Administration système Documentation d'IBM HTTP Server
Concerne les utilisateurs Linux for S/390

Utilisation des directives LDAP

Cette section fournit des informations sur les directives LDAP (Lightweight Directory Access Protocol). Ces directives fonctionnent sur toutes les plateformes prises en charge. Les informations fournies ici comprennent la description des directives, les valeurs qu'elles acceptent et leur valeur par défaut ainsi que des remarques spéciales signalées par l'icône Conseils. La fin de cette section comprend des liens aux rubriques connexes.

LdapConfigFile

  • Description : indique le nom du fichier de propriétés LDAP associé à un groupe de paramètres LDAP.
  • Valeur par défaut : c:\program files\ibm http server\conf\ldap.prop.sample.
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : LdapConfigFile <chemin complet et nom du fichier de configuration>
  • Valeurs : chemin complet d'un fichier de configuration unique

    • Conseil : Utilisez cette directive dans le fichier httpd.conf.

LDAPRequire

  • Description : indique le groupe lorsque l'authentification LDAP est utilisée.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : LDAPRequire filter <nom filtre> ou LDAPRequire group <groupe1 [groupe2.groupe3....]>
  • Valeurs : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", ou LDAPRequire group "exemple de groupe".

    • Conseil : Utilisez cette directive dans le fichier httpd.conf.

ldap.application.authType

  • Description : spécifie la méthode utilisée pour authentifier le serveur Web auprès du serveur LDAP.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.application.authType=None
  • Valeurs :
    • None : Si le serveur LDAP ne requiert pas d'authentification du serveur Web.
    • Basic : Le nom distinctif du serveur Web est utilisé comme ID utilisateur et le mot de passe est celui qui est stocké dans le fichier de dissimulation (stash).

ldap.application.DN

  • Description : indique le nom distinctif (DN) du serveur Web. Il est utilisé comme nom d'utilisateur en cas d'accès à un serveur LDAP utilisant le type d'authentification de base (Basic). Utilisez l'entrée spécifiée dans le serveur LDAP pour accéder au serveur d'annuaire.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
  • Valeurs : nom distinctif

ldap.application.password.stashFile

  • Description : Indique le nom du fichier de dissimulation (stash) contenant le mot de passe chiffré qui permet à l'application de s'authentifier auprès du serveur LDAP lorsque le type d'authentification est Basic.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.application.password.stashFile=c:\IHS\ldap.sth
  • Valeurs : chemin complet et nom du fichier de dissimulation

    • Conseil : Vous pouvez créer ce fichier de dissimulation à l'aide de la commande ldapstash.

ldap.cache.timeout

  • Description : met en cache les réponses du serveur LDAP. Si le serveur Web est configuré pour s'exécuter sous forme de plusieurs processus, chacun d'entre eux gérera sa propre copie de la cache.
  • Valeur par défaut : 600
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.cache.timeout= <secondes>
  • Valeurs : durée maximale (en secondes) pendant laquelle une réponse renvoyée par le serveur LDAP reste valide.

ldap.group.attributes

  • Description : indique le filtre utilisé pour déterminer, par une recherche LDAP, si un nom distinctif (DN) est un groupe.
  • Valeur par défaut : groupedenoms groupedenomsuniques
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.attribute= attribut1 [attribut2...]
  • Valeurs : nom de filtre

ldap.group.dnattributes

  • Description : filtre utilisé pour déterminer, via une recherche LDAP, si un DN correspond à un groupe.
  • Valeur par défaut : groupedenoms groupedenomsuniques
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.memberattribute= <filtre ldap>
  • Valeurs : un filtre LDAP. Voir l'exemple ldap.prop.sample pour plus d'informations sur l'utilisation de cette directive.

ldap.group.memberattribute

  • Description : attribut spécifié pour extraire des groupes uniques d'un groupe existant.
  • Valeur par défaut : uniquegroup
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.memberattribute= <attribut>
  • Valeurs : un attribut LDAP. Voir l'exemple ldap.prop.sample pour plus d'informations sur l'utilisation de cette directive.

ldap.group.memberAttributes

  • Description : sert à extraire les membres d'un groupe une fois que la fonction a trouvé une entrée de groupe dans un annuaire LDAP.
  • Valeur par défaut : member et uniqueMember
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.memberAttributes= attribut [attribut2....]
  • Valeurs : doivent être les noms distinctifs des membres du groupe. Il est possible d'utiliser plus d'un attribut pour ajouter des informations sur les membres.

ldap.group.name.filter

  • Description : indique le filtre que LDAP utilise pour rechercher des noms de groupes.
  • Valeur par défaut : (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.name.filter= <filtre de noms de groupes>
  • Valeurs : un filtre LDAP. Voir Consultation du serveur LDAP à l'aide de filtres de recherche LDAP.

ldap.group.URL

  • Description : spécifie un emplacement différent pour un groupe figurant sur le même serveur LDAP. Cette directive ne doit pas servir à désigner un serveur LDAP différent de celui indiqué dans la directive ldap.URL.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.group.URL=ldap://<nomHôte:Port>/<DNBase>
  • Valeurs :
    • nomHôte : Nom d'hôte du serveur LDAP.
    • Port : Numéro de port optionnel sur lequel le serveur LDAP est à l'écoute. La valeur par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez spécifier le numéro de port.
    • DNBase : Indique la racine de l'arborescence LDAP dans laquelle la recherche de groupes doit être effectuée.

    Conseil : Cette propriété devient indispensable si l'URL LDAP pour la recherche de groupes est différente de l'URL indiquée par la propriété ldap.URL.

ldap.idleConnection.timeout

  • Description : met en cache les connexions au serveur LDAP pour améliorer les performances.
  • Valeur par défaut : 600
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.idleConnection.timeout= <secondes>
  • Valeurs : durée, en secondes, au terme de laquelle une connexion au serveur LDAP est fermée si elle est inactive.

ldap.key.file.password.stashfile

  • Description : indique le fichier de dissimulation (stash) contenant le mot de passe chiffré de la base de données de clés ; utilisez la commande ldapstash pour créer ce fichier.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.key.file.password.stashfile =d:\<nom fichier mot de passe>
  • Valeurs : chemin complet et nom du fichier de dissimulation

ldap.key.fileName

  • Description : indique le nom de fichier de la base de données de clés. Cette option est requise si vous utilisez SSL.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.key.fileName=d:\<nom fichier de clés>
  • Valeurs : chemin complet et nom du fichier de clés

ldap.key.label

  • Description : indique le nom du label de certificat que le serveur Web utilise pour s'authentifier auprès du serveur LDAP.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : Certificat de mon serveur
  • Valeurs : label valide utilisé dans le fichier de la base de données de clés.

    • Conseil Ce label n'est requis qu'en cas de sécurisation SSL de la connexion entre le serveur Web et le serveur LDAP, et lorsque ce dernier est configuré pour demander au serveur Web de s'authentifier en tant que client.

ldap.realm

  • Description : indique le nom de la zone protégée telle qu'elle est vue par le client demandeur.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.realm==<Domaine de protection>
  • Valeurs : description de la page protégée.

ldap.search.depth

  • Description : fait porter la recherche sur des sous-groupes lorsque des directives LdapRequire group <groupe> sont spécifiées. Les groupes peuvent contenir à la fois des membres individuels et d'autres groupes.
  • Valeur par défaut : 1
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.search. = <secondes>
  • Valeurs : entier.

    Conseil : Lors d'une recherche portant sur un groupe, si un membre impliqué dans le processus d'authentification ne fait pas partie du groupe requis, la recherche est étendue à tous les sous-groupes du groupe requis. Par exemple : 

    groupe1 >groupe2 (groupe2 est un membre de groupe1)
groupe2 >groupe3 (groupe3 est un membre de groupe2)
groupe3 >Jean   (Jean est un membre de groupe3)

    Si vous recherchez Jean en tant que membre de groupe1, et si la directive ldap.search.depth conserve sa valeur par défaut (1), la recherche échoue. En revanche, si vous spécifiez ldap.group.search.depth>2, la recherche aboutit.

    Utilisez ldap.group.search.depth=<profondeur de recherche -- nombre> pour limiter la profondeur de recherche, c'est-à-dire le nombre de niveaux de sous-groupes auxquels la recherche doit être étendue. Ce type de recherche peut devenir très intensif sur un serveur LDAP. Lorsque groupe1 comporte groupe2 en tant que membre et que groupe2 comporte groupe1 en tant que membre, cette directive limite la profondeur de recherche. Dans l'exemple précédent, groupe1 se situe à la profondeur 1, groupe2 à la profondeur 2 et groupe3 à la profondeur 3.

ldap.search.timeout

  • Description : indique la durée maximale, en secondes, accordée au serveur LDAP pour accomplir une opération de recherche.
  • Valeur par défaut : 10
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.search.timeout = <secondes>
  • Valeurs : durée en secondes.

ldap.transport

  • Description : indique la méthode de transport utilisée pour communiquer avec le serveur LDAP.
  • Valeur par défaut : TCP
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.transport=TCP
  • Valeurs : TCP ou SSL

ldap.url

  • Description : indique l'URL du serveur LDAP dont l'annuaire doit servir à l'authentification des utilisateurs.
  • Valeur par défaut : aucune
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.url=ldap://<nomHôte:Port>/<DNBase>
    où :
    • nomHôte : Représente le nom d'hôte du serveur LDAP.
    • Port : Représente le numéro de port optionnel sur lequel le serveur LDAP est à l'écoute. La valeur par défaut pour les connexions TCP est 389. Si vous utilisez SSL, vous devez spécifier le numéro de port.
    • DNBase
      • : Indique la racine de l'arborescence LDAP dans laquelle la recherche d'utilisateurs doit être effectuée.

      Par exemple : ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US

Ldap.user.authType

  • Description : indique la méthode d'authentification de l'utilisateur adressant une demande à un serveur Web. Utilisez ce nom comme nom d'utilisateur lors de l'accès à un serveur LDAP.
  • Valeur par défaut : Basic
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : Ldap.user.authType=BasicIfNoCert
  • Valeurs : Basic, Cert, BasicIfNoCert

ldap.user.cert.filter

  • Description : filtre utilisé pour convertir les informations contenues dans le certificat du client et transmises via SSL en filtre (ou masque) de recherche d'une entrée LDAP.
  • Valeur par défaut : "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))".
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
  • Valeurs : un filtre LDAP. Voir Consultation du serveur LDAP à l'aide de filtres de recherche LDAP.

    • Conseil : Les certificats SSL comprennent les champs ci-dessous, qui peuvent tous être convertis en filtre de recherche :

    Champ de certificat Variable
    nom usuel %v1
    service d'une entreprise %v2
    entreprise %v3
    pays %v4
    localité %v5
    département %v6
    numéro de série %v7
    Lorsque le filtre de recherche est généré, les valeurs des champs sont placées dans les champs de variables correspondants (%v1, %v2). Le tableau suivant montre la conversion réalisée :
    Certificat d'utilisateur Conversion du filtre
    Certificat : 
    cn=Road Runner
o=Acme Inc
c=US
    Filtre : 
    (cn=%v1, o=%v3, c=%v4)
    Requête résultante : 
    (cn=RoadRunner, o=Acme, Inc, c=US)

ldap.user.name.fieldSep

  • Description : indique les caractères utilisables comme séparateurs de champs lors de l'interprétation du nom d'utilisateur.
  • Valeurs par défaut : espace, virgule et caractère de tabulation (/t).
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.user.name.fieldSep=/
  • Valeurs : caractères

    • Conseil : Si '/' est le seul séparateur de champs et que l'utilisateur saisit "Paul Dupont/Acme", alors '%v1' correspond à "Paul Dupont" et '%v2' à "Acme".

ldap.user.name.filter

  • Description : filtre utilisé pour convertir le nom d'utilisateur saisi par l'utilisateur en filtre (ou masque) de recherche d'une entrée LDAP.
  • Valeur par défaut : "((objectclass=person) (cn=%v1 %v2))"
    où : %v1 et %v2 représentent les mots saisis par l'utilisateur.

    Par exemple, si l'utilisateur saisit "Paul Dupont", le filtre de recherche résultant sera "((objectclass=person)(cn=Paul Dupont))". La syntaxe des filtres de recherche est décrite à la section Consultation du serveur LDAP à l'aide de filtres de recherche LDAP.

    Cependant, étant donné que le serveur Web ne sait pas différencier plusieurs réponses renvoyées, l'authentification échoue lorsque le serveur LDAP renvoie plusieurs entrées. Par exemple, si la directive ldap.user.name.filter est "((objectclass=person)(cn=%v1* %v2*))" et que l'utilisateur saisit Pa Du, le filtre de recherche résultant sera "(cn=Pa* Du*)". Plusieurs entrées répondant à ces critères seront trouvées, telles que (cn=Paul Dupont) et (cn=Pauline Durand), et l'authentification échouera. Dans ce cas, vous devez modifier votre filtre de recherche.

  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.user.name.filter=<Filtre de noms d'utilisateur>
  • Valeurs : un filtre LDAP. Voir Consultation du serveur LDAP à l'aide de filtres de recherche LDAP.

Ldap.version

  • Description : indique la version de protocole LDAP utilisée pour la connexion au serveur LDAP. La version de LDAP est déterminée par la version du protocole utilisée par le serveur LDAP. Cette directive est optionnelle.
  • Valeur par défaut : ldap.version=3
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.version=3
  • Valeurs : 2 ou 3

ldap.waitToRetryConnection.interval

  • Description : indique la durée de la pause que doit marquer le serveur Web entre deux tentatives infructueuses de connexion au serveur LDAP. Si un serveur LDAP est hors service, le serveur Web tente indéfiniment de s'y connecter, sans succès.
  • Valeur par défaut : 300
  • Module : mod_ibm_ldap
  • Plusieurs instances autorisées dans le fichier de configuration : oui
  • Portée : une seule instance par section de répertoire (Directory).
  • Syntaxe : ldap.waitToRetryConnection.interval=<secondes>
  • Valeurs : durée en secondes

Informations connexes
     (Retour au début)