IBM HTTP Server for WebSphere Application Server, V6.1
             操作系统: AIX, HP-UX, Linux, Solaris, Windows

             使目录和搜索结果个性化

LDAP 伪指令

这些配置参数控制 IBM HTTP Server 中的轻量级目录访问协议(LDAP)功能部件。

LdapCodepageDir 伪指令

LdapCodepageDir 伪指令指定随 IBM HTTP Server 安装的 codepages 目录的完整路径。
语法 ldap.CodepageDir <full_path_to_codpages_directory>
作用域 全局服务器或虚拟主机
缺省值 <server_root>/codepages
模块 mod_ibm_ldap
配置文件中的多个实例 全局配置中的一个实例。

LdapConfigfile 伪指令

LdapConfigFile 伪指令表明与一组 LDAP 参数关联的 LDAP 属性文件名。
语法 LdapConfigFile <Fully qualified path to configuration file>
作用域 每个目录节一个实例
缺省值 c:\program files\ibm http server\conf\ldap.prop.sample
模块 mod_ibm_ldap
配置文件中的多个实例
到单个配置文件的标准路径。使用 httpd.conf 文件中的此伪指令。

LDAPRequire 伪指令

uire 伪指令用于限制对资源的访问,通过对指定的用户集合进行 LDAP 认证来控制访问。它可以使用 LDAP 中通过使用组类型定义的用户组,或者使用 LDAP 过滤器类型来指定具有相似属性值集的用户集合。
语法 uire filter <filter name> or uire group <group1 [group2.group3....]>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
uire 过滤器“(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))”或 uire 组“sample group”

使用 httpd.conf 文件中的此伪指令。

如果使用组类型且指定了多个组值,那么组验证是各组的逻辑与。如果需要组的逻辑或,那么用户必须是 sample Group1 sample Group2 的成员。例如,如果用户是 sample Group1sample Group2 组的成员,那么应在 LDAP 服务器上创建新 LDAP 组 our department group,并将 sample Group1sample Group2 作为其成员。然后,应使用伪指令:uire group our Department Group

Ldap.application.authType 伪指令

Ldap.application.authType 伪指令指定将 Web 服务器认证到 LDAP 服务器的方法。
语法 ldap.application.authType=None
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
  • 无:如果 LDAP 服务器不要求认证 Web 服务器。
  • 基本:使用 Web 服务器的专有名称(DN)作为用户标识,并使用隐藏文件中存储的密码作为密码。

Ldap.application.DN 伪指令

Ldap.application.DN 伪指令表明 Web 服务器的专有名称(DN)。当使用基本认证访问 LDAP 服务器时,使用此名称作为用户名。使用 LDAP 服务器中指定的条目访问目录服务器。
语法 ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
专有名称

Ldap.application.password.stashFile 伪指令

当服务器认证类型为 Basic 时,Ldap.application.password.stashFile 伪指令表明隐藏文件的名称,该隐藏文件包含应用程序的加密密码以认证到 LDAP 服务器。
语法 ldap.application.password.stashFile=c:\IHS\ldap.sth
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
到隐藏文件的标准路径。您可以使用 ldapstash 命令创建此隐藏文件。

Ldap.cache.timeout 伪指令

ldap.cache.timeout 伪指令高速缓存来自 LDAP 服务器的响应。如果将 Web 服务器配置为多个进程运行,那么每个进程将管理其自己的高速缓存副本。
语法 ldap.cache.timeout= <secs>
作用域 每个目录节一个实例
缺省值 600
模块 mod_ibm_ldap
配置文件中的多个实例
从 LDAP 服务器返回的响应保持有效的最长时间(以秒计)。

Ldap.group.attribute 伪指令

ldap.group.attributes 伪指令表明用于通过 LDAP 搜索确定专有名称(DN)是否是实际组的过滤器。
语法 ldap.group.memberattribute = <attribute>
作用域 每个目录节一个实例
缺省值 uniquegroup
模块 mod_ibm_ldap
配置文件中的多个实例
一个 ldap 属性 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。

Ldap.group.dnattribute 伪指令

ldap.group.dnattributes 指定用于通过 LDAP 搜索确定专有名称(DN)是否是实际组的过滤器。
语法 ldap.group.memberattribute = <ldap filter>
作用域 每个目录节一个实例
缺省值 groupofnames groupofuniquenames
模块 mod_ibm_ldap
配置文件中的多个实例
一个 ldap 过滤器 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。

Ldap.group.memberattribute 伪指令

ldap.group.memberattribute 伪指令指定从现有组检索唯一组的属性。
语法 ldap.group.memberattribute = <ldap filter>
作用域 每个目录节一个实例
缺省值 groupofnames groupofuniquenames
模块 mod_ibm_ldap
配置文件中的多个实例
一个 ldap 过滤器 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。

Ldap.group.memberAttributes 伪指令

一旦函数在 LDAP 目录中找到一个组条目,ldap.group.memberAttributes 伪指令将作为抽取组成员的方式。
语法 ldap.group.memberAttributes= attribute [attribute2....]
作用域 每个目录节一个实例
缺省值 memberuniquemember
模块 mod_ibm_ldap
配置文件中的多个实例
必须等于组成员的专有名称。您可以使用多个属性以包含成员信息。

Ldap.group.name.filter 伪指令

ldap.group.name.filter 伪指令表明用于搜索组名的过滤器 LDAP。
语法 ldap.group.name.filter = <group name filter>
作用域 每个目录节一个实例
缺省值 (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
模块 mod_ibm_ldap
配置文件中的多个实例
一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。

Ldap.group.search.depth 伪指令

ldap.group.search.depth 伪指令在指定 uire group <group> 伪指令时搜索子组。组可以包含单独成员和其他组。
语法 ldap.group.search.depth = <integer depth>
作用域 每个目录节一个实例
缺省值 1
模块 mod_ibm_ldap
配置文件中的多个实例
整数。对组执行搜索时,如果认证过程中的成员不是必需组的成员,那么也会搜索必需组的任何子组。例如:
group1 >group2(group2 是 group1 的成员)
group2 >group3(group3 是 group2 的成员)
group3 >jane  (jane 是 group3 的成员)

如果搜索 jane 并要求她是 group1 的成员,那么使用缺省值 ldap.search.depth 值为 1 的搜索将失败。如果指定 ldap.group.search.depth>2,那么搜索成功。

使用 ldap.group.search.depth=<depth to search -- number> 来限制子组搜索深度。这种类型的搜索会在 LDAP 服务器上变得非常集中。其中 group1 将 group2 当作成员,而 group2 将 group1 当作成员,此伪指令限制搜索深度。在先前的示例中,group1 的深度为 1,group2 的深度为 2,而 group3 的深度为 3。

Ldap.group.URL 伪指令

ldap.group.URL 伪指令为同一 LDAP 服务器上的组指定不同位置。您不能使用此伪指令指定与 ldap.URL 伪指令中指定的 LDAP 服务器不同的 LDAP 服务器。

语法 ldap.group.URL = ldap://<hostname:port>/<BaseDN>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
  • 主机名:LDAP 服务器的主机名。
  • 端口号:LDAP 服务器侦听的可选端口号。TCP 连接的缺省值是 389。如果使用 SSL,那么必须指定端口号。
  • BaseDN:提供 LDAP 树的根,可以在其中执行对组的搜索。
注意:
如果组的 LDAP URL 与 ldap.URL 属性指定的 URL 不同,那么必需此属性。

Ldap.idleConnection.timeout 伪指令

为了提高性能,ldap.idleConnection.timeout 伪指令高速缓存到 LDAP 服务器的连接。
语法 ldap.idleConection.timeout = <secs>
作用域 每个目录节一个实例
缺省值 600
模块 mod_ibm_ldap
配置文件中的多个实例
在空闲 LDAP 服务器连接由于不活动而关闭前的时间长度(以秒计)。

Ldap.key.file.password.stashfile 伪指令

ldap.key.file.password.stashfile 伪指令表明包含加密密钥文件密码的隐藏文件;使用 ldapstash 命令创建此隐藏文件。
语法 ldap.key.file.password.stashfile =d:\ <Key password file name>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
到隐藏文件的标准路径。

Ldap.key.fileName 伪指令

ldap.key.fileName 伪指令表明密钥文件数据库的文件名。当您使用安全套接字层(SSL)时,此选项是必需的。
语法 ldap.key.fileName=d:\<Key file name>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
到密钥文件的标准路径。

Ldap.key.label 伪指令

ldap.key.file.password.stashfile 伪指令表明 Web 服务器用于认证到 LDAP 服务器的证书标签名。
语法 My Server Certificate
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
密钥数据库文件中使用的有效标签。仅当使用安全套接字层(SSL)时此标签才是必需的,且 LDAP 服务器从Web 服务器请求客户机认证。

Ldap.LdapReferralhoplimit 伪指令

ldap.LdapReferralHopLimit 伪指令指示要遵循的引用的最大数目。如果超过了指定的限制,那么 LDAP 认证将失败。
语法 ldap.LdapReferralHopLimit = <number_of_hops>
作用域 每个目录节一个实例
缺省值 10
模块 mod_ibm_ldap
配置文件中的多个实例
0 到 10
将 LdapReferrals 伪指令设置为 on 以使用 LdapReferralhoplimit 伪指令。
重要: 在 LdapReferralhoplimit 的值为 0 时,如果遇到任何引用,那么将导致认证失败。

当 LdapReferrals 伪指令为 off(缺省值)时,LdapReferralhoplimit 伪指令没有任何意义。

Ldap.LdapReferrals 伪指令

ldap.LdapReferrals 伪指令指示在执行 LDAP 查询时是否将获取参照(将客户机请求重定向至另一 LDAP 服务器)以进行搜索。
语法 ldap.LdapReferrals = off | on
作用域 每个目录节一个实例
缺省值 off
模块 mod_ibm_ldap
配置文件中的多个实例
On 或 off

Ldap.realm 伪指令

ldap.key.realm 伪指令表明受保护区域的名称,如请求的客户机所视。
语法 ldap.realm==<Protection Realm>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
描述受保护页面的描述。

uire 伪指令

uire 伪指令用于限制对资源的访问,通过对指定的用户集合进行 LDAP 认证来控制访问。它可以使用 LDAP 中通过使用组类型定义的用户组,或者使用 LDAP 过滤器类型来指定具有相似属性值集的用户集合。
语法 uire filter <filter name> or uire group <group1 [group2.group3....]>
作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例
uire 过滤器“(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))”或 uire 组“sample group”

使用 httpd.conf 文件中的此伪指令。

如果使用组类型且指定了多个组值,那么组验证是各组的逻辑与。如果需要组的逻辑或,那么用户必须是 sample Group1 sample Group2 的成员。例如,如果用户是 sample Group1sample Group2 组的成员,那么应在 LDAP 服务器上创建新 LDAP 组 our department group,并将 sample Group1sample Group2 作为其成员。然后,应使用伪指令:uire group our Department Group

Ldap.search.timeout 伪指令

ldap.search.timeout 伪指令表明等待 LDAP 服务器完成搜索操作所需的最长时间(以秒计)。
语法 ldap.search.timeout = <secs>
作用域 每个目录节一个实例
缺省值 10
模块 mod_ibm_ldap
配置文件中的多个实例
时间长度(以秒计)。

Ldap.transport 伪指令

ldap.transport 伪指令表明用于与 LDAP 服务器通信的传输方法。
语法 ldap.transport = TCP
作用域 每个目录节一个实例
缺省值 TCP
模块 mod_ibm_ldap
配置文件中的多个实例
TCP 或 SSL

Ldap.url 伪指令

ldap.url 伪指令表明 LDAP 服务器要认证的 URL。
语法 ldap.url = ldap://<hostname:port>/<BaseDN>
其中:
  • hostname:表示 LDAP 服务器的主机名。
  • port:表示 LDAP 服务器侦听的可选端口号。TCP 连接的缺省值是 389。如果使用 SSL,那么必须指定端口号。
  • BaseDN:提供 LDAP 树的根,可以在其中执行对用户的搜索。

    例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

作用域 每个目录节一个实例
缺省值
模块 mod_ibm_ldap
配置文件中的多个实例

Ldap.user.authType 伪指令

ldap.usr.authType 伪指令表明认证请求 Web 服务器的用户的方法。当访问 LDAP 服务器时,使用此名称作为用户名。
语法 ldap.user.authType = BasicIfNoCert
作用域 每个目录节一个实例
缺省值 基本
模块 mod_ibm_ldap
配置文件中的多个实例
Basic、Cert、BasicIfNoCert

Ldap.user.cert.filter 伪指令

ldap.usr.cert.filter 伪指令表明过滤器,该过滤器用于将通过安全套接字层(SSL)传递的客户机证书中的信息转换为 LDAP 条目的搜索过滤器。
语法 ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
作用域 每个目录节一个实例
缺省值 "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
模块 mod_ibm_ldap
配置文件中的多个实例
一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。

安全套接字层(SSL)证书包含以下字段,所有这些都可以转换为搜索过滤器:

证书字段 变量
常见名 %v1
组织单元 %v2
组织 %v3
国家或地区 %v4
位置 %v5
省/自治区/直辖市或国家/地区 %v6
序列号 %v7
生成搜索过滤器时,可以查找匹配变量字段(%v1、%v2)中的字段值。下表显示了转换:
用户证书 过滤器转换
证书 cn=Road Runner, o=Acme Inc, c=US
过滤器 (cn=%v1, o=%v3, c=%v4)
结果查询 (cn=RoadRunner, o=Acme, Inc, c=US)

Ldap.user.name.fieldSep 伪指令

将用户名解析到字段中时,ldap.usr.name.fieldSep 伪指令将字符表明为有效字段分隔符。
语法 ldap.user.name.fieldSep=/
作用域 每个目录节一个实例
缺省值 空格、逗号和跳格(/t)字符。
模块 mod_ibm_ldap
配置文件中的多个实例
字符。如果“/”只表示字段分隔符且用户输入“Joe Smith/Acme”,那么“%v2”等于“Acme”。

Ldap.user.name.filter 伪指令

ldap.usr.name.filter 伪指令表明用于转换 LDAP 条目的搜索过滤器中输入的用户名的过滤器。

语法 ldap.user.name.filter=<user name filter>
作用域 每个目录节一个实例
缺省值 “((objectclass=person) (cn=%v1 %v2))”,其中 %v1%v2 表示用户输入的字符。

例如,如果用户输入“Paul Kelsey”,那么结果搜索过滤器将成为“((objectclass=person)(cn=Paul Kelsey))”。您可以使用 LDAP 搜索过滤器查找“查询 LDAP 服务器”中描述的搜索过滤器语法。

然而,因为 Web 服务器无法区别返回的多个条目,所以当 LDAP 服务器返回多个条目时,认证失败。例如,如果用户让 ldap.user.name.filter=“((objectclass=person)(cn=%v1* %v2*))”并输入 Pa Kel,那么结果搜索过滤器将成为“(cn=Pa* Kel*)”。过滤器找到诸如 (cn=Paul Kelsey) 和 (cn=Paula Kelly) 的多个条目,且认证失败。必须修改您的搜索过滤器。

模块 mod_ibm_ldap
配置文件中的多个实例
一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。

Ldap.version 伪指令

ldap.version 伪指令表明用于连接到 LDAP 服务器的 LDAP 协议的版本。LDAP 服务器使用的协议版本确定 LDAP 版本。

注意: 此伪指令是可选的。
语法 ldap.version=3
作用域 每个目录节一个实例
缺省值 ldap.version=3
模块 mod_ibm_ldap
配置文件中的多个实例
2 或 3

Ldap.waitToRetryConnection.interval 伪指令

ldap.waitToRetryConnection.interval 伪指令表明 Web 服务器在失败尝试连接之间等待的时间。

如果 LDAP 服务器无法运行,那么 Web 服务器将继续尝试连接。

语法 ldap.waitToRetryConnection.interval=<secs>
作用域 每个目录节一个实例
缺省值 300
模块 mod_ibm_ldap
配置文件中的多个实例
时间(以秒计)



相关任务
在 IBM HTTP Server(分布式系统)上使用 LDAP 来认证
参考主题    

使用条款 | 反馈

最近更新日期: Mar 31, 2008 3:11:26 AM EDT
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ldapdirs.html