IBM HTTP Server para WebSphere Application Server, Versión 6.1
             Sistemas operativos: AIX, HP-UX, Linux, Solaris, Windows

             Personalice la tabla de contenido y los resultados de la búsqueda

Directivas LDAP

Estos parámetros de configuración controlan la característica LDAP (Lightweight Directory Access Protocol) de IBM HTTP Server.

Directiva LdapCodepageDir

La directiva LdapCodepageDir especifica la vía de acceso completa al directorio de páginas de código que se instala con IBM HTTP Server.
Sintaxis ldap.CodepageDir <vía_acceso_completa_a_directorio_páginas_código>
Ámbito Servidor global o host virtual
Valor predeterminado <raíz_servidor>/codepages
Module mod_ibm_ldap
Varias instancias del archivo de configuración Una instancia en la configuración global.

Directiva LdapConfigfile

La directiva LdapConfigFile indica el nombre del archivo de propiedades LDAP asociado a un grupo de parámetros LDAP.
Sintaxis LdapConfigFile <vía de acceso plenamente cualificada al archivo de configuración>
Ámbito Instancia única por stanza de directorio
Valor predeterminado c:\Archivos de programa\ibm http server\conf\ldap.prop.sample
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada a un solo archivo de configuración. Utilice esta directiva en el archivo httpd.conf.

Directiva LDAPRequire

La directiva uire se utiliza para limitar el acceso a recursos que se controlan mediante la autenticación LDAP con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto similar de valores de atributo.
Sintaxis uire filter <nombre de filtro> o uire group <grupo1 [grupo2.grupo3....]>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", o uire group "grupo de ejemplo".

Utilice esta directiva en el archivo httpd.conf.

Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo, entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: uire group nuestro grupo de departamento.

Directiva Ldap.application.authType

La directiva Ldap.application.authType especifica el método para autenticar el servidor Web con el servidor LDAP.
Sintaxis ldap.application.authType=None
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores
  • Ninguna: si el servidor de LDAP no requiere que se autentique el servidor Web.
  • Básica: utiliza el nombre distinguido (DN) del servidor Web como el ID de usuario y la contraseña almacenada en el archivo stash, como la contraseña.

Directiva Ldap.application.DN

La directiva Ldap.application.DN indica el nombre distinguido (DN) del servidor Web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP utilizando la autenticación básica. Utilice la entrada especificada en el servidor LDAP para acceder al servidor de directorio.
Sintaxis ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Nombre distinguido

Directiva Ldap.application.password.stashFile

La directiva Ldap.application.password.stashFile indica el nombre del archivo de contraseñas que contiene la contraseña cifrada para que la autentique la aplicación con el servidor LDAP cuando el tipo de autenticación del servidor es básico.
Sintaxis ldap.application.password.stashFile=c:\IHS\ldap.sth
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo stash. Puede crear este archivo stash con el mandato ldapstash.

Directiva Ldap.cache.timeout

La directiva ldap.cache.timeout almacena en memoria caché respuestas del servidor LDAP. Si configura el servidor Web para que se ejecute en varios procesos, cada proceso gestiona su propia copia de la memoria caché.
Sintaxis ldap.cache.timeout= <segs>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 600
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores La longitud máxima de tiempo, en segundos, que sigue siendo válida una respuesta devuelta por el servidor LDAP.

Directiva Ldap.group.attribute

La directiva ldap.group.attributes indica el filtro que se utiliza para determinar si un nombre distinguido (DN) es un grupo real en una búsqueda de LDAP.
Sintaxis ldap.group.memberattribute = <atributo>
Ámbito Instancia única por stanza de directorio
Valor predeterminado uniquegroup
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un atributo de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.dnattribute

La directiva ldap.group.dnattributes especifica el filtro utilizado para determinar, a través de una búsqueda de LDAP, si un nombre distinguido (DN) es un grupo real.
Sintaxis ldap.group.memberattribute = <filtro de ldap>
Ámbito Instancia única por stanza de directorio
Valor predeterminado groupofnames groupofuniquenames
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.memberattribute

La directiva ldap.group.memberattribute especifica el atributo para recuperar grupos únicos de grupos existentes.
Sintaxis ldap.group.memberattribute = <filtro de ldap>
Ámbito Instancia única por stanza de directorio
Valor predeterminado groupofnames groupofuniquenames
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro de ldap: consulte la directiva ldap.prop.sample para obtener más información sobre el uso de esta directiva.

Directiva Ldap.group.memberAttributes

La directiva ldap.group.memberAttributes sirve como un medio de extraer miembros de grupo, una vez que la función encuentra una entrada de grupo en un directorio de LDAP.
Sintaxis ldap.group.memberAttributes= atributo [atributo2....]
Ámbito Instancia única por stanza de directorio
Valor predeterminado member y uniquemember
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Debe ser igual que los nombres distinguidos de los miembros del grupo. Puede utilizar más de un atributo para contener información del miembro.

Directiva Ldap.group.name.filter

La directiva ldap.group.name.filter indica el filtro que utiliza LDAP para buscar nombres de grupo.
Sintaxis ldap.group.name.filter = <filtro de nombre de grupo>
Ámbito Instancia única por stanza de directorio
Valor predeterminado (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames))
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Directiva Ldap.group.search.depth

La directiva ldap.group.search.depth busca subgrupos al especificar las directivas uire group <grupo>. Los grupos pueden contener miembros individuales y otros grupos.
Sintaxis ldap.group.search.depth = <profundidad en entero>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 1
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un entero. Cuando se realiza una búsqueda de un grupo, si un miembro del proceso de autenticación no forma parte del grupo requerido, también se busca en los subgrupos del grupo requerido. Por ejemplo:
grupo1 >grupo2 (grupo2 es miembro del grupo1)
grupo2 >grupo3 (grupo3 es miembro del grupo2)
grupo3 >jane   (jane es miembro del grupo3)

Si busca jane y requiere que sea miembro del grupo1, la búsqueda no lo encuentra y produce el valor por omisión para ldap.search.depth de 1. Si especifica ldap.group.search.depth>2, la búsqueda resulta satisfactoria.

Utilice ldap.group.search.depth=<profundidad de búsqueda -- número> para limitar la profundidad de las búsquedas de subgrupos. Este tipo de búsqueda puede resultar muy intensiva en un servidor LDAP. Donde el grupo1 tiene el grupo2 como miembro y el grupo2 tiene el grupo3 como miembro, esta directiva limita la profundidad de la búsqueda. En el ejemplo anterior, el grupo1 tiene una profundidad de 1, el grupo2 tiene una profundidad de 2 y el grupo3 tiene una profundidad de 3.

Directiva Ldap.group.URL

La directiva ldap.group.URL especifica una ubicación distinta para un grupo en el mismo servidor LDAP. No puede utilizar esta directiva para especificar un servidor LDAP distinto del que se ha especificado en la directiva ldap.URL.

Sintaxis ldap.group.URL = ldap://<nombresistemaprpal:puerto>/<DNBase>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores
  • nombre de host: nombre de host del servidor LDAP.
  • número de puerto: número de puerto opcional en el que está a la escucha el servidor LDAP. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto.
  • DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de grupos.
Atención:
Esta propiedad es necesaria si el URL de LDAP para grupos es distinto del URL especificado por la propiedad ldap.URL.

Directiva Ldap.idleConnection.timeout

La directiva ldap.idleConnection.timeout almacena en memoria caché conexiones con el servidor LDAP para el rendimiento
Sintaxis ldap.idleConection.timeout = <segs>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 600
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Longitud de tiempo, en segundos, antes de que una conexión de servidor LDAP inactiva se cierre debido a la inactividad.

Directiva Ldap.key.file.password.stashfile

La directiva ldap.key.file.password.stashfile indica el archivo stash que contiene la contraseña del archivo de claves cifradas; utilice el mandato ldapstash para crear este archivo stash.
Sintaxis ldap.key.file.password.stashfile =d:\ <nombre de archivo de contraseñas de claves>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo stash.

Directiva Ldap.key.fileName

La directiva ldap.key.fileName indica el nombre de archivo de la base de datos del archivo de claves. Esta opción es necesaria cuando se utiliza SSL (Secure Sockets Layer).
Sintaxis ldap.key.fileName=d:\<nombre de archivo de claves>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Vía de acceso plenamente cualificada al archivo de claves.

Directiva Ldap.key.label

La directiva ldap.key.file.password.stashfile indica el nombre de etiqueta del certificado que el servidor Web utiliza para autenticarse con el servidor LDAP.
Sintaxis Mi certificado de servidor
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Etiqueta válida utilizada en el archivo de base de datos de claves. Esta etiqueta sólo es necesaria cuando se utiliza SSL (Secure Sockets Layer) y el servidor LDAP solicita autenticación de cliente del servidor Web.

Directiva Ldap.LdapReferralhoplimit

La directiva ldap.LdapReferralHopLimit indica el número máximo de referencias que se van a seguir. La autenticación de LDAP fallará si se supera el límite especificado.
Sintaxis ldap.LdapReferralHopLimit = <número_de_saltos
Ámbito Instancia única por stanza de directorio
Valor predeterminado 10
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores De 0 a 10
Establezca la directiva LdapReferrals on para utilizar la directiva LdapReferralhoplimit.
Importante: Un valor 0 de LdapReferralhoplimit hará que falle la autenticación, si se encuentra alguna referencia.

La directiva LdapReferralhoplimit no es significativa si la directiva LdapReferrals es off (por omisión).

Directiva Ldap.LdapReferrals

La directiva ldap.LdapReferrals indica si las referencias (que redireccionan una petición de cliente a otro servidor LDAP) se utilizarán para las búsquedas mientras se realizan consultas de LDAP.
Sintaxis ldap.LdapReferrals = off | on
Ámbito Instancia única por stanza de directorio
Valor predeterminado off
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores On u off

Directiva Ldap.realm

La directiva ldap.key.realm indica el nombre del área protegida, como lo ve el cliente solicitante.
Sintaxis ldap.realm==<reino de protección>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Una descripción de la página protegida.

Directiva uire

La directiva uire se utiliza para limitar el acceso a recursos que se controlan mediante la autenticación LDAP con una colección de usuarios especificada. Puede utilizar grupos que están definidos en LDAP utilizando el tipo de grupo o puede utilizar un tipo de filtro LDAP para designar una colección de usuarios con un conjunto similar de valores de atributo.
Sintaxis uire filter <nombre de filtro> o uire group <grupo1 [grupo2.grupo3....]>
Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", o uire group "grupo de ejemplo".

Utilice esta directiva en el archivo httpd.conf.

Si se utiliza el tipo de grupo y se especifican varios valores de grupo, la validación del grupo es una operación AND lógica de los grupos. Un usuario debe ser miembro de Grupo1 de ejemplo y Grupo2 de ejemplo2 si es necesaria una operación OR lógica de grupos. Por ejemplo, si un usuario es un miembro de Grupo1 de ejemplo o Grupo2 de ejemplo, entonces debería crearse un nuevo grupo LDAP, nuestro grupo de departamento, en el servidor LDAP que tenga de miembros Grupo1 de ejemplo y Grupo2 de ejemplo. Entonces utilizaría la directiva: uire group nuestro grupo de departamento.

Directiva Ldap.search.timeout

La directiva ldap.search.timeout indica el tiempo máximo, en segundos, que se debe esperar para que un servidor LDAP complete una operación de búsqueda.
Sintaxis ldap.search.timeout = <segs>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 10
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Longitud de tiempo, en segundos.

Directiva Ldap.transport

La directiva ldap.transport indica el método de transporte utilizado para comunicarse con el servidor LDAP.
Sintaxis ldap.transport = TCP
Ámbito Instancia única por stanza de directorio
Valor predeterminado TCP
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores TCP o SSL

Directiva Ldap.url

La directiva ldap.url indica la dirección URL del servidor LDAP con el que se va a realizar la autenticación.
Sintaxis ldap.url = ldap://<nombresistemaprpal:puerto>/<DNBase>
donde:
  • nombresistemaprpal: representa el nombre de host del servidor LDAP.
  • puerto: representa el número de puerto opcional en el que el servidor LDAP realiza la escucha. Las conexiones TCP toman por omisión el valor 389. Debe especificar el número de puerto si utiliza SSL.
  • DNBase: proporciona la raíz del árbol LDAP en el que se va a realizar la búsqueda de usuarios.

    Por ejemplo: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industria, c=España>

Ámbito Instancia única por stanza de directorio
Valor predeterminado None
Module mod_ibm_ldap
Varias instancias del archivo de configuración

Directiva Ldap.user.authType

La directiva ldap.usr.authType indica el método de autenticar el usuario que solicita un servidor Web. Utilice este nombre como el nombre de usuario cuando acceda al servidor LDAP.
Sintaxis ldap.user.authType = BasicIfNoCert
Ámbito Instancia única por stanza de directorio
Valor predeterminado Básico
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Basic, Cert, BasicIfNoCert

Directiva Ldap.user.cert.filter

La directiva ldap.usr.cert.filter indica el filtro que se utiliza para convertir la información del certificado de cliente pasada en SSL (Secure Sockets Layer) a un filtro de búsqueda de entradas LDAP.
Sintaxis ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Ámbito Instancia única por stanza de directorio
Valor predeterminado "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Los certificados SSL (Secure Socket Layer) incluyen los campos siguientes, todos ellos los puede convertir en filtros de búsqueda:

Campo del certificado Variable
nombre común %v1
unidad organizativa %v2
organización %v3
país %v4
localidad %v5
provincia o país %v6
número de serie %v7
Cuando genera el filtro de búsqueda, puede encontrar los valores de campo en los campos de variables coincidentes (%v1, %v2). La tabla siguiente muestra la conversión:
Certificado de usuario Conversión de filtro
Certificado nc=Pedro Sánchez, o=Acme S.L., p=España
Filtro (nc=%v1, o=%v3, p=%v4)
Consulta resultante (nc=Pedro Sánchez, o=Acme, S.L., p=España)

Directiva Ldap.user.name.fieldSep

La directiva ldap.usr.name.fieldSep indica que los caracteres son separadores de campo válidos cuando se analiza el nombre de usuario en campos.
Sintaxis ldap.user.name.fieldSep=/
Ámbito Instancia única por stanza de directorio
Valor predeterminado El carácter de espacio, coma y tabulador (/t).
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Caracteres. Si '/' representa el único carácter separador de campo y el usuario especifica "Jorge Sánchez/Acme", entonces '%v2' es igual a "Acme".

Directiva Ldap.user.name.filter

La directiva ldap.usr.name.filter indica el filtro utilizado para convertir el nombre de usuario especificado en filtros de búsqueda de entradas LDAP.

Sintaxis ldap.user.name.filter=<filtro de nombre de usuario>
Ámbito Instancia única por stanza de directorio
Valor predeterminado "((objectclass=person) (cn=%v1 %v2))", donde %v1 y %v2 representan caracteres especificados por el usuario.

Por ejemplo, si el usuario especifica "Pablo Rey", el filtro de búsqueda resultante pasa a ser "((objectclass=person)(cn=Pablo Rey))". Puede encontrar la sintaxis del filtro de búsqueda descrita en el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

No obstante, dado que el servidor Web no puede diferenciar entre varias entradas devueltas, se produce un error de autenticación cuando el servidor LDAP devuelve más de una entrada. Por ejemplo, si el usuario crea el filtro ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" y especifica Pa Re, el filtro de búsqueda resultante pasa a ser "(cn=Pa* Re*)". El filtro encuentra varias entradas como (cn=Pablo Rey) y (cn=Pablo Reyes) y se produce un error de autenticación. Debe modificar el filtro de búsqueda.

Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Un filtro LDAP. Consulte el apartado Consulta del servidor LDAP con filtros de búsqueda de LDAP.

Directiva Ldap.version

La directiva ldap.version indica la versión del protocolo LDAP utilizado para conectar con el servidor LDAP. La versión del protocolo que utiliza el servidor LDAP determina la versión de LDAP.

Atención: Esta directiva es opcional.
Sintaxis ldap.version=3
Ámbito Instancia única por stanza de directorio
Valor predeterminado ldap.version=3
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores 2 ó 3

Directiva Ldap.waitToRetryConnection.interval

La directiva ldap.waitToRetryConnection.interval indica el tiempo que espera el servidor Web entre intentos fallidos de conexión.

Si un servidor LDAP se desactiva, el servidor Web continúa intentando conectarse.

Sintaxis ldap.waitToRetryConnection.interval=<segs>
Ámbito Instancia única por stanza de directorio
Valor predeterminado 300
Module mod_ibm_ldap
Varias instancias del archivo de configuración
Valores Tiempo (en segundos)



Tareas relacionadas
Autenticación con LDAP en IBM HTTP Server (sistemas distribuidos)
Tema de referencia    

Condiciones de uso | Comentarios

Última actualización: Feb 19, 2009 4:09:23 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ldapdirs.html