这些配置参数控制 IBM HTTP Server 中的轻量级目录访问协议(LDAP)功能部件。
语法 | ldap.CodepageDir <full_path_to_codpages_directory> |
作用域 | 全局服务器或虚拟主机 |
缺省值 | <server_root>/codepages |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 全局配置中的一个实例。 |
语法 | LdapConfigFile <Fully qualified path to configuration file> |
作用域 | 每个目录节一个实例 |
缺省值 | c:\program files\ibm http server\conf\ldap.prop.sample |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 到单个配置文件的标准路径。使用 httpd.conf 文件中的此伪指令。 |
语法 | uire filter <filter name> or uire group <group1 [group2.group3....]> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | uire 过滤器“(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))”或
uire 组“sample group”。 使用 httpd.conf 文件中的此伪指令。 |
如果使用组类型且指定了多个组值,那么组验证是各组的逻辑与。如果需要组的逻辑或,那么用户必须是 sample Group1 和 sample Group2 的成员。例如,如果用户是 sample Group1 或 sample Group2 组的成员,那么应在 LDAP 服务器上创建新 LDAP 组 our department group,并将 sample Group1 和 sample Group2 作为其成员。然后,应使用伪指令:uire group our Department Group。
语法 | ldap.application.authType=None |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 |
|
语法 | ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 专有名称 |
语法 | ldap.application.password.stashFile=c:\IHS\ldap.sth |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 到隐藏文件的标准路径。您可以使用 ldapstash 命令创建此隐藏文件。 |
语法 | ldap.cache.timeout= <secs> |
作用域 | 每个目录节一个实例 |
缺省值 | 600 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 从 LDAP 服务器返回的响应保持有效的最长时间(以秒计)。 |
语法 | ldap.group.memberattribute = <attribute> |
作用域 | 每个目录节一个实例 |
缺省值 | uniquegroup |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 ldap 属性 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。 |
语法 | ldap.group.memberattribute = <ldap filter> |
作用域 | 每个目录节一个实例 |
缺省值 | groupofnames groupofuniquenames |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 ldap 过滤器 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。 |
语法 | ldap.group.memberattribute = <ldap filter> |
作用域 | 每个目录节一个实例 |
缺省值 | groupofnames groupofuniquenames |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 ldap 过滤器 - 请参阅 ldap.prop.sample 伪指令,以了解有关使用此伪指令的更多信息。 |
语法 | ldap.group.memberAttributes= attribute [attribute2....] |
作用域 | 每个目录节一个实例 |
缺省值 | member 和 uniquemember |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 必须等于组成员的专有名称。您可以使用多个属性以包含成员信息。 |
语法 | ldap.group.name.filter = <group name filter> |
作用域 | 每个目录节一个实例 |
缺省值 | (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。 |
语法 | ldap.group.search.depth = <integer depth> |
作用域 | 每个目录节一个实例 |
缺省值 | 1 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 整数。对组执行搜索时,如果认证过程中的成员不是必需组的成员,那么也会搜索必需组的任何子组。例如:group1 >group2(group2 是 group1 的成员) group2 >group3(group3 是 group2 的成员) group3 >jane (jane 是 group3 的成员) 如果搜索 jane 并要求她是 group1 的成员,那么使用缺省值 ldap.search.depth 值为 1 的搜索将失败。如果指定 ldap.group.search.depth>2,那么搜索成功。 使用 ldap.group.search.depth=<depth to search -- number> 来限制子组搜索深度。这种类型的搜索会在 LDAP 服务器上变得非常集中。其中 group1 将 group2 当作成员,而 group2 将 group1 当作成员,此伪指令限制搜索深度。在先前的示例中,group1 的深度为 1,group2 的深度为 2,而 group3 的深度为 3。 |
ldap.group.URL 伪指令为同一 LDAP 服务器上的组指定不同位置。您不能使用此伪指令指定与 ldap.URL 伪指令中指定的 LDAP 服务器不同的 LDAP 服务器。
语法 | ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 |
|
语法 | ldap.idleConection.timeout = <secs> |
作用域 | 每个目录节一个实例 |
缺省值 | 600 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 在空闲 LDAP 服务器连接由于不活动而关闭前的时间长度(以秒计)。 |
语法 | ldap.key.file.password.stashfile =d:\ <Key password file name> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 到隐藏文件的标准路径。 |
语法 | ldap.key.fileName=d:\<Key file name> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 到密钥文件的标准路径。 |
语法 | My Server Certificate |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 密钥数据库文件中使用的有效标签。仅当使用安全套接字层(SSL)时此标签才是必需的,且 LDAP 服务器从Web 服务器请求客户机认证。 |
语法 | ldap.LdapReferralHopLimit = <number_of_hops> |
作用域 | 每个目录节一个实例 |
缺省值 | 10 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 0 到 10 |
当 LdapReferrals 伪指令为 off(缺省值)时,LdapReferralhoplimit 伪指令没有任何意义。
语法 | ldap.LdapReferrals = off | on |
作用域 | 每个目录节一个实例 |
缺省值 | off |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | On 或 off |
语法 | ldap.realm==<Protection Realm> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 描述受保护页面的描述。 |
语法 | uire filter <filter name> or uire group <group1 [group2.group3....]> |
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | uire 过滤器“(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))”或
uire 组“sample group”。 使用 httpd.conf 文件中的此伪指令。 |
如果使用组类型且指定了多个组值,那么组验证是各组的逻辑与。如果需要组的逻辑或,那么用户必须是 sample Group1 和 sample Group2 的成员。例如,如果用户是 sample Group1 或 sample Group2 组的成员,那么应在 LDAP 服务器上创建新 LDAP 组 our department group,并将 sample Group1 和 sample Group2 作为其成员。然后,应使用伪指令:uire group our Department Group。
语法 | ldap.search.timeout = <secs> |
作用域 | 每个目录节一个实例 |
缺省值 | 10 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 时间长度(以秒计)。 |
语法 | ldap.transport = TCP |
作用域 | 每个目录节一个实例 |
缺省值 | TCP |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | TCP 或 SSL |
语法 | ldap.url = ldap://<hostname:port>/<BaseDN> 其中:
|
作用域 | 每个目录节一个实例 |
缺省值 | 无 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
语法 | ldap.user.authType = BasicIfNoCert |
作用域 | 每个目录节一个实例 |
缺省值 | 基本 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | Basic、Cert、BasicIfNoCert |
语法 | ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
作用域 | 每个目录节一个实例 |
缺省值 | "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。 |
安全套接字层(SSL)证书包含以下字段,所有这些都可以转换为搜索过滤器:
证书字段 | 变量 |
常见名 | %v1 |
组织单元 | %v2 |
组织 | %v3 |
国家或地区 | %v4 |
位置 | %v5 |
省/自治区/直辖市或国家/地区 | %v6 |
序列号 | %v7 |
用户证书 | 过滤器转换 |
证书 | cn=Road Runner, o=Acme Inc, c=US |
过滤器 | (cn=%v1, o=%v3, c=%v4) |
结果查询 | (cn=RoadRunner, o=Acme, Inc, c=US) |
语法 | ldap.user.name.fieldSep=/ |
作用域 | 每个目录节一个实例 |
缺省值 | 空格、逗号和跳格(/t)字符。 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 字符。如果“/”只表示字段分隔符且用户输入“Joe Smith/Acme”,那么“%v2”等于“Acme”。 |
ldap.usr.name.filter 伪指令表明用于转换 LDAP 条目的搜索过滤器中输入的用户名的过滤器。
语法 | ldap.user.name.filter=<user name filter> |
作用域 | 每个目录节一个实例 |
缺省值 | “((objectclass=person) (cn=%v1 %v2))”,其中 %v1 和 %v2 表示用户输入的字符。 例如,如果用户输入“Paul Kelsey”,那么结果搜索过滤器将成为“((objectclass=person)(cn=Paul Kelsey))”。您可以使用 LDAP 搜索过滤器查找“查询 LDAP 服务器”中描述的搜索过滤器语法。 然而,因为 Web 服务器无法区别返回的多个条目,所以当 LDAP 服务器返回多个条目时,认证失败。例如,如果用户让 ldap.user.name.filter=“((objectclass=person)(cn=%v1* %v2*))”并输入 Pa Kel,那么结果搜索过滤器将成为“(cn=Pa* Kel*)”。过滤器找到诸如 (cn=Paul Kelsey) 和 (cn=Paula Kelly) 的多个条目,且认证失败。必须修改您的搜索过滤器。 |
模块 | mod_ibm_ldap |
配置文件中的多个实例 | 是 |
值 | 一个 LDAP 过滤器。请参阅使用 LDAP 搜索过滤器查询 LDAP 服务器。 |