こららの構成パラメーターは、IBM HTTP Server の Lightweight Directory Access Protocol (LDAP) 機能を制御します。
構文 | ldap.CodepageDir <full_path_to_codpages_directory> |
有効範囲 | グローバル・サーバーまたは仮想ホスト |
デフォルト | <server_root>/codepages |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | グローバル構成内に 1 つのインスタンス。 |
構文 | LdapConfigFile <Fully qualified path to configuration file> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | c:¥program files¥ibm http server¥conf¥ldap.prop.sample |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 単一構成ファイルへの完全修飾パス。 このディレクティブは、httpd.conf ファイル内で使用します。 |
構文 | uire filter <filter name> or uire group <group1 [group2.group3....]> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or uire group "sample group". このディレクティブは、httpd.conf ファイル内で使用します。 |
グループ・タイプを使用する場合で、複数のグループ値を指定するときは、 グループ検証はグループの論理 AND で行われます。ユーザーは、グループの論理 OR が 必要な場合は、sample Group1 および sample Group2 のメンバーで なければなりません。 たとえば、あるユーザーが sample Group1 または sample Group2 のメンバーである場合は、 新規の LDAP グループである our department group は、メンバーとして sample Group1 および sample Group2 がある LDAP サーバー 上に作成する必要があります。 その後、ディレクティブ uire group our Department Group を 使用することになります。
構文 | ldap.application.authType=None |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 |
|
構文 | ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 識別名 |
構文 | ldap.application.password.stashFile=c:¥IHS¥ldap.sth |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | stash ファイルへの完全修飾パス。 この stash ファイルは、ldapstash コマンドを使用して作成できます。 |
構文 | ldap.cache.timeout= <secs> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 600 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 時間最大長 (秒数)。 LDAP サーバーから戻された応答は有効なままです。 |
構文 | ldap.group.memberattribute = <attribute> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | uniquegroup |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | ldap attribute - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。 |
構文 | ldap.group.memberattribute = <ldap filter> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | groupofnames groupofuniquenames |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | ldap filter - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。 |
構文 | ldap.group.memberattribute = <ldap filter> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | groupofnames groupofuniquenames |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | ldap filter - このディレクティブの使用に関する詳細については、 ldap.prop.sample ディレクティブを参照してください。 |
構文 | ldap.group.memberAttributes= attribute [attribute2....] |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | member および uniquemember |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | グループ・メンバーの識別名と等しくなければなりません。 メンバー情報を格納するために複数の属性を使用できます。 |
構文 | ldap.group.name.filter = <group name filter> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | (&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |
構文 | ldap.group.search.depth = <integer depth> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 1 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 整数。
グループの検索を行う際に、認証のプロセス内のメンバーが、必要なグループのメンバーでない場合、
必要なグループのサブグループもすべて検索されます。
以下に例を示します。group1 >group2 (group2 is a member of group1) group2 >group3 (group3 is a member of group2) group3 >jane (jane is a member of group3) ジェーンを検索する場合で、 彼女を group1 のメンバーとして要求すると、 検索はデフォルトの ldap.search.depth 値の 1 を表示して失敗します。 ldap.group.search.depth>2 を指定すると、検索は成功します。 ldap.group.search.depth=<depth to search -- number> を使用して、 サブグループ検索の深さを限定します。 このタイプの検索は、LDAP サーバー上で非常に集約的になる可能性があります。 group1 が group2 をメンバーとして含み、group2 が group1 をメンバーとして含む場合、 このディレクティブは検索の深さを限定します。 上記の例では、group1 は 深さの 1 を含み、group2 は深さの 2 を含み、 group3 は深さの 3 を含んでいます。 |
ldap.group.URL ディレクティブは、 同じ LDAP サーバー上のグループに異なるロケーションを指定します。 ldap.URL ディレクティブで指定された LDAP サーバーとは異なる LDAP サーバーを指定する場合は、 このディレクティブを使用することはできません。
構文 | ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 |
|
構文 | ldap.idleConection.timeout = <secs> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 600 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | アイドル LDAP サーバー接続が非アクティブ状態のために閉じられるまでの時間の長さ (秒数)。 |
構文 | ldap.key.file.password.stashfile =d:¥ <Key password file name> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | stash ファイルへの完全修飾パス。 |
構文 | ldap.key.fileName=d:¥<Key file name> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 鍵ファイルへの完全修飾パス。 |
構文 | My Server Certificate |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 鍵データベース・ファイル内で使用される有効なラベル。 Secure Sockets Layer (SSL) を使用する場合で、 LDAP サーバーが Web サーバーからのクライアント認証を要求する場合にのみ、このラベルが必要になります。 |
構文 | ldap.LdapReferralHopLimit = <number_of_hops> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 10 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 0 から 10 |
LdapReferralhoplimit ディレクティブは、LdapReferrals ディレクティブが off (デフォルト) の場合には意味を持ちません。
構文 | ldap.LdapReferrals = off | on |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | off |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | on または off |
構文 | ldap.realm==<Protection Realm> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 保護ページを説明する記述。 |
構文 | uire filter <filter name> or uire group <group1 [group2.group3....]> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | uire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or uire group "sample group". このディレクティブは、httpd.conf ファイル内で使用します。 |
グループ・タイプを使用する場合で、複数のグループ値を指定するときは、 グループ検証はグループの論理 AND で行われます。ユーザーは、グループの論理 OR が 必要な場合は、sample Group1 および sample Group2 のメンバーで なければなりません。 たとえば、あるユーザーが sample Group1 または sample Group2 のメンバーである場合は、 新規の LDAP グループである our department group は、メンバーとして sample Group1 および sample Group2 がある LDAP サーバー 上に作成する必要があります。 その後、ディレクティブ uire group our Department Group を 使用することになります。
構文 | ldap.search.timeout = <secs> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 10 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 時間の長さ (秒数)。 |
構文 | ldap.transport = TCP |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | TCP |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | TCP または SSL |
構文 | ldap.url = ldap://<hostname:port>/<BaseDN> 各部の意味は、次のとおりです。
|
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | なし |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
構文 | ldap.user.authType = BasicIfNoCert |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | 基本 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | Basic, Cert, BasicIfNoCert |
構文 | ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |
Secure Socket Layer (SSL) 証明書には、以下のフィールドが含まれており、 これらはすべて検索フィルターに変換することができます。
証明書フィールド | 変数 |
共通名 | %v1 |
組織単位 | %v2 |
組織 | %v3 |
国 | %v4 |
市町村 | %v5 |
都道府県 | %v6 |
シリアル番号 | %v7 |
ユーザー証明書 | フィルター変換 |
証明書 | cn=Road Runner, o=Acme Inc, c=US |
フィルター | (cn=%v1, o=%v3, c=%v4) |
結果として得られる照会 | (cn=RoadRunner, o=Acme, Inc, c=US) |
構文 | ldap.user.name.fieldSep=/ |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | スペース、コンマ、およびタブ (/t) 文字。 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | 文字。 「/」がフィールド分離文字のみを表す場合、 ユーザーが「Joe Smith/Acme」と入力すると、 「%v2」は「Acme」と等しくなります。 |
ldap.usr.name.filter ディレクティブは、 検索フィルターに入力されたユーザー名を LDAP エントリーに変換するために使用されるフィルターを指示します。
構文 | ldap.user.name.filter=<user name filter> |
有効範囲 | ディレクトリー・スタンザごとの単一インスタンス |
デフォルト | "((objectclass=person) (cn=%v1 %v2))"、
ここで、%v1 と %v2 は、
ユーザーによって入力された文字を表します。
例えば、ユーザーが「Paul Kelsey」と入力すると、 結果として得られる検索フィルターは、 「((objectclass=person)(cn=Paul Kelsey))」となります。 検索フィルター構文については、 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 ただし、Web サーバーは、複数の戻されたエントリーを区別できないため、 LDAP サーバーが複数のエントリーを戻すと、認証は失敗します。 例えば、ユーザーが ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" を作成し、 Pa Kel と入力すると、 結果として得られる検索フィルターは「(cn=Pa* Kel*)」となります。 フィルターは、(cn=Paul Kelsey) や (cn=Paula Kelly) などの複数のエントリーを検出して、 認証が失敗します。 検索フィルターを変更する必要があります。 |
モジュール | mod_ibm_ldap |
構成ファイル内の複数インスタンス | あり |
値 | LDAP フィルター。 「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |