LDAP ディレクティブ: IBM HTTP Server

LDAP ディレクティブの使用 (Using Lightweight Directory Access Protocol directives)

このセクションには、LDAP (Lightweight Directory Access Protocol) ディレクティブに関する情報があります。これらのディレクティブは、Linux for S/390 を除いて、サポートされるすべてのプラットフォームで機能します。この情報には、ディレクティブの詳細な説明、値、デフォルト、およびヒントが含まれます。このセクションの終わりに、関連トピックへのリンクがあります。

LdapConfigFile

説明: LDAP パラメーターのグループと関連付けられた LDAP プロパティー・ファイルの名前を指示します。
デフォルト: c:\program files\ibm http server\conf\ldap.prop.sample.
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: LdapConfigFile <Fully qualified path to configuration file>
値: 単一構成ファイルへの完全修飾パス。

ヒントこのディレクティブは httpd.conf ファイルで使用します。

LDAPRequire

説明: LDAP 認証使用時のグループを指示します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: LDAPRequire filter <filter name> または LDAPRequire group <group1 [group2.group3....]>
値: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"、または LDAPRequire group "sample group"

ヒント: このディレクティブは httpd.conf ファイルで使用します。

ldap.application.authType

説明: LDAP サーバーに対して Web サーバーを認証するためのメソッドを指定します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.application.authType=None
値:
- なし: LDAP サーバーが Web サーバーの認証を必要としない場合。
- 基本: Web サーバーの識別名 (DN) をユーザー ID として、 stash ファイルに保管されたパスワードをパスワードとして使用します。

ldap.application.DN

説明: Web サーバーの識別名 (DN) を指示します。基本認証を使って LDAP サーバーにアクセスするときに、ユーザー名としてこの名前を使用します。 LDAP サーバーに指定されている項目を使用して、ディレクトリー・サーバーにアクセスします。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.application.DN=cn=ldapadm,ou=ihs test,o=IBM,c=US
値: 識別名

ldap.application.password.stashFile

説明: サーバー認証タイプが「基本」の場合に、アプリケーションが LDAP サーバーに対して認証を行うために使用する暗号化されたパスワードが含まれた stash ファイルの名前を指示します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.application.password.stashFile=c:\IHS\ldap.sth
値: stash ファイルへの完全修飾パス。

ヒント: この stash ファイルは ldapstash コマンドで作成できます。

ldap.cache.timeout

説明: LDAP サーバーからの応答をキャッシュに入れます。Web サーバーをマルチプロセスとして稼動するように構成した場合、それぞれのプロセスが独自のキャッシュのコピーを管理します。
デフォルト: 600
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.cache.timeout= <secs>
値: LDAP サーバーから戻された応答が有効である最大時間 (秒)。

ldap.group.attributes

説明: 識別名 (DN) が LDAP 検索により実際のグループであるかどうかを判別するのに使用されるフィルターを指示します。
デフォルト: groupofnames groupofuniquenames
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.attribute= attribute1 [attribute2...]
値: フィルター名

ldap.group.dnattributes

説明: DN (識別名) が実際のグループかどうかを、LDAP 検索を介して判別するために使用されるフィルター
デフォルト: groupofnames groupofuniquenames
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.memberattribute= <ldap filter>
値: ldap フィルター。- このディレクティブの使用法については、サンプルの ldap.prop.sample を参照してください。

ldap.group.memberattribute

説明: 既存のグループから固有グループを検索するために指定される属性
デフォルト: uniquegroup
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.memberattribute= <attribute>
値: ldap 属性。このディレクティブの使用法については、サンプルの ldap.prop.sample を参照してください。

ldap.group.memberAttributes

説明: 機能が LDAP ディレクトリーでグループ項目を検出したら、グループ・メンバーを抽出する手段として機能します。
デフォルト: member および uniqueMember
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.memberAttributes= attribute [attribute2....]
値: グループ・メンバーの識別名に等しい必要があります。メンバー情報を含めるために複数の属性を使用することができます。

ldap.group.name.filter

説明: グループ名を検索するために LDAP が使用するフィルターを指示します。
デフォルト: (&(cn=%v1)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames))
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.name.filter= <group name filter>
値: LDAP フィルター。LDAP 検索フィルターを使用した LDAP サーバーの照会を参照してください。

ldap.group.URL

説明: 同じ LDAP サーバー上のグループのために異なる位置を指定します。このディレクティブは、ldap.URL ディレクティブに指定されているものと異なる LDAP サーバーを指定するためには使用できません。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.group.URL=ldap://<hostName:Port>/<BaseDN>
値:
- hostName: LDAP サーバーのホスト名。
- Port Number: LDAP サーバーが listen するオプションのポート番号。TCP 接続のデフォルトは 389 です。SSL を使用する場合は、ポート番号を指定する必要があります。
- BaseDN: グループの検索を実行する LDAP ツリーのルートを提供します。
このプロパティーは、グループの LDAP URL が ldap.URL プロパティーによって指定された URL と異なる場合に必要となります。

ldap.idleConnection.timeout

説明: パフォーマンスを向上させるために LDAP サーバーへの接続をキャッシュに入れます。
デフォルト: 600
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.idleConnection.timeout= <secs>
値: アイドルの LDAP サーバー接続が非アクティブ状態のためにクローズするまでの時間の長さ (秒)。

ldap.key.file.password.stashfile

説明: 暗号化された keyfile のパスワードが入っている stash ファイルを指示します。この stash ファイルを作成するには ldapstash コマンドを使用します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.key.file.password.stashfile =d:\<Key password file name>
値: stash ファイルへの完全修飾パス。

ldap.key.fileName

説明: 鍵ファイル・データベースのファイル名を指示します。SSL を使用する場合、このオプションは必須になります。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.key.fileName=d:\<Key file name>
値: 鍵ファイルへの完全修飾パス。

ldap.key.label

説明: Web サーバーが LDAP サーバーに対して認証を行う時に使用する証明書ラベルの名前を指示します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.key.label=<My Server Certificate>
値: 鍵のデータベース・ファイルに使用される有効なラベル。

ヒント: このラベルは、セキュア・ソケット・レイヤー (SSL) を使用し、 LDAP サーバーが Web サーバーからのクライアント認証を要求するときにのみ、必須になります。

ldap.realm

説明: 要求元クライアントに表示される保護領域の名前を指示します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.realm==<Protection Realm>
値: 保護ページを記述する説明。

ldap.search.depth

説明: LdapRequire group <group> ディレクティブの指定時にサブグループを検索します。グループには、個々のメンバーや他のグループを入れることができます。
デフォルト: 1
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.search.depth = <secs>
値: 整数。
グループの検索を行うとき、認証のプロセス内のメンバーが、必要なグループのメンバーでない場合、必要なグループのサブグループも検索されます。たとえば次のように指定します。
```
group1 >group2 (group2 は group1 のメンバーです)
group2 >group3 (group3 は group2 のメンバーです)
group3 >jane   (jane は group3 のメンバーです)
```
jane を検索し、jane を group1 のメンバーとして必要とする場合、デフォルトの ldap.search.depth 値の 1 では検索が失敗します。 ldap.group.search.depth>2 を指定すれば検索は成功します。

ldap.group.search.depth=<検索の深さ -- 数値> を使用して、サブグループ検索の深さを限定します。このタイプの検索は、LDAP サーバー上で非常に内包的になる可能性があります。 group1 が group2 をメンバーとして含み、group2 が group1 をメンバーとして含む場合、このディレクティブが検索の深さを制限します。前の例では、group1 の深さは 1、group2 の深さは 2、 group3 の深さは 3 です。

ldap.search.timeout

説明: LDAP サーバーが検索操作を完了するまで待機する最大時間 (秒) を指示します。
デフォルト: 10
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.search.timeout = <secs>
値: 時間の長さ (秒)。

ldap.transport

説明: LDAP サーバーとの通信に使用されるトランスポート・メソッドを指示します。
デフォルト: TCP
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.transport=TCP
値: TCP または SSL

ldap.url

説明: 認証を行う対象の LDAP サーバーの URL を指示します。
デフォルト: なし
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.url=ldap://<hostName:Port>/<BaseDN>
オプション：
- hostName: LDAP サーバーのホスト名を表します。
- Port: LDAP サーバーが listen するオプションのポート番号を表します。TCP 接続のデフォルトは 389 です。SSL を使用する場合は、ポート番号を指定する必要があります。
- BaseDN

Ldap.user.authType

説明: Web サーバーを要求しているユーザーを認証するためのメソッドを指示します。LDAP サーバーにアクセスするときに、ユーザー名としてこの名前を使用します。
デフォルト: Basic
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: Ldap.user.authType=BasicIfNoCert
値: Basic、 Cert、BasicIfNoCert

ldap.user.cert.filter

説明: SSL を介して渡されたクライアント証明書の中の情報を、 LDAP 項目の検索フィルターに変換するのに使用されるフィルターを指示します。
デフォルト: "(&(objectclass=person) (cn=%v1, ou=%v2, o=%v3,c=%v4))".
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.user.cert.filter=(&(objectclass=person)(cn=%v1))
値: LDAP フィルター。LDAP 検索フィルターを使用した LDAP サーバーの照会を参照してください。

ヒント: SSL 証明書には、以下のフィールドが含まれ、そのすべてを検索フィルターに変換することができます。

証明書フィールド	変数
共通名	`%v1`
組織単位	`%v2`
組織	`%v3`
国	`%v4`
市町村	`%v5`
都道府県	`%v6`
シリアル番号	`%v7`

ユーザー証明書	フィルター変換
証明書:	cn=Road Runner o=Acme Inc c=US
フィルター:	(cn=%v1, o=%v3, c=%v4)
生成される照会:	(cn=RoadRunner, o=Acme, Inc, c=US)

ldap.user.name.fieldSep

説明: ユーザー名を複数のフィールドに解析するときの、有効なフィールド区切り文字としての文字を指示します。
デフォルト: スペース、コンマ、およびタブ (/t) 文字。
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.user.name.fieldSep=/
値: 文字

ヒント: '/' が唯一のフィールド区切り文字を表して、ユーザーが "Joe Smith/Acme" と入力した場合には、 '%v1' は "Joe Smith" と等しく '%v2' は "Acme" と等しくなります。

ldap.user.name.filter

説明: ユーザーに入力されたユーザー名を LDAP 項目の検索フィルターに変換するのに使用されるフィルター。
デフォルト: "((objectclass=person) (cn=%v1 %v2))"
ここで、%v1 と %v2 はユーザーが入力した語句を表します。
たとえば、ユーザーが "Paul Kelsey" と入力した場合には、作成される検索フィルターは "((objectclass=person)(cn=Paul Kelsey))" になります。検索フィルターの構文については、 LDAP 検索フィルターを使用した LDAP サーバーの照会に説明があります。

ただし、LDAP サーバーが複数の項目を戻した場合は、 Web サーバーは戻された複数の項目の違いを区別できないため認証は失敗します。たとえば、ユーザーが ldap.user.name.filter= "((objectclass=person)(cn=%v1* %v2*))" を作成して、Pa Kel と入力すると、作成される検索フィルターは "(cn=Pa* Kel*)" になります。このフィルターは (cn=Paul Kelsey) や (cn=Paula Kelly) などの複数の項目を検出して、認証は失敗します。この場合、検索フィルターを変更する必要があります。
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.user.name.filter=<User Name Filter>
値: LDAP フィルター。LDAP 検索フィルターを使用した LDAP サーバーの照会を参照してください。

Ldap.version

説明: LDAP サーバーに接続するのに使用する LDAP プロトコルのバージョンを指示します。 LDAP サーバーによって使用されるプロトコル・バージョンによって、LDAP バージョンが決まります。このディレクティブはオプションです。
デフォルト: ldap.version=3
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.version=3
値: 2 または 3

ldap.waitToRetryConnection.interval

説明: Web サーバーが失敗した接続試行の間で待機する時間を指示します。LDAP サーバーがダウンした場合には、 Web サーバーは引き続き接続を試行します。
デフォルト: 300
モジュール: mod_ibm_ldap
構成ファイル内の複数インスタンス: 可
有効範囲: ディレクトリー・スタンザごとに単一インスタンス
構文: ldap.waitToRetryConnection.interval=<secs>
値: 時間 (秒)

関連情報

     (トップに戻る)