il valore 0 per LdapReferralhoplimit causerà il fallimento dell'autenticazione se viene rilevato qualsiasi riferimento.
La direttiva LdapReferralhoplimit non ha senso quando la direttiva LdapReferrals èoff (impostazione predefinita).
Direttiva uire
La direttiva uire
consente di limitare l'accesso ad una risorsa controllata dall'autenticazione LDAP su una raccolta specificata degli utenti. È inoltre possibile utilizzare gruppi definiti in LDAP utilizzando il tipo di gruppo oppure un tipo
di filtro LDAP per indicare una raccolta di utenti con una serie simile di valori attributo.
Sintassi: |
uire filter <filter name> o uire group <group1
[group2.group3....]> |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
Nessuno |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or uire group "sample group". Utilizzare questa direttiva nel file httpd.conf.
|
Se viene utilizzato il tipo di gruppo e vengono specificati più valori gruppo, la convalida del
gruppo è un AND logico dei gruppi. Se è necessario un OR logico di gruppi, un utente deve essere un
membro del gruppo campione 1 e gruppo campione 2. Ad esempio, se un utente è un membro del gruppo campione 1 o del gruppo campione 2,
deve essere creato un nuovo gruppo LDAP, gruppo reparto, sul server LDAP che dispone di
gruppo campione 1 e gruppo campione 2 come membri. Quindi occorre utilizzare la direttiva: uire group our
Department Group .
Direttiva Ldap.user.cert.filter
La direttiva ldap.usr.cert.filter indica il filtro utilizzato per convertirele informazioni nel certificato del client trasferito tramite SSL (Secure Sockets
Layer) in un filtro di ricerca per la voce LDAP.
Sintassi: |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
Filtro LDAP. Consultare Esecuzione di query al server LDAP
utilizzando i filtri di ricerca LDAP. |
I certificati SSL (Secure Socket Layer) includono i seguenti campi che è possibile convertire in un filtro di ricerca:
Campo certificato |
Variabile |
nome comune |
%v1 |
unità organizzativa |
%v2 |
organization |
%v3 |
paese |
%v4 |
località |
%v5 |
stato o paese |
%v6 |
numero di serie |
%v7 |
Quando viene creato il filtro di ricerca, è possibile trovare i
valori dei campi nei campi delle variabili corrispondenti (%v1, %v2). La tabella riportata di seguito illustra la conversione:
Certificato utente |
Conversione filtro |
Certificato |
cn=Road Runner, o=Acme Inc, c=US |
Filtro |
(cn=%v1, o=%v3, c=%v4) |
Query risultante |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Direttiva Ldap.version
La direttiva ldap.version indica la versione del protocollo LDAP utilizzato per connettersi al server LDAP. La versione del protocollo utilizzata dal server LDAP determina la versione LDAP.
Attenzione: Questa direttiva è facoltativa.
Sintassi: |
ldap.version=3 |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
ldap.version=3 |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
2 o 3 |
Direttiva Ldap.waitToRetryConnection.interval
La direttiva ldap.waitToRetryConnection.interval indica il tempo di attesa del server Web tra
i tentativi non riusciti di connessione.
Se un server LDAP diventa inattivo, il server Web continua a tentare la connessione.
Sintassi: |
ldap.waitToRetryConnection.interval=<secs> |
Ambito |
Istanza singola per sezione di directory |
Valore predefinito |
300 |
Modulo |
mod_ibm_ldap |
Più istanze nel file di configurazione |
yes |
Valori |
Tempo (espresso in secondi) |