Estos parámetros de configuración controlan la característica LDAP
(Lightweight Directory Access Protocol) de IBM HTTP Server.
Directiva LdapCodepageDir
La directiva LdapCodepageDir especifica la vía de acceso completa al directorio de páginas de código que se instala con IBM HTTP Server.
Sintaxis |
ldap.CodepageDir <vía_acceso_completa_a_directorio_páginas_código> |
Ámbito |
Servidor global o host virtual |
Valor predeterminado |
<raíz_servidor>/codepages |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
Una instancia en la configuración global. |
Directiva LDAPRequire
La directiva uire se
utiliza para limitar el acceso a recursos que se controlan mediante la autenticación LDAP
con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o
puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto
similar de valores de atributo.
Sintaxis |
uire filter <nombre de filtro> o uire group <grupo1
[grupo2.grupo3....]> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
None |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
o uire group "grupo de ejemplo". Utilice esta directiva
en el archivo httpd.conf.
|
Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la
validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de
Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo,
entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor
LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: uire group nuestro grupo de departamento.
Directiva Ldap.group.URL
La directiva ldap.group.URL especifica una ubicación distinta para un grupo
en el mismo servidor LDAP. No puede utilizar esta directiva para especificar un servidor
LDAP distinto del que se ha especificado en la directiva ldap.URL.
Sintaxis |
ldap.group.URL = ldap://<nombresistemaprpal:puerto>/<DNBase> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
None |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
- nombre de host: nombre de host del servidor LDAP.
- número de puerto: número de puerto opcional en el que está a la escucha el servidor LDAP. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto.
- DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de
grupos.
|
Atención:
Esta propiedad es necesaria si el URL de LDAP para grupos es distinto del
URL especificado por la propiedad ldap.URL.
Directiva Ldap.LdapReferralhoplimit
La directiva ldap.LdapReferralHopLimit indica el número máximo de
referencias que se van a seguir. La autenticación de LDAP fallará si se supera el límite especificado.
Sintaxis |
ldap.LdapReferralHopLimit = <número_de_saltos |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
10 |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
De 0 a 10 |
Establezca la directiva LdapReferrals
on para utilizar la directiva LdapReferralhoplimit.
Importante: Un valor 0 de LdapReferralhoplimit hará que falle la autenticación, si se encuentra alguna referencia.
La directiva LdapReferralhoplimit no es significativa si la directiva LdapReferrals
es off (por omisión).
Directiva uire
La directiva uire se
utiliza para limitar el acceso a recursos que se controlan mediante la autenticación LDAP
con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o
puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto
similar de valores de atributo.
Sintaxis |
uire filter <nombre de filtro> o uire group <grupo1
[grupo2.grupo3....]> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
None |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
o uire group "grupo de ejemplo". Utilice esta directiva
en el archivo httpd.conf.
|
Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la
validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de
Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo,
entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor
LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: uire group nuestro grupo de departamento.
Directiva Ldap.user.cert.filter
La directiva ldap.usr.cert.filter indica el filtro que se utiliza para
convertir la información del certificado de cliente pasada en SSL (Secure Sockets
Layer) a un filtro de búsqueda de entradas LDAP.
Sintaxis |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP. |
Los certificados SSL (Secure Socket Layer) incluyen los campos siguientes, todos ellos los
puede convertir en filtros de búsqueda:
Campo del certificado |
Variable |
nombre común |
%v1 |
unidad organizativa |
%v2 |
organización |
%v3 |
país |
%v4 |
localidad |
%v5 |
provincia o país |
%v6 |
número de serie |
%v7 |
Cuando genera el filtro de búsqueda, puede encontrar los valores de campo en los campos de variables
coincidentes (%v1, %v2). La tabla siguiente muestra la conversión:
Certificado de usuario |
Conversión de filtro |
Certificado |
nc=Pedro Sánchez, o=Acme S.L., p=España |
Filtro |
(nc=%v1, o=%v3, p=%v4) |
Consulta resultante |
(nc=Pedro Sánchez, o=Acme, S.L., p=España) |
Directiva Ldap.version
La directiva ldap.version indica la versión del protocolo LDAP
utilizado para conectar con el servidor LDAP. La versión del protocolo que utiliza el servidor LDAP
determina la versión de LDAP.
Atención: Esta directiva es opcional.
Sintaxis |
ldap.version=3 |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
ldap.version=3 |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
2 ó 3 |
Directiva Ldap.waitToRetryConnection.interval
La directiva ldap.waitToRetryConnection.interval indica el tiempo
que espera el servidor Web entre intentos fallidos de conexión.
Si un servidor LDAP se desactiva, el servidor Web continúa intentando conectarse.
Sintaxis |
ldap.waitToRetryConnection.interval=<segs> |
Ámbito |
Instancia única por stanza de directorio |
Valor predeterminado |
300 |
Module |
mod_ibm_ldap |
Varias instancias del archivo de configuración |
sí |
Valores |
Tiempo (en segundos) |