使用輕裝備目錄存取通訊協定指引
這一節提供輕裝備目錄存取通訊協定 (LDAP) 指引的相關資訊。
這些指引適用於 Linux for S/390 以外的所有支援的平台。
這些資訊包括特定指引說明、值、預設值和特殊附註
。
這一節的結尾有相關主題的鏈結。
- 使用 LDAP 指引:
- LdapConfigFile
- LDAPRequire
- ldap.application.authType
- ldap.application.DN
- ldap.application.password.stashFile
- ldap.cache.timeout
- ldap.group.attributes
- ldap.group.dnattributes
- ldap.group.memberattribute
- ldap.group.memberAttributes
- ldap.group.name.filter
- ldap.group.URL
- ldap.idleConnection.timeout
- ldap.key.file.password.stashfile
- ldap.key.fileName
- ldap.key.label
- ldap.realm
- ldap.search.depth
- ldap.search.timeout
- ldap.transport
- ldap.url
- Ldap.user.authType
- ldap.user.cert.filter
- ldap.user.name.fieldSep
- ldap.user.name.filter
- ldap.version
- ldap.waitToRetryConnection.interval
- 尋找相關資訊
LdapConfigFile
- 說明:指出 LDAP 參數群組所關聯的 LDAP 內容檔的名稱。
- 預設值:c:\program files\ibm http server\conf\ldap.prop.sample。
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:LdapConfigFile <Fully qualified path to configuration file>
- 值:單一配置檔的完整路徑。
請在 httpd.conf 檔中使用這個指引。
LDAPRequire
- 說明:指出使用 LDAP 鑑別時的群組。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:LDAPRequire filter <filter name> 或 LDAPRequire group <group1 [group2.group3....]>
- 值:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))" 或 LDAPRequire group "sample group"。
請在 httpd.conf 檔中使用這個指引。
ldap.application.authType
- 說明:指定 LDAP 伺服器鑑別 Web 伺服器的方法。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.application.authType=None
- 值:
- None:如果 LDAP 伺服器不需要 Web 伺服器提供鑑別。
- Basic:以 Web 伺服器的識別名稱 (DN) 作為使用者 ID,並以貯藏檔所儲存的密碼作為密碼。
ldap.application.DN
- 說明:指出 Web 伺服器的識別名稱。 請利用這個名稱作為利用基本鑑別存取 LDAP 伺服器時的使用者名稱。 在 LDAP 伺服器使用項目指定存取目錄伺服器。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
- 值:識別名稱
ldap.application.password.stashFile
- 說明:指出在「伺服器鑑別」類型為「基本」的情況下,應用程式用來接受 LDAP 伺服器鑑別的加密密碼所在之貯藏檔的名稱。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.application.password.stashFile=c:\IHS\ldap.sth
- 值:貯藏檔的完整路徑。
您可以利用 ldapstash 指令來建立這個貯藏檔。
ldap.cache.timeout
- 說明:快取 LDAP 伺服器所發出的回應。如果您將 Web 伺服器配置成要執行多個程序,各程序都會管理它本身的快取副本。
- 預設值:600
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.cache.timeout= <secs>
- 值:LDAP 伺服器傳回的回應保持有效狀態的時間上限(秒)。
ldap.group.attributes
- 說明:指出用來透過 LDAP 搜尋判斷識別名稱 (DN) 是不是實際群組的過濾條件。
- 預設值:groupofnames groupofuniquenames
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.attribute= attribute1 [attribute2...]
- 值:過濾條件名稱
ldap.group.dnattributes
- 說明:透過 LDAP 搜尋,用來判斷 DN 是否為實際群組的過濾器
- 預設值:groupofnames groupofuniquenames
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.memberattribute= <ldap 過濾條件>
- 值:ldap 過濾條件。請參閱範例 ldap.prop.sample,以取得此一指引用法的詳細資訊。
ldap.group.memberattribute
- 說明:指定用來從現存的群組擷取唯一群組的屬性
- 預設值:uniquegroup
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.memberattribute= <attribute>
- 值:ldap 屬性。請參閱範例 ldap.prop.sample,以取得此一指引用法的詳細資訊。
ldap.group.memberAttributes
- 說明:作為函數在 LDAP 目錄中找到群組項目之後取出群組成員的方法。
- 預設值:member 和 uniqueMember
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.memberAttributes= attribute [attribute2....]
- 值:必須等於群組成員的識別名稱。您可以利用多個屬性來包含成員資訊。
ldap.group.name.filter
- 說明:指出 LDAP 用來搜尋群組名稱的過濾條件。
- 預設值:(&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.name.filter= <group name filter>
- 值:LDAP 過濾條件。請參閱利用 LDAP 搜尋過濾條件查詢 LDAP 伺服器。
ldap.group.URL
- 說明:指定群組在相同 LDAP 伺服器中的不同位置。 您不能利用這個指引,從 ldap.URL 指引所指定者來指定不同的 LDAP 伺服器。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.group.URL=ldap://<hostName:Port>/<BaseDN>
- 值:
- hostName: LDAP 伺服器的主電腦名稱。
- Port Number: LDAP 伺服器用來接聽的選用埠號。TCP 連線的預設值為 389。如果使用 SSL,您必須指定埠號。
- BaseDN:提供要在其中執行群組搜尋的 LDAP 樹狀結構的根目錄。
如果群組的 LDAP URL 不同於 ldap.URL 內容所指定 URL,這個內容就是必要的。
ldap.idleConnection.timeout
- 說明:為了效能而快取 LDAP 伺服器連線。
- 預設值:600
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.idleConnection.timeout= <secs>
- 值:閒置的 LDAP 伺服器因不作用而關閉之前所經歷的時間長度(秒)。
ldap.key.file.password.stashfile
- 說明:指出包含加密金鑰檔密碼的貯藏檔;請使用 ldapstash 指令來建立這個貯藏檔。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.key.file.password.stashfile =d:\<金鑰密碼檔案名稱>
- 值:貯藏檔的完整路徑。
ldap.key.fileName
- 說明:指出金鑰檔案資料庫的檔案名稱。當您使用 SSL 時,這個選項是必要的。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.key.fileName=d:\<金鑰檔案名稱>
- 值:金鑰檔的完整路徑。
ldap.key.label
- 說明:指出 Web 伺服器用來接受 LDAP 伺服器鑑別的憑證標籤名稱。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.key.label=<My Server Certificate>
- 值:金鑰資料庫檔案中所用的有效標籤。
只有在使用安全 Socket 層 (SSL) 且 LDAP 伺服器向 Web 伺服器要求用戶端鑑別時,才需要這個標籤。
ldap.realm
- 說明:指出發出要求的用戶端所見到的保護區域名稱。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.realm==<Protection Realm>
- 值:說明受保護頁面的說明。
ldap.search.depth
- 說明:在指定 LdapRequire 群組 <group> 指引時搜尋子群組。 群組可含有個別成員和其他群組。
- 預設值:1
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.search.depth = <secs>
- 值:整數。
當執行群組的搜尋時,如果鑑別程序中的成員不是所需群組的成員,也會搜尋所需群組的任何子群組。
例如:
group1 >group2(group2 是 group1 的成員) group2 >group3(group3 是 group2 的成員) group3 >jane (jane 是 group3 的成員)
如果您搜尋 jane 且要她成為 group1 的成員,搜尋會失敗,ldap.search.depth 的預設值是 1。 如果您指定 ldap.group.search.depth>2,搜尋會順利完成。
請利用 ldap.group.search.depth=<depth to search -- number> 來限制子群組的搜尋深度。 在 LDAP 伺服器中,這類型的搜尋可能會變成很強。 當 group2 是 group1 的成員且 group1 是 group2 的成員時,這個指引會限制搜尋的深度。 在先前的範例中,group1 的深度是 1,group2 的深度是 2,group3 的深度是 3。
ldap.search.timeout
- 說明:指出等待 LDAP 伺服器完成搜尋作業的時間上限(秒)。
- 預設值:10
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- Syntax: ldap.search.timeout = <secs>
- 值:時間長度(秒)。
ldap.transport
- 說明:指出用來與 LDAP 伺服器通訊的傳輸方法。
- 預設值:TCP
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.transport=TCP
- 值:TCP 或 SSL
ldap.url
- 說明:指出用來鑑別的 LDAP 伺服器的 URL。
- 預設值:無
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.url=ldap://<hostName:Port>/<BaseDN>
其中:- hostName:代表 LDAP 伺服器的主電腦名稱。
- Port:代表 LDAP 伺服器用來接聽的選用埠號。 TCP 連線的預設值為 389。如果使用 SSL,您必須指定埠號。
- BaseDN :提供 LDAP 樹狀結構的根目錄,可在其中搜尋群組。
例如:ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US
Ldap.user.authType
- 說明:指出用來鑑別要求 Web 伺服器之使用者的方法。 請利用這個名稱作為存取 LDAP 伺服器時的使用者名稱。
- 預設值:Basic
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:Ldap.user.authType=BasicIfNoCert
- 值:Basic、Cert、BasicIfNoCert
ldap.user.cert.filter
- 說明:指出用來將 SSL 所傳遞的用戶端憑證其中的資訊轉換成 LDAP 項目之搜尋過濾條件的過濾器。
- 預設值:"(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))"。
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
- 值:LDAP 過濾條件。請參閱利用 LDAP 搜尋過濾條件查詢 LDAP 伺服器。
SSL 憑證包含下列欄位,所有欄位都可以轉換成搜尋過濾條件:
| 憑證欄位 | 變數 |
| 一般名稱 | %v1 |
| 組織單位 | %v2 |
| 組織 | %v3 |
| 國家 | %v4 |
| 地區 | %v5 |
| 州或省(省或市) | %v6 |
| 序號 | %v7 |
| 使用者憑證 | 過濾條件轉換 | |
| 憑證: |
cn=Road Runner o=Acme Inc c=US |
|
| 過濾條件: |
(cn=%v1, o=%v3, c=%v4) |
|
| 產生的查詢: |
(cn=RoadRunner, o=Acme, Inc, c=US) |
ldap.user.name.fieldSep
- 說明:指出將使用者名稱剖析成欄位時,要作為有效欄位分隔字元的字元。
- 預設值:空格、逗點及欄標 (/t) 字元。
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.user.name.fieldSep=/
- 值:字元
如果 '/' 代表唯一的欄位分隔字元,且使用者輸入 "Joe Smith/Acme",'%v1' 就等於 "Joe Smith",'%v2' 等於 "Acme"。
ldap.user.name.filter
- 說明:用來將使用者輸入的使用者名稱轉換成 LDAP 項目之搜尋過濾條件的過濾器。
- 預設值:"((objectclass=person) (cn=%v1 %v2))"
其中 %v1 和 %v2 代表使用者輸入的單字。比方說,如果使用者輸入 "Paul Kelsey",產生的搜尋過濾條件就成為 "((objectclass=person)(cn=Paul Kelsey))"。 您可以找到利用 LDAP 搜尋過濾條件查詢 LDAP 伺服器中所說明的搜尋過濾條件語法。
但是,由於 Web 伺服器無法區分多重傳回項目, 所以當 LDAP 伺服器傳回一個以上的項目時,鑑別就會失敗。 比方說,如果使用者產生 ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))", 並輸入 Pa Kel,產生的搜尋過濾條件就成為 "(cn=Pa* Kel*)"。 過濾條件會找出多個項目,如 (cn=Paul Kelsey) 和 (cn=Paula Kelly),鑑別即會失敗。 您必須修改您的搜尋過濾。
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.user.name.filter=<User Name Filter>
- 值:LDAP 過濾條件。請參閱利用 LDAP 搜尋過濾條件查詢 LDAP 伺服器。
Ldap.version
- 說明:指出用來連接 LDAP 伺服器的 LDAP 通訊協定版本。 LDAP 伺服器所用的通訊協定版本決定了 LDAP 版本。 這是可選用的指引。
- 預設值:ldap.version=3
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.version=3
- 值:2 或 3
ldap.waitToRetryConnection.interval
- 說明:指出 Web 伺服器在連線嘗試失敗的等待時間。如果 LDAP 伺服器當機,Web 伺服器持續地嘗試連線。
- 預設值:300
- 模組:mod_ibm_ldap
- 配置檔中包含多個實例:是
- 範圍:每個目錄段落一個實例
- 語法:ldap.waitToRetryConnection.interval=<secs>
- 值:時間(秒)
| 尋找相關資訊 |
(回到頁首)