Direttive LDAP: IBM HTTP Server

Uso delle direttive di Lightweight Directory Access Protocol

In questa sezione vengono fornite informazioni sulle direttive di Lightweight Directory Access Protocol (LDAP). Queste direttive funzionano su tutte le piattaforme supportate. Queste informazioni includono le descrizioni delle specifiche direttive, i valori, le impostazioni predefinite e le specifiche note Suggerimenti . I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

LdapConfigFile

Descrizione: indica il nome del file delle proprietà LDAP associato al gruppo di parametri LDAP.
Impostazione predefinita: c:\program files\ibm http server\conf\ldap.prop.sample.
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: LdapConfigFile <percorso completo al file di configurazione>
Valori: percorso completo ad un singolo file di configurazione.

Suggerimento utilizzare questa direttiva nel file httpd.conf.

LDAPRequire

Descrizione: indica il gruppo quando si utilizza l'autenticazione LDAP.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: LDAPRequire filter <nome filtro> o LDAPRequire group <gruppo1 [gruppo2.gruppo3....]>
Valori: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", o LDAPRequire group "gruppo campione".

Suggerimento: Utilizzare questa direttiva nel file httpd.conf.

ldap.application.authType

Descrizione: specifica il metodo di autenticazione del server Web sul server LDAP.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.application.authType=None
Valori:
- None: se il server LDAP non richiede il server Web per l'autenticazione.
- Basic: utilizza il nome distinto (DN, Distinguished Name) del server Web come ID utente e la password memorizzata nel file stash come password.

ldap.application.DN

Descrizione: indica il DN del server Web. Utilizzare questo nome come nome utente quando si accede ad un server LDAP utilizzando l'autenticazione di base. Per accedere al server della directory, utilizzare i dati immessi nel server LDAP.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
Valori: ND (Distinguished Name)

ldap.application.password.stashFile

Descrizione: indica il nome del file stash che contiene la password codificata per l'applicazione da autenticare nel server LDAP quando il tipo di autenticazione è quello di base.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.application.password.stashFile=c:\IHS\ldap.sth
Valori: percorso completo al file stash.

Suggerimento: È possibile creare questo file stash con il comando ldapstash.

ldap.cache.timeout

Descrizione: memorizzazione nella cache delle risposte provenienti dal server LDAP. Se si configura il server Web per l'esecuzione come più processi, ogni processo gestisce la propria copia della cache.
Impostazione predefinita: 600
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.cache.timeout=<secondi>
Valori: il tempo massimo espresso in secondi durante il quale una risposta restituita dal server LDAP resta valida.

ldap.group.attributes

Descrizione: indica il filtro utilizzato per determinare se un DN è un gruppo effettivo mediante una ricerca LDAP.
Impostazione predefinita: groupofnames groupofuniquenames
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.attribute= attribute1 [attribute2...]
Valori: nome filtro

ldap.group.dnattributes

Descrizione: filtro utilizzato per determinare se un DN è un gruppo effettivo, tramite la ricerca LDAP
Impostazione predefinita: groupofnames groupofuniquenames
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.memberattribute= <filtro ldap>
Valori: un filtro ldap. - Per ulteriori informazioni sull'uso di questa direttiva, vedere l'esempio ldap.prop.sample.

ldap.group.memberattribute

Descrizione: attributo specificato per richiamare gruppi univoci da un gruppo esistente
Impostazione predefinita: uniquegroup
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.memberattribute= <attributo>
Valori: un attributo ldap. Per ulteriori informazioni sull'uso di questa direttiva, vedere l'esempio ldap.prop.sample.

ldap.group.memberAttributes

Descrizione: mezzo per estrarre i membri del gruppo una volta che la funzione individua una voce del gruppo in una directory LDAP.
Impostazione predefinita: member e uniqueMember
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.memberAttributes= attribute [attribute2....]
Valori: devono essere uguali ai DN dei membri del gruppo. È possibile utilizzare più di un attributo per contenere le informazioni sui membri.

ldap.group.name.filter

Descrizione: indica che il filtro LDAP utilizza la ricerca per nomi gruppo.
Impostazione predefinita: (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.name.filter= <filtro nome gruppo>
Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

ldap.group.URL

Descrizione: specifica una diversa ubicazione per un gruppo nello stesso server LDAP. Non è possibile utilizzare questa direttiva per specificare un diverso server LDAP rispetto a quello specificato nella direttiva ldap.URL.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.group.URL=ldap://<nomeHost:porta>/<DNbase>
Valori:
- nomeHost: nome host del server LDAP.
- Numero porta: numero di porta opzionale su cui il server LDAP è in ricezione. Il valore predefinito delle connessioni TCP è 389. Se si utilizza SSL, è necessario specificare il numero di porta.
- BaseDN: fornisce la root della struttura ad albero LDAP su cui eseguire la ricerca dei gruppi.
Questa proprietà è necessaria se l'URL LDAP per i gruppi è diverso da quello specificato dalla proprietà ldap.URL.

ldap.idleConnection.timeout

Descrizione: connessioni delle cache al server LDAP per le prestazioni.
Impostazione predefinita: 600
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.idleConnection.timeout= <secondi>
Valori: tempo espresso in secondi prima che una connessione al server LDAP inattivo venga chiusa per inattività.

ldap.key.file.password.stashfile

Descrizione: indica il file stash contenente la password del file chiave codificata; utilizzare il comando ldapstash per creare questo file stash.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.key.file.password.stashfile =d:\<nome file password chiave>
Valori: percorso completo al file stash.

ldap.key.fileName

Descrizione: indica il nome file del database di chiavi. Questa opzione è necessaria quando si utilizza SSL.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.key.fileName=d:\<nome file chiave>
Valori: percorso completo al file chiave.

ldap.key.label

Descrizione: indica il nome dell'etichetta del certificato che il server Web utilizza per eseguire l'autenticazione nel server LDAP.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: My server certificate
Valori: un'etichetta valida utilizzata nel file del database chiavi.

Suggerimento Questa etichetta è necessaria solo quando si utilizza SSL (Secure Sockets Layer) e il server LDAP richiede l'autenticazione del client dal server Web.

ldap.realm

Descrizione: indica il nome dell'area protetta come visualizzato dal client richiedente.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.realm==<settore protezione>
Valori: una descrizione della pagina protetta.

ldap.search.depth

Descrizione: ricerca i sottogruppi quando si specificano le direttive LdapRequire group <group> . Nei gruppi possono essere contenuti membri singoli o altri gruppi.
Impostazione predefinita: 1
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.search. = <secondi>
Valori: un numero intero.
Nella ricerca di un gruppo, se un membro del processo di autenticazione non è membro del gruppo richiesto, vengono cercati anche tutti i sottogruppi del gruppo richiesto. Ad esempio:
```
group1 >group2 (group2 è un membro di group1)
group2 >group3 (group3 è un membro di group2)
group3 >jane   (jane è un membro di group3)
```
Se si cerca jane e si richiede come membro di group1, non è possibile effettuare la ricerca con il valore ldap.search.depth predefinito di 1. Se si specifica ldap.group.search.depth>2, si riesce ad effettuare la ricerca.

Utilizzare ldap.group.search.depth=<profondità di ricerca -- number> per limitare la profondità delle ricerche nei sottogruppi. Questo tipo di ricerca può diventare molto intenso su un server LDAP. Laddove group1 ha come membro group2 e group2 ha come membro group1, questa direttiva limita la profondità della ricerca. Nell'esempio precedente, group1 ha una profondità di 1, group2 ha una profondità di 2 e group3 ha una profondità di 3.

ldap.search.timeout

Descrizione: indica il tempo massimo di attesa, espresso in secondi, necessario al server LDAP per completare un'operazione di ricerca.
Impostazione predefinita: 10
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.search.timeout = <secondi>
Valori: intervallo di tempo in secondi.

ldap.transport

Descrizione: indica il metodo di trasporto utilizzato per comunicare con il server LDAP.
Impostazione predefinita: TCP
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.transport=TCP
Valori: TCP o SSL

ldap.url

Descrizione: indica l'URL del server LDAP da autenticare.
Impostazione predefinita: nessuna
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.url=ldap://<nomeHost:porta>/<DNbase>
dove:
- nomeHost: rappresenta il nome host del server LDAP.
- porta: rappresenta il numero della porta opzionale su cui il server LDAP è in ricezione. Il valore predefinito delle connessioni TCP è 389. Se si utilizza SSL è necessario specificare il numero porta.
- DNbase

Ldap.user.authType

Descrizione: indica il metodo di autenticazione dell'utente che effettua una richiesta al server Web. Utilizzare questo nome come nome utente quando si accede ad un server LDAP.
Impostazione predefinita: Basic
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: Ldap.user.authType=BasicIfNoCert
Valori: Basic, Cert, BasicIfNoCert

ldap.user.cert.filter

Descrizione: indica il filtro utilizzato per convertire le informazioni nel certificato del client trasferito tramite SSL a un filtro di ricerca per la voce LDAP.
Impostazione predefinita: "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))".
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Suggerimento: I certificati SSL includono i seguenti campi che è possibile convertire in un filtro di ricerca:

Campo certificato	Variabile
nome	`%v1`
società	`%v2`
organizzazione	`%v3`
paese	`%v4`
località	`%v5`
stato o paese	`%v6`
numero di serie	`%v7`

Certificato utente	Conversione filtro
Certificato:	cn=Road Runner o=Acme Inc c=US
Filtro:	(cn=%v1, o=%v3, c=%v4)
Query risultante:	(cn=RoadRunner, o=Acme, Inc, c=US)

ldap.user.name.fieldSep

Descrizione: indica i caratteri come separatori di campo validi durante l'analisi del nome utente nei campi.
Impostazione predefinita: spazio, virgola e tabulazione (/t).
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.user.name.fieldSep=/
Valori: caratteri

Suggerimento: Se '/' è l'unico carattere separatore di campo e l'utente immette "Joe Smith/Acme," allora '%v1' sarà uguale a "Joe Smith" e '%v2' sarà uguale a "Acme."

ldap.user.name.filter

Descrizione: filtro utilizzato per convertire il nome utente in input da parte dell'utente per la ricerca di una voce LDAP.
Impostazione predefinita: "((objectclass=person) (cn=%v1 %v2))"
dove: %v1 e %v2 rappresentano le parole digitate dall'utente.
Se, ad esempio, l'utente digita "Paul Kelsey", il filtro di ricerca risultante sarà "((objectclass=person)(cn=Paul Kelsey))". La sintassi dei filtri di ricerca è descritta in Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Tuttavia, poiché il server Web non è in grado di differenziare tra più voci restituite, se il server Web restituisce più di una voce, l'autenticazione non riesce. Ad esempio, se l'utente crea ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" e immette Pa Kel, il filtro di ricerca risultante sarà "(cn=Pa* Kel*)". Il filtro trova più voci simili (cn=Paul Kelsey) e (cn=Paula Kelly) e si verifica un errore di autenticazione. E' necessario modificare il filtro di ricerca.
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.user.name.filter=<filtro nome utente>
Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Ldap.version

Descrizione: indica la versione del protocollo LDAP utilizzato per collegarsi al server LDAP. La versione del protocollo utilizzata dal server LDAP determina la versione LDAP. Questa direttiva è facoltativa.
Impostazione predefinita: ldap.version=3
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.version=3
Valori: 2 o 3

ldap.waitToRetryConnection.interval

Descrizione: indica il tempo di attesa del server Web tra i tentativi non riusciti di connessione. Se un server LDAP è inattivo, il server Web effettuerà dei tentativi continui per stabilire una connessione.
Impostazione predefinita: 300
Modulo: mod_ibm_ldap
Istanze multiple nel file di configurazione: sì
Ambito: istanza singola per sezione di directory.
Sintassi: ldap.waitToRetryConnection.interval=<secondi>
Valori: tempo (in secondi)

Informazioni correlate

     (Torna all'inizio)