Ces paramètres de configuration contrôlent la fonctionnalité LDAP (Lightweight Directory
Access Protocol) dans IBM HTTP Server.
La directive LdapCodepageDir
La directive LdapCodepageDir indique le chemin d'accès complet
du répertoire des pages de code installé avec IBM HTTP Server.
Syntaxe |
ldap.CodepageDir <chemin_complet_répertoire_pages_de_code> |
Portée |
Serveur global ou hôte virtuel |
Valeur par défaut |
<racine_serveur>/codepages |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Une instance dans la configuration globale. |
Directive LDAPRequire
La directive
uire permet de limiter les accès à une ressource contrôlée par
l'authentification LDAP pour un groupe d'utilisateurs spécifié. Elle peut utiliser des groupes définis dans LDAP en utilisant le type du groupe ou utiliser le type de filtre LDAP pour désigner un ensemble d'utilisateurs avec un jeu de valeurs d'attributs similaires.
Syntaxe |
uire filter <nom du filtre> ou uire group <groupe1
[groupe2.groupe3...]> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
ou uire group "groupe d'échantillon". Utilisez cette directive dans le
fichier httpd.conf.
|
Si le type de groupe est utilisé et que plusieurs valeurs de groupe sont spécifiées, la validation du groupe est un ET (AND) logique des groupes. Un utilisateur doit être un membre du Groupe1 exemple et du Groupe2 exemple si un OU (OR) logique des groupes est requis. Par exemple, si un utilisateur est membre du Groupe1 exemple ou du Groupe2 exemple,
dans ce cas un nouveau groupe LDAP, groupe de notre département, doit être créé sur le serveur LDAP ayant pour membres Groupe1 exemple etGroupe2 exemple. Vous utiliserez alors la directive suivante : uire group groupe de notre département.
La directive Ldap.group.URL
La directive ldap.group.URL indique un différent emplacement pour un
groupe sur le même serveur LDAP. Vous ne pouvez pas utiliser cette directive pour indiquer
un serveur LDAP différent de celui indiqué dans la directive ldap.URL.
Syntaxe |
ldap.group.URL = ldap://<nomhote:port>/<BaseDN> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
- Nom d'hôte : le nom d'hôte du serveur LDAP.
- Numéro de port : numéro de port facultatif sur lequel le serveur LDAP écoute. Le port par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez indiquer le numéro
de port.
- Nom distinctif de base : fournit la racine de l'arborescence LDAP dans laquelle effectuer la recherche
de groupes.
|
Avertissement :
Cette propriété est nécessaire lorsque l'URL LDAP des groupes diffère de
l'URL indiquée par la propriété ldap.URL.
Directive Ldap.LdapReferralhoplimit
La directive ldap.LdapReferralHopLimit indique le nombre maximal de référenceurs à suivre. L'authentification LDAP échouera si la limite spécifiée est dépassée.
Syntaxe |
ldap.LdapReferralHopLimit = <nombre_de_sauts> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
10 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
0 à 10 |
Réglez la directive LdapReferrals sur
on pour utiliser la directive LdapReferralhoplimit.
Important : Une valeur LdapReferralhoplimit de 0 provoque l'échec de l'authentification si aucun référenceur n'est trouvé.
La directive LdapReferralhoplimit n'a aucun sens lorsque la directive LdapReferrals
est définie sur off (par défaut).
Directive uire
La directive
uire permet de limiter les accès à une ressource contrôlée par
l'authentification LDAP pour un groupe d'utilisateurs spécifié. Elle peut utiliser des groupes définis dans LDAP en utilisant le type du groupe ou utiliser le type de filtre LDAP pour désigner un ensemble d'utilisateurs avec un jeu de valeurs d'attributs similaires.
Syntaxe |
uire filter <nom du filtre> ou uire group <groupe1
[groupe2.groupe3...]> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
Aucune |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
ou uire group "groupe d'échantillon". Utilisez cette directive dans le
fichier httpd.conf.
|
Si le type de groupe est utilisé et que plusieurs valeurs de groupe sont spécifiées, la validation du groupe est un ET (AND) logique des groupes. Un utilisateur doit être un membre du Groupe1 exemple et du Groupe2 exemple si un OU (OR) logique des groupes est requis. Par exemple, si un utilisateur est membre du Groupe1 exemple ou du Groupe2 exemple,
dans ce cas un nouveau groupe LDAP, groupe de notre département, doit être créé sur le serveur LDAP ayant pour membres Groupe1 exemple etGroupe2 exemple. Vous utiliserez alors la directive suivante : uire group groupe de notre département.
La directive Ldap.user.cert.filter
La directive ldap.usr.cert.filter indique le filtre utilisé pour la
conversion des informations dans le certificat client transmis à travers SSL (Secure Sockets
Layer) à un filtre de recherche pour une entrée LDAP.
Syntaxe |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
Un filtre LDAP. Voir Interrogation du serveur LDAP en utilisant des filtres de recherche LDAP. |
Les certificats SSL (Secure Socket Layer) incluent les champs suivants, dont tous
peuvent être convertis en un filtre de recherche :
Zone de certificat |
Variable |
nom commun |
%v1 |
Unité d'organisation |
%v2 |
organisation |
%v3 |
pays |
%v4 |
localité |
%v5 |
état ou pays |
%v6 |
numéro de série |
%v7 |
Lorsque vous générez le filtre de recherche, vous pouvez trouver les valeurs du champ dans les
zones de variables correspondantes (%v1, %v2). Le tableau ci-dessous illustre la conversion :
Certificat de l'utilisateur |
Conversion du filtre |
Certificat |
cn=Road Runner, o=Acme Inc, c=US |
Filtre |
(cn=%v1, o=%v3, c=%v4) |
Question résultante |
(cn=RoadRunner, o=Acme, Inc, c=US) |
La directive Ldap.version
La directive ldap.version indique la version du protocole LDAP
utilisé pour se connecter au serveur LDAP. La version du protocole utilisé par le serveur LDAP
détermine la version LDAP.
Avertissement : Cette directive est facultative.
Syntaxe |
ldap.version=3 |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
ldap.version=3 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
2 ou 3 |
La directive Ldap.waitToRetryConnection.interval
La directive ldap.waitToRetryConnection.interval indique la durée
d'attente du serveur Web entre les tentatives de connexion infructueuse.
Si un serveur LDAP tombe en panne, le serveur Web tente toujours de se connecter.
Syntaxe |
ldap.waitToRetryConnection.interval=<secs> |
Portée |
Instance unique par section de répertoire |
Valeur par défaut |
300 |
Module |
mod_ibm_ldap |
Plusieurs instances dans le fichier de configuration |
Oui |
Valeurs |
Délai (en secondes) |