IBM HTTP Server per WebSphere Application Server, Versione 6.1
             Sistemi operativi: AIX, HP-UX, Linux, Solaris, Windows

             Personalizzare la tabella dei contenuti e ricercare i risultati

Direttive LDAP

Questi parametri di configurazione controllano la funzione LDAP (Lightweight Directory Access Protocol) in IBM HTTP Server.

Istruzione LdapCodepageDir

La direttiva LdapCodepageDir specifica il percoso completo alla directory delle codepage installata con IBM HTTP Server.
Sintassi: ldap.CodepageDir <percorso_completo_alla_directory_paginecodice>
Ambito Server globale o host virtuale
Valore predefinito <root_server>/codepages
Modulo mod_ibm_ldap
Più istanze nel file di configurazione Un'istanza nella configurazione globale.

Direttiva LdapConfigfile

La direttiva LdapConfigFile indica il nome del file di proprietà LDAP associato a un gruppo di parametri LDAP.
Sintassi: LdapConfigFile <Percorso completo al file di configurazione>
Ambito Istanza singola per sezione di directory
Valore predefinito c:\program files\ibm http server\conf\ldap.prop.sample
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Percorso completo a un singolo file di configurazione. Utilizzare questa direttiva nel file httpd.conf.

Direttiva LDAPRequire

La direttiva uire consente di limitare l'accesso ad una risorsa controllata dall'autenticazione LDAP su una raccolta specificata degli utenti. È inoltre possibile utilizzare gruppi definiti in LDAP utilizzando il tipo di gruppo oppure un tipo di filtro LDAP per indicare una raccolta di utenti con una serie simile di valori attributo.
Sintassi: uire filter <filter name> o uire group <group1 [group2.group3....]>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", or uire group "sample group".

Utilizzare questa direttiva nel file httpd.conf.

Se viene utilizzato il tipo di gruppo e vengono specificati più valori gruppo, la convalida del gruppo è un AND logico dei gruppi. Se è necessario un OR logico di gruppi, un utente deve essere un membro del gruppo campione 1 e gruppo campione 2. Ad esempio, se un utente è un membro del gruppo campione 1 o del gruppo campione 2, deve essere creato un nuovo gruppo LDAP, gruppo reparto, sul server LDAP che dispone di gruppo campione 1 e gruppo campione 2 come membri. Quindi occorre utilizzare la direttiva: uire group our Department Group .

Direttiva Ldap.application.authType

La direttiva Ldap.application.authType specifica il metodo di autenticazione del server Web sul server LDAP.
Sintassi: ldap.application.authType=None
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori
  • None: se il server LDAP non richiede l'autenticazione del server Web.
  • Basic: utilizza il DN (Distinguished Name) del server Web come ID utente e la password memorizzata nel file stash come password.

Direttiva Ldap.application.DN

La direttiva Ldap.application.DN indica il DN (Distinguished Name) del server Web. Utilizzare questo nome come nome utente durante l'accesso a un server LDAP tramite l'autenticazione di base. Per accedere al server della directory, utilizzare i dati immessi nel server LDAP.
Sintassi: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori DN (Distinguished Name)

Direttiva Ldap.application.password.stashFile

La direttiva Ldap.application.password.stashFile indica il nome del file stash contenente la password codificata per l'applicazione da autenticare nel server LDAP quando il tipo di autenticazione è quello di base.
Sintassi: ldap.application.password.stashFile=c:\IHS\ldap.sth
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Percorso completo per il file stash. È possibile creare questo file stash con il comando ldapstash.

Direttiva Ldap.cache.timeout

La direttiva ldap.cache.timeout memorizza nella cache le risposte provenienti dal server LDAP. Se si configura il server Web come più processi, ogni processo gestisce la propria copia della cache.
Sintassi: ldap.cache.timeout= <secs>
Ambito Istanza singola per sezione di directory
Valore predefinito 600
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Il tempo massimo espresso in secondi durante il quale una risposta restituita dal server LDAP resta valida.

Direttiva Ldap.group.attribute

La direttiva ldap.group.attributes indica il filtro utilizzato per stabilire se un DN (Distinguished Name) è un gruppo effettivo mediante una ricerca LDAP.
Sintassi: ldap.group.memberattribute = <attributo>
Ambito Istanza singola per sezione di directory
Valore predefinito uniquegroup
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Attributo ldap - Consultare ldap.prop.sample per ulteriori informazioni sull'uso di questa direttiva.

Direttiva Ldap.group.dnattribute

ldap.group.dnattributes specifica il filtro utilizzato per determinare, mediante una ricerca LDAP, se un DN (Distinguished Name) è un gruppo effettivo.
Sintassi: ldap.group.memberattribute = <filtro ldap>
Ambito Istanza singola per sezione di directory
Valore predefinito groupofnames groupofuniquenames
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Filtro ldap - Per ulteriori informazioni sull'utilizzo di questa direttiva, consultare la direttiva ldap.prop.sample.

Direttiva Ldap.group.memberattribute

La direttiva ldap.group.memberattribute specifica l'attributo per richiamare i gruppi univoci da un gruppo esistente.
Sintassi: ldap.group.memberattribute = <filtro ldap>
Ambito Istanza singola per sezione di directory
Valore predefinito groupofnames groupofuniquenames
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Filtro ldap - Per ulteriori informazioni sull'utilizzo di questa direttiva, consultare la direttiva ldap.prop.sample.

Direttiva Ldap.group.memberAttributes

La direttiva ldap.group.memberAttributes è un mezzo per estrarre i membri del gruppo una volta che la funzione individua una voce del gruppo in una directory LDAP.
Sintassi: ldap.group.memberAttributes= attribute [attribute2....]
Ambito Istanza singola per sezione di directory
Valore predefinito member e uniquemember
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Devono essere uguali ai DN dei membri del gruppo. È possibile utilizzare più di un attributo per contenere le informazioni sui membri.

Direttiva Ldap.group.name.filter

La direttiva ldap.group.name.filter indica che il filtro LDAP utilizza la ricerca per nomi gruppo.
Sintassi: ldap.group.name.filter = <filtro nome gruppo>
Ambito Istanza singola per sezione di directory
Valore predefinito (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Filtro LDAP. Consultare Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Direttiva Ldap.group.search.depth

La direttiva ldap.group.search.depth ricerca i gruppi secondari quando vengono specificate le direttive uire group <group>. I gruppi possono contenere sia singoli membri sia altri gruppi.
Sintassi: ldap.group.search.depth = <integer depth>
Ambito Istanza singola per sezione di directory
Valore predefinito 1
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Numero intero. Nella ricerca di un gruppo, se un membro del processo di autenticazione non è membro del gruppo richiesto, vengono cercati anche tutti i sottogruppi del gruppo. Ad esempio:
group1 >group2 (group2 è un membro di group1)
group2 >group3 (group3 è un membro di group2)
group3 >jane   (jane è un membro di group3)

Se si cerca jane e si richiede come membro di group1, non è possibile effettuare la ricerca con il valore ldap.search.depth predefinito di 1. Se si specifica ldap.group.search.depth>2, è possibile effettuare la ricerca.

Utilizzare ldap.group.search.depth=<intensità di ricerca -- number> per limitare l'intensità delle ricerche nei sottogruppi. Questo tipo di ricerca può diventare molto intenso su un server LDAP. Laddove group1 ha come membro group2 e group2 ha come membro group1, questa direttiva limita l'intensità della ricerca. Nell'esempio precedente, group1 ha un'intensità di 1, group2 ha un'intensità di 2 e group3 ha un'intensità di 3.

Direttiva Ldap.group.URL

La direttiva ldap.group.URL specifica un'ubicazione differente per un gruppo sullo stesso server LDAP. Non è possibile utilizzare questa direttiva per specificare un server LDAP differente da quello indicato nella direttiva ldap.URL.

Sintassi: ldap.group.URL = ldap://<hostname:port>/<BaseDN>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori
  • nome host: Nome host del server LDAP.
  • numero porta: Numero di porta opzionale su cui il server LDAP è in ricezione. Il numero predefinito per le connessioni TCP è 389. Se si utilizza SSL, è necessario specificare il numero di porta.
  • BaseDN: fornisce la root della struttura ad albero LDAP su cui eseguire la ricerca dei gruppi.
Attenzione:
Questa proprietà è necessaria se l'URL LDAP per i gruppi è diverso da quello specificato dalla proprietà ldap.URL.

Direttiva Ldap.idleConnection.timeout

La direttiva ldap.idleConnection.timeout memorizza nella cache le connessioni al server LDAP per prestazioni.
Sintassi: ldap.idleConection.timeout = <secs>
Ambito Istanza singola per sezione di directory
Valore predefinito 600
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Tempo espresso in secondi prima che una connessione al server LDAP inattivo venga chiusa per inattività.

Direttiva Ldap.key.file.password.stashfile

La direttiva ldap.key.file.password.stashfile indica il file stash contenente la password del file di chiavi codificata; utilizzare il comando ldapstash per creare questo file stash.
Sintassi: ldap.key.file.password.stashfile =d:\ <nome file password chiave>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Percorso completo per il file stash.

Direttiva Ldap.key.fileName

La direttiva ldap.key.fileName indica il nome file del database di chiavi. Questa opzione diventa necessaria quando si utilizza l'SSL (Secure Sockets Layer).
Sintassi: ldap.key.fileName=d:\<Nome file di chiavi>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Percorso completo al file di chiavi.

Direttiva Ldap.key.label

La direttiva ldap.key.file.password.stashfile indica il nome dell'etichetta del certificato che il server Web utilizza per eseguire l'autenticazione nel server LDAP.
Sintassi: My Server Certificate
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Un'etichetta valida utilizzata nel file database di chiavi. Questa etichetta è necessaria solo quando si utilizza SSL (Secure Sockets Layer) e il server LDAP richiede l'autenticazione del client dal server Web.

Direttiva Ldap.LdapReferralhoplimit

La direttiva ldap.LdapReferralHopLimit indica il numero massimo di riferimenti da seguire. L'autenticazione LDAP avrà esito negativo se viene superato il limite specificato.
Sintassi: ldap.LdapReferralHopLimit = <number_of_hops>
Ambito Istanza singola per sezione di directory
Valore predefinito 10
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Da 0 a 10
Impostare la direttiva LdapReferrals su on per utilizzare la direttiva LdapReferralhoplimit.
Importante: Il valore 0 per LdapReferralhoplimit causerà il fallimento dell'autenticazione se viene rilevato qualsiasi riferimento.

La direttiva LdapReferralhoplimit non ha senso quando la direttiva LdapReferrals èoff (impostazione predefinita).

Direttiva Ldap.LdapReferrals

La direttiva ldap.LdapReferrals indica se i riferimenti (che reindirizzano una richiesta client a un altro server LDAP) verranno considerati per le ricerche durante l'esecuzione delle query di LDAP.
Sintassi: ldap.LdapReferrals = off | on
Ambito Istanza singola per sezione di directory
Valore predefinito off
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori On o off

Direttiva Ldap.realm

La direttiva ldap.key.realm indica il nome dell'area protetta, come visualizzato dal client richiedente.
Sintassi: ldap.realm==<settore protezione>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Una descrizione della pagina protetta.

Direttiva uire

La direttiva uire consente di limitare l'accesso ad una risorsa controllata dall'autenticazione LDAP su una raccolta specificata degli utenti. È inoltre possibile utilizzare gruppi definiti in LDAP utilizzando il tipo di gruppo oppure un tipo di filtro LDAP per indicare una raccolta di utenti con una serie simile di valori attributo.
Sintassi: uire filter <filter name> o uire group <group1 [group2.group3....]>
Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", or uire group "sample group".

Utilizzare questa direttiva nel file httpd.conf.

Se viene utilizzato il tipo di gruppo e vengono specificati più valori gruppo, la convalida del gruppo è un AND logico dei gruppi. Se è necessario un OR logico di gruppi, un utente deve essere un membro del gruppo campione 1 e gruppo campione 2. Ad esempio, se un utente è un membro del gruppo campione 1 o del gruppo campione 2, deve essere creato un nuovo gruppo LDAP, gruppo reparto, sul server LDAP che dispone di gruppo campione 1 e gruppo campione 2 come membri. Quindi occorre utilizzare la direttiva: uire group our Department Group .

Direttiva Ldap.search.timeout

La direttiva ldap.search.timeout indica il tempo massimo di attesa, espresso in secondi, affinché un server LDAP completi un'operazione di ricerca.
Sintassi: ldap.search.timeout = <secs>
Ambito Istanza singola per sezione di directory
Valore predefinito 10
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Intervallo di tempo in secondi.

Direttiva Ldap.transport

La direttiva ldap.transport indica il metodo di trasporto utilizzato per comunicare con il server LDAP.
Sintassi: ldap.transport = TCP
Ambito Istanza singola per sezione di directory
Valore predefinito TCP
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori TCP o SSL

Direttiva Ldap.url

La direttiva ldap.url indica l'URL del server LDAP da autenticare.
Sintassi: ldap.url = ldap://<nomehost:porta>/<DNbase>
dove:
  • nomehost: rappresenta il nome host del server LDAP.
  • porta: rappresenta il numero porta facoltativo su cui è in ascolto il server LDAP. Il numero predefinito per le connessioni TCP è 389. Se si utilizza SSL, è necessario specificare il numero di porta.
  • DNbase: fornisce la root della struttura ad albero LDAP su cui eseguire la ricerca dei gruppi.

    Ad esempio: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US>

Ambito Istanza singola per sezione di directory
Valore predefinito Nessuno
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes

Direttiva Ldap.user.authType

La direttiva ldap.usr.authType indica il metodo per l'autenticazione dell'utente che richiede un server Web. Utilizzare questo nome come nome utente durante l'accesso a un server LDAP.
Sintassi: ldap.user.authType = BasicIfNoCert
Ambito Istanza singola per sezione di directory
Valore predefinito Base
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Basic, Cert, BasicIfNoCert

Direttiva Ldap.user.cert.filter

La direttiva ldap.usr.cert.filter indica il filtro utilizzato per convertirele informazioni nel certificato del client trasferito tramite SSL (Secure Sockets Layer) in un filtro di ricerca per la voce LDAP.
Sintassi: ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Ambito Istanza singola per sezione di directory
Valore predefinito "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Filtro LDAP. Consultare Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

I certificati SSL (Secure Socket Layer) includono i seguenti campi che è possibile convertire in un filtro di ricerca:

Campo certificato Variabile
nome comune %v1
unità organizzativa %v2
organization %v3
paese %v4
località %v5
stato o paese %v6
numero di serie %v7
Quando viene creato il filtro di ricerca, è possibile trovare i valori dei campi nei campi delle variabili corrispondenti (%v1, %v2). La tabella riportata di seguito illustra la conversione:
Certificato utente Conversione filtro
Certificato cn=Road Runner, o=Acme Inc, c=US
Filtro (cn=%v1, o=%v3, c=%v4)
Query risultante (cn=RoadRunner, o=Acme, Inc, c=US)

Direttiva Ldap.user.name.fieldSep

La direttiva ldap.usr.name.fieldSep indica i caratteri come separatori di campo validi durante l'analisi del nome utente nei campi.
Sintassi: ldap.user.name.fieldSep=/
Ambito Istanza singola per sezione di directory
Valore predefinito Spazio, virgola e tabulazione (/t).
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Caratteri. Se '/' è l'unico carattere separatore del campo e l'utente immette "Joe Smith/Acme", allora '%v2' equivale a "Acme".

Direttiva Ldap.user.name.filter

La direttiva ldap.usr.name.filter indica il filtro utilizzato per convertire il nome utente immesso in un filtro di ricerca per una voce LDAP.

Sintassi: ldap.user.name.filter=<filtro nome utente>
Ambito Istanza singola per sezione di directory
Valore predefinito "((objectclass=person) (cn=%v1 %v2))", dove %v1 e %v2 rappresentano i caratteri immessi dall'utente.

Ad esempio, se l'utente immette "Paul Kelsey", il filtro di ricerca che ne risulta diventa "((objectclass=person)(cn=Paul Kelsey))". È possibile trovare la descrizione della sintassi del filtro di ricerca in Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Tuttavia, poiché il server Web non è in grado di distinguere tra più voci restituite, se il server LDAP restituisce più di una voce, l'autenticazione non riesce. Ad esempio, se l'utente crea ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" e immette Pa Kel, il filtro di ricerca che ne risulta diventa "(cn=Pa* Kel*)". Il filtro trova più voci quali (cn=Paul Kelsey) e (cn=Paula Kelly) e si verifica un errore di autenticazione. È necessario modificare il proprio filtro di ricerca.

Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Filtro LDAP. Consultare Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Direttiva Ldap.version

La direttiva ldap.version indica la versione del protocollo LDAP utilizzato per connettersi al server LDAP. La versione del protocollo utilizzata dal server LDAP determina la versione LDAP.

Attenzione: Questa direttiva è facoltativa.
Sintassi: ldap.version=3
Ambito Istanza singola per sezione di directory
Valore predefinito ldap.version=3
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori 2 o 3

Direttiva Ldap.waitToRetryConnection.interval

La direttiva ldap.waitToRetryConnection.interval indica il tempo di attesa del server Web tra i tentativi non riusciti di connessione.

Se un server LDAP diventa inattivo, il server Web continua a tentare la connessione.

Sintassi: ldap.waitToRetryConnection.interval=<secs>
Ambito Istanza singola per sezione di directory
Valore predefinito 300
Modulo mod_ibm_ldap
Più istanze nel file di configurazione yes
Valori Tempo (espresso in secondi)



Attività correlate
Autenticazione con LDAP su IBM HTTP Server (sistemi distribuiti)
Argomento di riferimento    

Termini di utilizzo | Commenti

Ultimo aggiornamento: Feb 22, 2009 8:43:20 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ldapdirs.html