こららの構成パラメーターは、IBM® HTTP Server の Lightweight Directory
Access Protocol (LDAP) 機能を制御します。
非推奨フィーチャー: LDAP 構成に mod_ibm_ldap モジュールを使用している場合、mod_ibm_ldap ディレクティブを移行して mod_ldap モジュールを使用することを検討してください。mod_ibm_ldap モジュールは、今回の IBM HTTP Server リリースでは以前のリリースとの互換性のために提供されていますが、ご使用の LDAP 構成が今後も確実にサポートされるようにするには、既存の構成を移行して mod_authnz_ldap および mod_ldap モジュールを使用する必要があります。
depfeat
LdapCodepageDir ディレクティブ
以前のバージョンとは異なり、現在ではコード・ページは構成されたサーバーのルート・ディレクトリーではなく IHS インストール・ディレクトリーに自動的にインストールされ、IHS インストール・ディレクトリーに対して相対的に参照されます。
LdapConfigfile ディレクティブ
LdapConfigFile ディレクティブは、
LDAP パラメーターのグループに関連付けられた LDAP プロパティー・ファイルの名前を指示します。
ディレクティブ |
説明 |
構文 |
LdapConfigFile <Fully qualified path to configuration
file> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
c:¥program files¥ibm http server¥conf¥ldap.prop.sample |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
単一構成ファイルへの完全修飾パス。
このディレクティブは、httpd.conf ファイル内で使用します。 |
LDAPRequire ディレクティブ
LDAPRequire ディレクティブは、ユーザーの指定コレクションに対する LDAP 認証によって管理されているリソースへのアクセスを制限する目的で使用します。
グループ・タイプを使用して LDAP に定義されているグループを使用することも、
LDAP フィルター・タイプを使用して属性値の類似セットを持つユーザーのコレクションを指定する
ことも可能です。
名前 |
説明 |
構文 |
LDAPRequire filter <filter name> or LDAPRequire group <group1
[group2.group3....]> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))",
or LDAPRequire group "sample group". このディレクティブは、httpd.conf ファイル内で使用します。
|
グループ・タイプを使用する場合で、複数のグループ値を指定するときは、
グループ検証はグループの論理 AND で行われます。ユーザーは、グループの論理 OR が
必要な場合は、sample Group1 および sample Group2 のメンバーで
なければなりません。
たとえば、あるユーザーが sample Group1 または
sample Group2 のメンバーである場合は、
新規の LDAP グループである our department group は、メンバーとして
sample Group1 および sample Group2 がある LDAP サーバー
上に作成する必要があります。
それから、ディレクティブ LDAPRequire group our Department Group を
使用することになります。
Ldap.application.authType ディレクティブ
Ldap.application.authType ディレクティブは、
Web サーバーを LDAP サーバーに対して認証する方法を指定します。
名前 |
説明 |
構文 |
ldap.application.authType=None |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
- None: LDAP サーバーが Web サーバーの認証を必要としない場合。
- Basic: ユーザー ID として Web サーバーの識別名 (DN) を使用し、
パスワードとして stash ファイル内に保管されたパスワードを使用します。
|
Ldap.application.DN ディレクティブ
Ldap.application.DN ディレクティブは、
Web サーバーの識別名 (DN) を指示します。
基本認証を使用して LDAP サーバーにアクセスする際に、
この名前をユーザー名として使用します。
LDAP サーバー内に指定されたエントリーを使用して、
ディレクトリー・サーバーにアクセスします。
名前 |
説明 |
構文 |
ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
識別名 |
Ldap.application.password.stashFile ディレクティブ
Ldap.application.password.stashFile ディレクティブは、
サーバー認証タイプが Basic である場合に、
アプリケーションが LDAP サーバーに対して認証するための暗号化されたパスワードを格納している stash ファイルの名前を指示します。
名前 |
説明 |
構文 |
ldap.application.password.stashFile=c:¥IHS¥ldap.sth |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
stash ファイルへの完全修飾パス。
この stash ファイルは、ldapstash コマンドを使用して作成できます。 |
Ldap.cache.timeout ディレクティブ
ldap.cache.timeout ディレクティブは、
LDAP サーバーからの応答をキャッシュに入れます。
複数のプロセスとして実行するように Web サーバーを構成すると、
各プロセスは自身のコピーのキャッシュを管理します。
名前 |
説明 |
構文 |
ldap.cache.timeout= <secs> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
600 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
時間最大長 (秒数)。
LDAP サーバーから戻された応答は有効なままです。 |
Ldap.group.attribute ディレクティブ
ldap.group.attributes ディレクティブは、
識別名 (DN) が実際のグループであるかどうかを LDAP 検索を介して判別するために使用するフィルターを指示します。
名前 |
説明 |
構文 |
ldap.group.memberattribute = <attribute> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
uniquegroup |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
ldap attribute - このディレクティブの使用に関する詳細については、
ldap.prop.sample ディレクティブを参照してください。 |
Ldap.group.dnattribute ディレクティブ
ldap.group.dnattributes は、
識別名 (DN) が実際のグループであるかどうかを LDAP 検索を介して判別するために使用するフィルターを指定します。
名前 |
説明 |
構文 |
ldap.group.memberattribute = <ldap filter> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
groupofnames groupofuniquenames |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
ldap filter - このディレクティブの使用に関する詳細については、
ldap.prop.sample ディレクティブを参照してください。 |
Ldap.group.memberattribute ディレクティブ
ldap.group.memberattribute ディレクティブは、
既存のグループから固有のグループを検索するための属性を指定します。
名前 |
説明 |
構文 |
ldap.group.memberattribute = <ldap filter> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
groupofnames groupofuniquenames |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
ldap filter - このディレクティブの使用に関する詳細については、
ldap.prop.sample ディレクティブを参照してください。 |
Ldap.group.memberAttributes ディレクティブ
ldap.group.memberAttributes ディレクティブは、
この関数が LDAP ディレクトリー内にグループ・エントリーを検出すると、
グループ・メンバーを抽出する手段として機能します。
名前 |
説明 |
構文 |
ldap.group.memberAttributes= attribute [attribute2....] |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
member および uniquemember |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
グループ・メンバーの識別名と等しくなければなりません。
メンバー情報を格納するために複数の属性を使用できます。 |
Ldap.group.name.filter ディレクティブ
ldap.group.name.filter ディレクティブは、
グループ名の検索に使用するフィルター LDAP を指示します。
名前 |
説明 |
構文 |
ldap.group.name.filter = <group name filter> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
(&(cn=%v1) (|(objectclass=groupOfNames) (objectclass=groupOfUniqueNames)) |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
LDAP フィルター。
「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |
Ldap.group.search.depth ディレクティブ
ldap.group.search.depth ディレクティブは、LDAPRequire group <group> ディレクティブの指定時にサブグループを検索します。グループには、個々のメンバーおよびその他のグループの両方を含めることができます。
名前 |
説明 |
構文 |
ldap.group.search.depth = <integer depth> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
1 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
整数。
グループの検索を行う際に、認証のプロセス内のメンバーが、必要なグループのメンバーでない場合、
必要なグループのサブグループもすべて検索されます。
以下に例を示します。group1 >group2 (group2 is a member of group1)
group2 >group3 (group3 is a member of group2)
group3 >jane (jane is a member of group3)
ジェーンを検索する場合で、
彼女を group1 のメンバーとして要求すると、
検索はデフォルトの ldap.search.depth 値の 1 を表示して失敗します。
ldap.group.search.depth>2 を指定すると、検索は成功します。
ldap.group.search.depth=<depth to search -- number> を使用して、
サブグループ検索の深さを限定します。このタイプの検索は、LDAP サーバー上で非常に集約的になる可能性があります。
group1 が group2 をメンバーとして含み、group2 が group1 をメンバーとして含む場合、
このディレクティブは検索の深さを限定します。
上記の例では、group1 は 深さの 1 を含み、group2 は深さの 2 を含み、
group3 は深さの 3 を含んでいます。
|
Ldap.group.URL ディレクティブ
ldap.group.URL ディレクティブは、
同じ LDAP サーバー上のグループに異なるロケーションを指定します。
ldap.URL ディレクティブで指定された LDAP サーバーとは異なる LDAP サーバーを指定する場合は、
このディレクティブを使用することはできません。
名前 |
説明 |
構文 |
ldap.group.URL = ldap://<hostname:port>/<BaseDN> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
- host name: LDAP サーバーのホスト名。
- port number: LDAP サーバーが listen するオプションのポート番号。
TCP 接続用のデフォルトは 389 です。
SSL を使用する場合は、ポート番号を指定する必要があります。
- BaseDN: グループの検索を実行する LDAP ツリーのルートを指定します。
|
重要:
グループの LDAP URL が、
ldap.URL プロパティーによって指定された URL と異なる場合、
このプロパティーが必要になります。
Ldap.idleConnection.timeout ディレクティブ
ldap.idleConnection.timeout ディレクティブは、
パフォーマンスのため、LDAP サーバーへの接続をキャッシュに入れます。
名前 |
説明 |
構文 |
ldap.idleConection.timeout = <secs> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
600 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
アイドル LDAP サーバー接続が非アクティブ状態のために閉じられるまでの時間の長さ (秒数)。 |
Ldap.key.file.password.stashfile ディレクティブ
ldap.key.file.password.stashfile ディレクティブは、
暗号化された鍵ファイル・パスワードを格納している stash ファイルを指示します。
この stash ファイルを作成するには、ldapstash コマンドを使用します。
名前 |
説明 |
構文 |
ldap.key.file.password.stashfile =d:¥ <Key password
file name> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
stash ファイルへの完全修飾パス。 |
Ldap.key.fileName ディレクティブ
ldap.key.fileName ディレクティブは、
鍵ファイル・データベースのファイル名を指示します。
このオプションは、Secure Sockets Layer (SSL) を使用する場合に必須となります。
名前 |
説明 |
構文 |
ldap.key.fileName=d:¥<Key file name> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
鍵ファイルへの完全修飾パス。 |
Ldap.key.label ディレクティブ
ldap.key.file.password.stashfile ディレクティブは、
Web サーバーが LDAP サーバーに対する認証に使用する証明書ラベル名を指示します。
名前 |
説明 |
構文 |
My Server Certificate |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
鍵データベース・ファイル内で使用される有効なラベル。
Secure Sockets Layer (SSL) を使用する場合で、
LDAP サーバーが Web サーバーからのクライアント認証を要求する場合にのみ、このラベルが必要になります。 |
LdapReferralhoplimit ディレクティブ
LdapReferralHopLimit ディレクティブは、追跡する参照の
最大数を示します。指定された制限を超える場合、LDAP 認証は失敗します。
名前 |
説明 |
構文 |
LdapReferralHopLimit = <number_of_hops> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
10 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
0 から 10 |
LdapReferralhoplimit ディレクティブを使用するには、LdapReferrals ディレクティブを
on に設定します。
重要: LdapReferralhoplimit 値を 0 にすると、
参照が検出されない場合は、認証が失敗します。
LdapReferralhoplimit ディレクティブは、LdapReferrals ディレクティブが
off (デフォルト) の場合には意味を持ちません。
LdapReferrals ディレクティブ
LdapReferrals ディレクティブは、LDAP 照会の実行中に、
検索のために参照 (別の LDAP サーバーに対してクライアント要求のリダイレクトを行う) が
追跡されるかどうかを示します。
名前 |
説明 |
構文 |
LdapReferrals = off | on |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
off |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
on または off |
Ldap.realm ディレクティブ
ldap.key.realm ディレクティブは、
要求側のクライアントが認識する保護域の名前を指示します。
名前 |
説明 |
構文 |
ldap.realm=<Protection Realm> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
保護ページを説明する記述。 |
Ldap.search.timeout ディレクティブ
ldap.search.timeout ディレクティブは、
LDAP サーバーによる検索操作の完了を待機する最大時間 (秒数) を指示します。
名前 |
説明 |
構文 |
ldap.search.timeout = <secs> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
10 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
時間の長さ (秒数)。 |
Ldap.transport ディレクティブ
ldap.transport ディレクティブは、
LDAP サーバーとの通信に使用されるトランスポート方法を指示します。
名前 |
説明 |
構文 |
ldap.transport = TCP |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
TCP |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
TCP または SSL |
Ldap.url ディレクティブ
ldap.url ディレクティブは、
認証される LDAP サーバーの URL を指示します。
名前 |
説明 |
構文 |
ldap.url = ldap://<hostname:port>/<BaseDN>
|
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
なし |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
Ldap.user.authType ディレクティブ
ldap.usr.authType ディレクティブは、
Web サーバーを要求するユーザーを認証する方法を指示します。
LDAP サーバーにアクセスする際に、この名前をユーザー名として使用します。
名前 |
説明 |
構文 |
ldap.user.authType = BasicIfNoCert |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
基本 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
Basic, Cert, BasicIfNoCert |
Ldap.user.cert.filter ディレクティブ
ldap.usr.cert.filter ディレクティブは、
Secure Sockets Layer (SSL) を介して渡されるクライアント証明書内の情報を
LDAP エントリー用の検索フィルターに変換するために使用されるフィルターを指示します。
名前 |
説明 |
構文 |
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)) |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))" |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
LDAP フィルター。
「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |
Secure Socket Layer (SSL) 証明書には、以下のフィールドが含まれており、
これらはすべて検索フィルターに変換することができます。
証明書フィールド |
変数 |
共通名 |
%v1 |
組織単位 |
%v2 |
organization |
%v3 |
国 |
%v4 |
市町村 |
%v5 |
都道府県 |
%v6 |
シリアル番号 |
%v7 |
検索フィルターを生成すると、
フィールド値は、該当する変数フィールド (%v1、%v2) に入っています。
以下の表では、変換を示します。
ユーザー証明書 |
フィルター変換 |
証明書 |
cn=Road Runner, o=Acme Inc, c=US |
フィルター |
(cn=%v1, o=%v3, c=%v4) |
結果として得られる照会 |
(cn=RoadRunner, o=Acme, Inc, c=US) |
Ldap.user.name.fieldSep ディレクティブ
ldap.usr.name.fieldSep ディレクティブは、
フィールドへのユーザー名を構文解析する際に、
文字を有効なフィールド分離文字として指示します。
名前 |
説明 |
構文 |
ldap.user.name.fieldSep=/ |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
スペース、コンマ、およびタブ (/t) 文字。 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
文字。
「/」が唯一のフィールド分離文字を表す場合に「Joe Smith/Acme」と入力すると、「%v2」が「Acme」と等しくなります。 |
Ldap.user.name.filter ディレクティブ
ldap.usr.name.filter ディレクティブは、
検索フィルターに入力されたユーザー名を LDAP エントリーに変換するために使用されるフィルターを指示します。
名前 |
説明 |
構文 |
ldap.user.name.filter=<user name filter> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
"((objectclass=person) (cn=%v1 %v2))"、
ここで、%v1 と %v2 は、
ユーザーによって入力された文字を表します。
例えば、ユーザーが「Paul Kelsey」と入力すると、
結果として得られる検索フィルターは、
「((objectclass=person)(cn=Paul Kelsey))」となります。
検索フィルター構文については、
「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。
ただし、Web サーバーは、複数の戻されたエントリーを区別できないため、
LDAP サーバーが複数のエントリーを戻すと、認証は失敗します。
例えば、ユーザーが ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" を作成し、
Pa Kel と入力すると、
結果として得られる検索フィルターは「(cn=Pa* Kel*)」となります。
フィルターは、(cn=Paul Kelsey) や (cn=Paula Kelly) などの複数のエントリーを検出して、
認証が失敗します。
検索フィルターを変更する必要があります。
|
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
LDAP フィルター。
「LDAP 検索フィルターを使用した LDAP サーバーの照会」を参照してください。 |
Ldap.version ディレクティブ
ldap.version ディレクティブは、
LDAP サーバーへの接続に使用される LDAP プロトコルのバージョンを指示します。
LDAP サーバーによって使用されるプロトコル・バージョンは、LDAP バージョ
ンを判別します。
重要: このディレクティブはオプションです。
名前 |
説明 |
構文 |
ldap.version=3 |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
ldap.version=3 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
2 または 3 |
Ldap.waitToRetryConnection.interval ディレクティブ
ldap.waitToRetryConnection.interval ディレクティブは、
Web サーバーが、失敗した接続試行間に待機する時間を指示します。
LDAP サーバーが停止すると、Web サーバーは引き続き接続を試行します。
構文 |
ldap.waitToRetryConnection.interval=<secs> |
有効範囲 |
ディレクトリー・スタンザごとの単一インスタンス |
デフォルト |
300 |
モジュール |
mod_ibm_ldap |
構成ファイル内の複数インスタンス |
あり |
値 |
時間 (秒数) |