Amministrazione del sistema Documentazione IBM HTTP Server
Riservato agli utenti Linux per S/390

Uso delle direttive di Lightweight Directory Access Protocol

In questa sezione vengono fornite informazioni sulle direttive di Lightweight Directory Access Protocol (LDAP). Queste direttive funzionano su tutte le piattaforme supportate. Queste informazioni includono le descrizioni delle specifiche direttive, i valori, le impostazioni predefinite e le specifiche note Suggerimenti. I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

LdapConfigFile

  • Descrizione: indica il nome del file delle proprietà LDAP associato al gruppo di parametri LDAP.
  • Impostazione predefinita: c:\program files\ibm http server\conf\ldap.prop.sample.
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: LdapConfigFile <percorso completo al file di configurazione>
  • Valori: percorso completo ad un singolo file di configurazione.
  • Suggerimento utilizzare questa direttiva nel file httpd.conf.

LDAPRequire

  • Descrizione: indica il gruppo quando si utilizza l'autenticazione LDAP.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: LDAPRequire filter <nome filtro> o LDAPRequire group <gruppo1 [gruppo2.gruppo3....]>
  • Valori: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))", o LDAPRequire group "gruppo campione".
  • Suggerimento: Utilizzare questa direttiva nel file httpd.conf.

ldap.application.authType

  • Descrizione: specifica il metodo di autenticazione del server Web sul server LDAP.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.application.authType=None
  • Valori:
    • None: se il server LDAP non richiede il server Web per l'autenticazione.
    • Basic: utilizza il nome distinto (DN, Distinguished Name) del server Web come ID utente e la password memorizzata nel file stash come password.

ldap.application.DN

  • Descrizione: indica il DN del server Web. Utilizzare questo nome come nome utente quando si accede ad un server LDAP utilizzando l'autenticazione di base. Per accedere al server della directory, utilizzare i dati immessi nel server LDAP.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
  • Valori: ND (Distinguished Name)

ldap.application.password.stashFile

  • Descrizione: indica il nome del file stash che contiene la password codificata per l'applicazione da autenticare nel server LDAP quando il tipo di autenticazione è quello di base.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.application.password.stashFile=c:\IHS\ldap.sth
  • Valori: percorso completo al file stash.
  • Suggerimento: È possibile creare questo file stash con il comando ldapstash.

ldap.cache.timeout

  • Descrizione: memorizzazione nella cache delle risposte provenienti dal server LDAP. Se si configura il server Web per l'esecuzione come più processi, ogni processo gestisce la propria copia della cache.
  • Impostazione predefinita: 600
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.cache.timeout=<secondi>
  • Valori: il tempo massimo espresso in secondi durante il quale una risposta restituita dal server LDAP resta valida.

ldap.group.attributes

  • Descrizione: indica il filtro utilizzato per determinare se un DN è un gruppo effettivo mediante una ricerca LDAP.
  • Impostazione predefinita: groupofnames groupofuniquenames
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.attribute= attribute1 [attribute2...]
  • Valori: nome filtro

ldap.group.dnattributes

  • Descrizione: filtro utilizzato per determinare se un DN è un gruppo effettivo, tramite la ricerca LDAP
  • Impostazione predefinita: groupofnames groupofuniquenames
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.memberattribute= <filtro ldap>
  • Valori: un filtro ldap. - Per ulteriori informazioni sull'uso di questa direttiva, vedere l'esempio ldap.prop.sample.

ldap.group.memberattribute

  • Descrizione: attributo specificato per richiamare gruppi univoci da un gruppo esistente
  • Impostazione predefinita: uniquegroup
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.memberattribute= <attributo>
  • Valori: un attributo ldap. Per ulteriori informazioni sull'uso di questa direttiva, vedere l'esempio ldap.prop.sample.

ldap.group.memberAttributes

  • Descrizione: mezzo per estrarre i membri del gruppo una volta che la funzione individua una voce del gruppo in una directory LDAP.
  • Impostazione predefinita: member e uniqueMember
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.memberAttributes= attribute [attribute2....]
  • Valori: devono essere uguali ai DN dei membri del gruppo. È possibile utilizzare più di un attributo per contenere le informazioni sui membri.

ldap.group.name.filter

  • Descrizione: indica che il filtro LDAP utilizza la ricerca per nomi gruppo.
  • Impostazione predefinita: (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.name.filter= <filtro nome gruppo>
  • Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

ldap.group.URL

  • Descrizione: specifica una diversa ubicazione per un gruppo nello stesso server LDAP. Non è possibile utilizzare questa direttiva per specificare un diverso server LDAP rispetto a quello specificato nella direttiva ldap.URL.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.group.URL=ldap://<nomeHost:porta>/<DNbase>
  • Valori:
    • nomeHost: nome host del server LDAP.
    • Numero porta: numero di porta opzionale su cui il server LDAP è in ricezione. Il valore predefinito delle connessioni TCP è 389. Se si utilizza SSL, è necessario specificare il numero di porta.
    • BaseDN: fornisce la root della struttura ad albero LDAP su cui eseguire la ricerca dei gruppi.

    Suggerimento: Questa proprietà è necessaria se l'URL LDAP per i gruppi è diverso da quello specificato dalla proprietà ldap.URL.

ldap.idleConnection.timeout

  • Descrizione: connessioni delle cache al server LDAP per le prestazioni.
  • Impostazione predefinita: 600
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.idleConnection.timeout= <secondi>
  • Valori: tempo espresso in secondi prima che una connessione al server LDAP inattivo venga chiusa per inattività.

ldap.key.file.password.stashfile

  • Descrizione: indica il file stash contenente la password del file chiave codificata; utilizzare il comando ldapstash per creare questo file stash.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.key.file.password.stashfile =d:\<nome file password chiave>
  • Valori: percorso completo al file stash.

ldap.key.fileName

  • Descrizione: indica il nome file del database di chiavi. Questa opzione è necessaria quando si utilizza SSL.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.key.fileName=d:\<nome file chiave>
  • Valori: percorso completo al file chiave.

ldap.key.label

  • Descrizione: indica il nome dell'etichetta del certificato che il server Web utilizza per eseguire l'autenticazione nel server LDAP.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: My server certificate
  • Valori: un'etichetta valida utilizzata nel file del database chiavi.
  • Suggerimento Questa etichetta è necessaria solo quando si utilizza SSL (Secure Sockets Layer) e il server LDAP richiede l'autenticazione del client dal server Web.

ldap.realm

  • Descrizione: indica il nome dell'area protetta come visualizzato dal client richiedente.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.realm==<settore protezione>
  • Valori: una descrizione della pagina protetta.

ldap.search.depth

  • Descrizione: ricerca i sottogruppi quando si specificano le direttive LdapRequire group <group> . Nei gruppi possono essere contenuti membri singoli o altri gruppi.
  • Impostazione predefinita: 1
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.search. = <secondi>
  • Valori: un numero intero.

    Suggerimento: Nella ricerca di un gruppo, se un membro del processo di autenticazione non è membro del gruppo richiesto, vengono cercati anche tutti i sottogruppi del gruppo richiesto. Ad esempio:

    group1 >group2 (group2 è un membro di group1)
    group2 >group3 (group3 è un membro di group2)
    group3 >jane   (jane è un membro di group3)
    

    Se si cerca jane e si richiede come membro di group1, non è possibile effettuare la ricerca con il valore ldap.search.depth predefinito di 1. Se si specifica ldap.group.search.depth>2, si riesce ad effettuare la ricerca.

    Utilizzare ldap.group.search.depth=<profondità di ricerca -- number> per limitare la profondità delle ricerche nei sottogruppi. Questo tipo di ricerca può diventare molto intenso su un server LDAP. Laddove group1 ha come membro group2 e group2 ha come membro group1, questa direttiva limita la profondità della ricerca. Nell'esempio precedente, group1 ha una profondità di 1, group2 ha una profondità di 2 e group3 ha una profondità di 3.

ldap.search.timeout

  • Descrizione: indica il tempo massimo di attesa, espresso in secondi, necessario al server LDAP per completare un'operazione di ricerca.
  • Impostazione predefinita: 10
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.search.timeout = <secondi>
  • Valori: intervallo di tempo in secondi.

ldap.transport

  • Descrizione: indica il metodo di trasporto utilizzato per comunicare con il server LDAP.
  • Impostazione predefinita: TCP
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.transport=TCP
  • Valori: TCP o SSL

ldap.url

  • Descrizione: indica l'URL del server LDAP da autenticare.
  • Impostazione predefinita: nessuna
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.url=ldap://<nomeHost:porta>/<DNbase>
    dove:
    • nomeHost: rappresenta il nome host del server LDAP.
    • porta: rappresenta il numero della porta opzionale su cui il server LDAP è in ricezione. Il valore predefinito delle connessioni TCP è 389. Se si utilizza SSL è necessario specificare il numero porta.
    • DNbase
    • : fornisce la root della struttura ad albero LDAP su cui eseguire la ricerca degli utenti.

      Ad esempio: ldap.URL=ldap://<ldap.ibm.com:489/o=Ace Industry, c=US

Ldap.user.authType

  • Descrizione: indica il metodo di autenticazione dell'utente che effettua una richiesta al server Web. Utilizzare questo nome come nome utente quando si accede ad un server LDAP.
  • Impostazione predefinita: Basic
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: Ldap.user.authType=BasicIfNoCert
  • Valori: Basic, Cert, BasicIfNoCert

ldap.user.cert.filter

  • Descrizione: indica il filtro utilizzato per convertire le informazioni nel certificato del client trasferito tramite SSL a un filtro di ricerca per la voce LDAP.
  • Impostazione predefinita: "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))".
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
  • Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.
  • Suggerimento: I certificati SSL includono i seguenti campi che è possibile convertire in un filtro di ricerca:  

    Campo certificato Variabile
    nome %v1
    società %v2
    organizzazione %v3
    paese %v4
    località %v5
    stato o paese %v6
    numero di serie %v7
    Quando viene creato il filtro di ricerca, è possibile trovare i valori dei campi nei campi delle variabili corrispondenti (%v1, %v2). Nella tabella seguente viene illustrata la conversione:  
    Certificato utente Conversione filtro
    Certificato:
    cn=Road Runner
    o=Acme Inc
    c=US
    
    Filtro:
    (cn=%v1, o=%v3, c=%v4)
    
    Query risultante:
    (cn=RoadRunner, o=Acme, Inc, c=US)
    

ldap.user.name.fieldSep

  • Descrizione: indica i caratteri come separatori di campo validi durante l'analisi del nome utente nei campi.
  • Impostazione predefinita: spazio, virgola e tabulazione (/t).
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.user.name.fieldSep=/
  • Valori: caratteri
  • Suggerimento: Se '/' è l'unico carattere separatore di campo e l'utente immette "Joe Smith/Acme," allora '%v1' sarà uguale a "Joe Smith" e '%v2' sarà uguale a "Acme."

ldap.user.name.filter

  • Descrizione: filtro utilizzato per convertire il nome utente in input da parte dell'utente per la ricerca di una voce LDAP.
  • Impostazione predefinita: "((objectclass=person) (cn=%v1 %v2))"
    dove: %v1 e %v2 rappresentano le parole digitate dall'utente.

    Se, ad esempio, l'utente digita "Paul Kelsey", il filtro di ricerca risultante sarà "((objectclass=person)(cn=Paul Kelsey))". La sintassi dei filtri di ricerca è descritta in Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

    Tuttavia, poiché il server Web non è in grado di differenziare tra più voci restituite, se il server Web restituisce più di una voce, l'autenticazione non riesce. Ad esempio, se l'utente crea ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" e immette Pa Kel, il filtro di ricerca risultante sarà "(cn=Pa* Kel*)". Il filtro trova più voci simili (cn=Paul Kelsey) e (cn=Paula Kelly) e si verifica un errore di autenticazione. E' necessario modificare il filtro di ricerca.

  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.user.name.filter=<filtro nome utente>
  • Valori: un filtro LDAP. Vedere Esecuzione di query al server LDAP utilizzando i filtri di ricerca LDAP.

Ldap.version

  • Descrizione: indica la versione del protocollo LDAP utilizzato per collegarsi al server LDAP. La versione del protocollo utilizzata dal server LDAP determina la versione LDAP. Questa direttiva è facoltativa.
  • Impostazione predefinita: ldap.version=3
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.version=3
  • Valori: 2 o 3

ldap.waitToRetryConnection.interval

  • Descrizione: indica il tempo di attesa del server Web tra i tentativi non riusciti di connessione. Se un server LDAP è inattivo, il server Web effettuerà dei tentativi continui per stabilire una connessione.
  • Impostazione predefinita: 300
  • Modulo: mod_ibm_ldap
  • Istanze multiple nel file di configurazione: sì
  • Ambito: istanza singola per sezione di directory.
  • Sintassi: ldap.waitToRetryConnection.interval=<secondi>
  • Valori: tempo (in secondi)

Informazioni correlate

     (Torna all'inizio)