Diese Konfigurationsparameter steuern das LDAP-Feature (Lightweight Directory Access Protocol) in IBM HTTP Server.
Anweisung LdapCodepageDir
Die Anweisung LdapCodepageDir gibt den vollständigen Pfad des Codepage-Verzeichnisses an, das mit
IBM HTTP Server installiert wird.
Syntax |
ldap.CodepageDir <vollständiger_Pfad_des_Codepage-Verzeichnisses> |
Geltungsbereich |
Globaler Server oder virtueller Server |
Standardwert |
<Serverstammverzeichnis>/codepages |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Eine Instanz in der globalen Konfiguration. |
Anweisung LdapConfigfile
Die Anweisung LdapConfigFile gibt den Namen der LDAP-Merkmaldatei an, die einer Gruppe von LDAP-Parametern
zugeordnet ist.
Syntax |
LdapConfigFile <vollständig qualifizierter Pfad der Konfigurationsdatei> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
c:\Programme\ibm http server\conf\ldap.prop.sample |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad einer Konfigurationsdatei. Verwenden Sie diese Anweisung in der Datei
httpd.conf. |
Anweisung LDAPRequire
Mit der Anweisung LDAPRequire können Sie den Zugriff auf eine Ressource,
die durch LDAP-Authentifizierung kontrolliert wird, auf eine bestimmte Gruppe von Benutzern beschränken. Sie können mit der Anweisung bestimmte Gruppen, die in LDAP definiert sind, auf der Basis des Gruppentyps
oder einen LDAP-Filtertyp angeben, um eine Benutzergruppe mit ähnlichen Attributwerten zu bestimmen.
Syntax |
LDAPRequire filter <Filtername oder LDAPRequire group <Gruppe1
[Gruppe2.Gruppe3....]> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
oder LDAPRequire group "Beispielsgruppe". Verwenden Sie diese Anweisung in der Datei
httpd.conf.
|
Wenn Sie den Gruppentyp verwenden und mehrere Gruppenwerte angeben, ist die Gruppenauswertung
eine logische UND-Verknüpfung der Gruppen.
Der Benutzer muss ein Member von Beispielgruppe1 und Beispielgruppe2 sein, wenn eine logische ODER-Verknüpfung der Gruppen erforderlich ist.
Wenn ein Benutzer beispielsweise Member von Beispielgruppe1 oder Beispielgruppe2 ist, muss eine neue
LDAP-Gruppe (unsere Abteilungsgruppe auf dem LDAP-Server erstellt werden, die
Beispielgruppe1 und Beispielgruppe2 als Member hat.
In diesem Fall verwenden Sie die folgende Anweisung: LDAPRequire group unsere Abteilungsgruppe.
Anweisung Ldap.application.authType
Die Anweisung Ldap.application.authType gibt die Methode für die Authentifizierung des Webservers beim LDAP-Server an.
Syntax |
ldap.application.authType=None |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- None: Der LDAP-Server setzt keine Authentifizierung des Webservers voraus.
- Basic: Der definierte Name (DN) des Webservers wird als Benutzer-ID verwendet, und das Kennwort wird in der
verdeckten Datei gespeichert.
|
Anweisung Ldap.application.DN
Die Anweisung Ldap.application.DN gibt den definierten Namen
(DN) des Webservers an. Verwenden Sie diesen Namen als Benutzernamen, wenn Sie mit Basisauthentifizierung auf den LDAP-Server zugreifen.
Für den Zugriff auf den Verzeichnisserver verwenden Sie den im LDAP-Server angegebenen Eintrag.
Syntax |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Definierter Name (DN) |
Anweisung Ldap.application.password.stashFile
Die Anweisung Ldap.application.password.stashFile gibt den Namen der verdeckten Datei an, die das
verschlüsselte Kennwort enthält, das die Anwendung für die Authentifizierung beim LDAP-Server verwendet, wenn als
Typ für die Serverauthentifizierung "Basic" ausgewählt ist.
Syntax |
ldap.application.password.stashFile=c:\IHS\ldap.sth |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der verdeckten Datei. Sie können diese verdeckte Datei mit dem Befehl
ldapstash erstellen. |
Anweisung Ldap.cache.timeout
Die Anweisung ldap.cache.timeout stellt Antworten vom LDAP-Server in den Cache.
Wenn Sie im Webserver die Ausführung mehrerer Prozessen konfigurieren, verwaltet jeder Prozess seine eigene
Kopie des Cache.
Syntax |
ldap.cache.timeout= <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Die maximale Gültigkeitsdauer (in Sekunden) einer vom LDAP-Server zurückgegebenen Antwort
|
Anweisung Ldap.group.attributes
Die Anweisung ldap.group.attributes gibt den Filter an, der verwendet wird, um festzustellen, ob ein definierter
Name (DN) eine echte Gruppe in LDAP ist.
Syntax |
ldap.group.memberattribute = <Attribut> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
uniquegroup |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Attribut. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung ldap.prop.sample.
|
Anweisung Ldap.group.dnattributes
Die Anweisung ldap.group.dnattributes gibt die Filter an, die bei einer LDAP-Suche verwendet werden, um festzustellen, ob ein definierter
Name (DN) eine Gruppe ist.
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Gruppe_von_Namen Gruppe_von_eindeutigen_Namen |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung ldap.prop.sample.
|
Anweisung Ldap.group.memberattribute
Die Anweisung ldap.group.memberattribute gibt das Attribut für den Abruf eindeutiger
Gruppen aus einer vorhandenen Gruppe an.
Syntax |
ldap.group.memberattribute = <LDAP-Filter> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Gruppe_von_Namen Gruppe_von_eindeutigen_Namen |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen zur Verwendung dieser Anweisung finden Sie in der Beschreibung
der Anweisung ldap.prop.sample.
|
Anweisung Ldap.group.memberAttributes
Mit der Anweisung ldap.group.memberAttributes können Gruppen-Member extrahiert werden, sobald die Funktion einen Gruppeneintrag
in einem LDAP-Verzeichnis findet.
Syntax |
ldap.group.memberAttributes= Attribut [Attribut2....] |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
member und uniquemember |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Die definierten Namen der Gruppen-Member. Sie können mehrere Attribute für Member-Informationen verwenden.
|
Anweisung Ldap.group.name.filter
Die Anweisung ldap.group.name.filter gibt den Filter an, den LDAP
für die Suche von Gruppennamen verwendet.
Syntax |
ldap.group.name.filter = <Filter_für_Gruppenname> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
Anweisung Ldap.group.search.depth
Die Anweisung
ldap.group.search.depth durchsucht Untergruppen, wenn Sie die Anweisungen LDAPRequire group <Gruppe> angeben. Gruppen können einzelne Member und andere Gruppe enthalten.
Syntax |
ldap.group.search.depth = <Verschachtelungstiefe in Form einer ganzen Zahl> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
1 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein Integer. Wenn Sie eine Suchfunktion für eine Gruppe ausführen und
ein Member im Authentifizierungsprozess kein Member der erforderlichen Gruppe ist, werden
alle Untergruppen der erforderlichen Gruppe ebenfalls durchsucht.
Beispiel:
Gruppe >Gruppe2 (Gruppe2 ist Member von Gruppe1)
Gruppe2 >Gruppe3 (Gruppe3 ist Member von Gruppe2)
Gruppe3 >jane (jane ist Member von Gruppe3)
Wenn Sie nach jane suchen und jane Member von Gruppe1 sein muss, schlägt die
Suche fehl, wenn ldap.search.depth den Standardwert 1 hat. Wenn Sie ldap.group.search.depth>2 angeben,
ist die Suche erfolgreich.
Verwenden Sie ldap.group.search.depth=<Suchtiefe -- Zahl>, um die Tiefe für das
Durchsuchen von Untergruppen zu beschränken. Diese Art von Suchen kann auf einem LDAP-Server sehr
intensiv werden.
Wenn Gruppe1 die Gruppe2 als Member hat und Gruppe2
die Gruppe1 als Member hat, beschränkt diese Anweisung die Suchtiefe.
Im vorherigen Beispiel hat Gruppe1 eine Suchtiefe von 1, Gruppe2 eine Suchtiefe von 2 und Gruppe3 eine Suchtiefe von 3.
|
Anweisung Ldap.group.URL
Die Anweisung ldap.group.URL gibt eine andere Position für eine Gruppe in demselben LDAP-Server
an.
Sie können mit dieser Anweisung keinen anderen LDAP-Server als den angeben, der mit der
Anweisung ldap.URL definiert wurde.
Syntax |
ldap.group.URL = ldap://<Hostname:Port>/<Basis-DN> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
- Hostname: Der Hostname des LDAP-Servers.
- Portnummer: Optionaler Empfangsport für LDAP-Server. Der Standardport für
TCP-Verbindungen ist 389. Wenn Sie SSL verwenden, müssen Sie die Portnummer angeben.
- Basis-DN: Steht für den Stamm der LDAP-Struktur, in der nach Gruppen gesucht wird.
|
Achtung:
Dieses Merkmal ist erforderlich, wenn der LDAP-URL für Gruppen von dem mit dem Merkmal
ldap.URL angegebenen URL abweicht.
Anweisung Ldap.idleConnection.timeout
Mit der Anweisung ldap.idleConnection.timeout können Sie Verbindungen zum LDAP-Server zwischenspeichern, um eine bessere Leistung zu erzielen.
Syntax |
ldap.idleConection.timeout = <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
600 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Gibt an, wie lange (in Sekunden) gewartet wird, bis eine inaktive Verbindung zum LDAP-Server geschlossen wird.
|
Anweisung Ldap.key.file.password.stashfile
Die Anweisung ldap.key.file.password.stashfile gibt die verdeckte Datei
an, die das verschlüsselte Kennwort für die Schlüsseldatei enthält. Verwenden Sie zum Erstellen dieser
verdeckten Datei den Befehl ldapstash.
Syntax |
ldap.key.file.password.stashfile =d:\ <Dateiname_für_Schlüsselkennwort> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der verdeckten Datei. |
Anweisung Ldap.key.fileName
Die Anweisung ldap.key.fileName gibt den Dateinamen der Schlüsseldatenbankdatei an.
Diese Option ist erforderlich, wenn Sie Secure Sockets
Layer (SSL) verwenden.
Syntax |
ldap.key.fileName=d:\<Name_der_Schlüsseldatei> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Vollständig qualifizierter Pfad der Schlüsseldatei |
Anweisung Ldap.key.label
Die Anweisung ldap.key.file.password.stashfile gibt den Namen des Zertifikatkennsatzes an, den der Webserver für die
Authentifizierung beim LDAP-Server verwendet.
Syntax |
MeinServerZertifikat |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein gültiger Kennsatz, der in der Schlüsseldatenbankdatei verwendet wird. Dieser Kennsatz
ist nur erforderlich, wenn Secure Sockets Layer (SSL) verwendet wird und der LDAP-Server vom Webserver eine Clientauthentifizierung
anfordert.
|
Anweisung Ldap.LdapReferralhoplimit
Die Anweisung ldap.LdapReferralHopLimit gibt die maximale Anzahl der zu verfolgenden Bezugsdaten an. Die LDAP-Authentifizierung schlägt fehl, wenn der angegebene Grenzwert überschritten wird.
Syntax |
ldap.LdapReferralHopLimit = <Anzahl_der_Hops |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
0 bis 10 |
Wenn Sie die Anweisung LdapReferralhoplimit verwenden möchten, setzen Sie die Anweisung LdapReferrals auf
on.
Wichtig: Wenn für LdapReferralhoplimit der Wert 0 angegeben wurde,
schlägt die Authentifizierung fehl, wenn Bezugsdaten gefunden werden.
Die Anweisung LdapReferralhoplimit ist wirkungslos, wenn die Anweisung LdapReferrals auf off (Standardeinstellung) gesetzt ist.
Anweisung Ldap.LdapReferrals
Die Anweisung ldap.LdapReferrals gibt an, ob Bezugsdaten (Referrals) (über die eine Clientanforderung an einen anderen LDAP-Server umgeleitet wird)
bei der Durchführung von LDAP-Abfragen verfolgt werden.
Syntax |
ldap.LdapReferrals = off | on |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
off |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
On oder off |
Anweisung Ldap.realm
Die Anweisung ldap.key.realm gibt den Namen des geschützten Bereichs an, der für den anfordernden Client sichtbar ist.
Syntax |
ldap.realm==<Realm> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Eine Beschreibung der geschützten Seite |
Anweisung LDAPRequire
Mit der Anweisung LDAPRequire können Sie den Zugriff auf eine Ressource,
die durch LDAP-Authentifizierung kontrolliert wird, auf eine bestimmte Gruppe von Benutzern beschränken. Sie können mit der Anweisung bestimmte Gruppen, die in LDAP definiert sind, auf der Basis des Gruppentyps
oder einen LDAP-Filtertyp angeben, um eine Benutzergruppe mit ähnlichen Attributwerten zu bestimmen.
Syntax |
LDAPRequire filter <Filtername oder LDAPRequire group <Gruppe1
[Gruppe2.Gruppe3....]> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
oder LDAPRequire group "Beispielsgruppe". Verwenden Sie diese Anweisung in der Datei
httpd.conf.
|
Wenn Sie den Gruppentyp verwenden und mehrere Gruppenwerte angeben, ist die Gruppenauswertung
eine logische UND-Verknüpfung der Gruppen.
Der Benutzer muss ein Member von Beispielgruppe1 und Beispielgruppe2 sein, wenn eine logische ODER-Verknüpfung der Gruppen erforderlich ist.
Wenn ein Benutzer beispielsweise Member von Beispielgruppe1 oder Beispielgruppe2 ist, muss eine neue
LDAP-Gruppe (unsere Abteilungsgruppe auf dem LDAP-Server erstellt werden, die
Beispielgruppe1 und Beispielgruppe2 als Member hat.
In diesem Fall verwenden Sie die folgende Anweisung: LDAPRequire group unsere Abteilungsgruppe.
Anweisung Ldap.search.timeout
Mit der Anweisung ldap.search.timeout können Sie das Zeitlimit (in Sekunden) für die Durchführung von Suchoperationen im LDAP-Server festlegen.
Syntax |
ldap.search.timeout = <Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
10 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit in Sekunden |
Anweisung Ldap.transport
Mit der Anweisung ldap.transport können Sie die für die Kommunikation mit dem LDAP-Server zu verwendende
Transportmethode festlegen.
Syntax |
ldap.transport = TCP |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
TCP |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
TCP oder SSL |
Anweisung Ldap.url
Die Anweisung ldap.url gibt den URL des LDAP-Servers für die Authentifizierung an.
Syntax |
ldap.url = ldap://<hostname:port>/<Basis-DN>Für diese Angaben gilt Folgendes:
|
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Ohne |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Anweisung Ldap.user.authType
Die Anweisung ldap.usr.authType gibt die Methode an, die für die Authentifizierung eines Benutzers verwendet wird,
der einen Webserver anfordert.
Verwenden Sie diesen Namen als Benutzernamen für den Zugriff auf einen LDAP-Server.
Syntax |
ldap.user.authType = BasicIfNoCert |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Basic |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Basic, Cert, BasicIfNoCert |
Anweisung Ldap.user.cert.filter
Die Anweisung ldap.usr.cert.filter gibt den Filter an, der für die Konvertierung
der Informationen im Clientzertifikat verwendet wird, das über SSL (Secure Sockets
Layer) an einen Suchfilter für einen LDAP-Eintrag übergeben wird.
Syntax |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
SSL-Zertifikate enthalten die folgenden Felder, die alle in einen Suchfilter konvertiert werden können:
Zertifikatfeld |
Variable |
Allgemeiner Name |
%v1 |
Organisationseinheit |
%v2 |
Organisation |
%v3 |
Land |
%v4 |
Standort |
%v5 |
Staat oder Land |
%v6 |
Seriennummer |
%v7 |
Wenn Sie den Suchfilter generieren, können Sie die Feldwerte in den entsprechenden
Variablenfeldern (%v1, %v2) finden.
Die folgende Tabelle veranschaulicht die Konvertierung:
Benutzerzertifikat |
Filterkonvertierung |
Zertifikat |
cn=Road Runner, o=Acme Inc, c=US |
Filter |
(cn=%v1, o=%v3, c=%v4) |
Entstehende Abfrage |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Anweisung Ldap.user.name.fieldSep
Die Anweisung ldap.usr.name.fieldSep definiert die gültigen Feldtrennzeichen für die Syntaxanalyse von
Benutzernamen in Feldern.
Syntax |
ldap.user.name.fieldSep=/ |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
Leerzeichen, Komma, Tabulatorzeichen (/t) |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeichen. Wenn '/' das einzige Feldtrennzeichen ist und der Benutzer
"Joe Smith/Acme" eingibt, entspricht '%v2' der Angabe "Acme". |
Anweisung Ldap.user.name.filter
Die Anweisung ldap.usr.name.filter gibt den Filter an, der zum Konvertieren
des Benutzernamens verwendet wird, der in einem Suchfilter für einen LDAP-Eintrag eingegeben wurde.
Syntax |
ldap.user.name.filter=<Filter_für_Benutzername> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
"((objectclass=person) (cn=%v1 %v2))", wobei %v1 und %v2 für Zeichen stehen, die der Benutzer eingibt.
Wenn der Benutzer beispielsweise "Paul
Kelsey" eingibt, ist der entsprechende Suchfilter "((objectclass=person)(cn=Paul
Kelsey))". Die Syntax für Suchfilter ist im Abschnitt "LDAP-Server mit LDAP-Suchfiltern abfragen" beschrieben.
Da der Webserver nicht zwischen mehreren zurückgegebenen Einträgen unterscheiden kann, schlägt die
Authentifizierung fehl, wenn der LDAP-Server mehrere Einträge zurückgibt.
Wenn der Benutzer beispielsweise
ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" verwendet und
Pa Kel eingibt, ist der entsprechende Suchfilter "(cn=Pa*
Kel*)". Der Filter findet mehrere Einträge, z. B. (cn=Paul Kelsey) und
(cn=Paula Kelly), und die Authentifizierung schlägt fehl. Sie müssen Ihren Suchfilter ändern.
|
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Ein LDAP-Filter. Nähere Informationen finden Sie im Abschnitt zur Abfrage des LDAP-Servers
mit LDAP-Suchfiltern. |
Anweisung Ldap.version
Die Anweisung ldap.version gibt die Version des LDAP-Protokolls an,
das für die Verbindungsherstellung zum LDAP-Server verwendet wird. Die LDAP-Version
wird durch die vom LDAP-Server verwendete Protokollversion bestimmt.
Achtung: Diese Anweisung ist optional.
Syntax |
ldap.version=3 |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
ldap.version=3 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
2 oder 3 |
Anweisung Ldap.waitToRetryConnection.interval
Die Anweisung ldap.waitToRetryConnection.interval gibt an, wie lange der Webserver nach einem
fehlgeschlagenen Verbindungsversuch mit einer Wiederholung wartet.
Wenn ein LDAP-Server abstürzt, versucht der Webserver weiter, die Verbindung aufzubauen.
Syntax |
ldap.waitToRetryConnection.interval=<Sekunden> |
Geltungsbereich |
Eine Instanz pro Verzeichniszeilengruppe |
Standardwert |
300 |
Modul |
mod_ibm_ldap |
Mehrere Instanzen in der Konfigurationsdatei |
Ja |
Werte |
Zeit (in Sekunden) |