Rozšířené nastavení registru uživatelů LDAP (Lightweight Directory Access Protocol)

Prostřednictvím této stránky můžete konfigurovat rozšířené nastavení registru uživatelů LDAP (Lightweight Directory Access Protocol), pokud jsou uživatelé a skupiny umístěni v externím adresáři LDAP.

Chcete-li zobrazit tuto stránku pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Úložiště uživatelského účtu klepněte na rozevírací seznam Definice dostupné sféry, vyberte volbu Samostatný registr LDAP a klepněte na tlačítko Konfigurovat.
  3. V části Další vlastnosti klepněte na volbu Rozšířené nastavení registru uživatelů LDAP (Lightweight Directory Access Protocol).

Výchozí hodnoty pro všechny filtry týkající se uživatelů a skupin jsou již v příslušných polích nastaveny. Tyto hodnoty můžete změnit podle vlastních požadavků. Tyto výchozí hodnoty jsou založeny na typu serveru LDAP, který je vybrán na panelu nastavení samostatného registru LDAP. Pokud se typ změní (například z hodnoty Netscape na hodnotu Secureway), automaticky se změní i výchozí filtry. Pokud se změní výchozí hodnoty filtrů, změní se typ serveru LDAP na hodnotu Vlastní, aby bylo zřejmé, že jsou používány vlastní filtry. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Globální zabezpečení a klepnutím na tlačítko Použít nebo OK změny ověřte.

Karta Konfigurace

Uživatelský filtr

Určuje uživatelský filtr LDAP, který v registru uživatelů vyhledává uživatele.

Tato volba se typicky používá pro přiřazení role zabezpečení k uživateli a určuje vlastnost, podle které mají být uživatelé v rámci adresářové služby vyhledáváni. Chcete-li například vyhledávat uživatele na základě jejich jmen, zadejte řetězec (&(uid=%v)(objectclass=inetOrgPerson)). Další informace o této syntaxi naleznete v dokumentaci adresářové služby LDAP.

Datový typ: Řetězec
Skupinový filtr

Určuje skupinový filtr LDAP, který v registru uživatelů vyhledává skupiny.

Tato volba se typicky používá pro přiřazení role zabezpečení ke skupině a určuje vlastnost, podle které mají být skupiny v rámci adresářové služby vyhledávány. Další informace o této syntaxi naleznete v dokumentaci adresářové služby LDAP.

Datový typ: Řetězec
Mapování jmen uživatelů

Určuje filtr LDAP, který mapuje krátké jméno uživatele na položku LDAP.

Určuje údaj, který představuje uživatele při jejich zobrazení. Chcete-li například zobrazit položky typu objectclass=inetOrgPerson podle jejich ID, zadejte inetOrgPerson:uid. Do tohoto pole lze zadat více dvojic objectclass:property oddělených středníkem (;).

Datový typ: Řetězec
Mapování ID skupin

Určuje filtr LDAP, který mapuje krátký název skupiny na položku LDAP.

Určuje údaj, který představuje skupiny při jejich zobrazení. Chcete-li například zobrazit skupiny podle jejich názvů, zadejte *:cn. Na základě zástupného znaku představovaného hvězdičkou (*) probíhá v tomto případě hledání u všech tříd objektů. Do tohoto pole lze zadat více dvojic objectclass:property oddělených středníkem (;).

Datový typ: Řetězec
Mapování ID členů skupin

Určuje filtr LDAP, který označuje vztahy uživatel-skupina.

U typů adresářů SecureWay a Domino lze do tohoto pole zadat více dvojic objectclass:property oddělených středníkem (;). Ve dvojici objectclass:property představuje hodnota třídy objektů (objectclass) stejnou třídy objektů, která je definována ve skupinovém filtru, a vlastnost (property) je atribut člena. Pokud hodnota třídy objektů neodpovídá třídě objektů ve skupinovém filtru, může v případě, že jsou skupiny mapované k rolím zabezpečení, selhat autorizace. Další informace o této syntaxi naleznete v dokumentaci adresářové služby LDAP.

U serverů IBM Directory Server, Sun ONE a Active Directory lze do tohoto pole zadat více dvojic group attribute:member attribute oddělených středníkem. Tyto dvojice se používají k vyhledání členství uživatele ve skupinách, a to zobrazením všech atributů skupiny vlastněných daným uživatelem. Například dvojice atributů memberof:member je používána službou Active Directory a dvojice ibm-allGroup:member je používána serverem IBM Directory Server. Toto pole rovněž určuje, ve které vlastnosti třídy objektů je uložen seznam členů náležejících ke skupině představované třídou objektů. Podporované adresářové servery LDAP naleznete v části Podporované adresářové služby.

Datový typ: Řetězec
Uživatelský filtr Kerberos

Určuje hodnotu uživatelského filtru ověřování Kerberos. Tuto hodnotu lze upravit při konfigurování ověřování Kerberos a může být aktivní jako jeden z preferovaných mechanismů ověřování.

Datový typ: Řetězec
Režim mapování certifikátů

Určuje, zda mají být certifikáty X.509 mapovány na adresář LDAP metodou EXACT_DN nebo CERTIFICATE_FILTER. Chcete-li pro mapování použít zadaný filtr certifikátů, vyberte volbu CERTIFICATE_FILTER.

Datový typ: Řetězec
Filtr certifikátů

Určuje vlastnost mapování filtru certifikátů pro filtr LDAP. Tento filtr bude použit k mapování atributů v certifikátech klienta na položky v registru LDAP.

Pokud specifikaci filtru odpovídá během zpracování více než jedna položka LDAP, dojde k selhání ověřování, protože výsledkem bude nejednoznačná shoda. Syntaxe či struktura tohoto filtru je následující: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Na levé straně specifikace filtru je atribut služby LDAP, který závisí na schématu, pro jehož používání je server LDAP konfigurován. Na pravé straně specifikace filtru je jeden z veřejných atributů v certifikátu klienta. Pravá strana musí začínat znakem dolar ($) a levou závorkou ({) a musí končit pravou závorkou (}). Na pravé straně specifikace filtru můžete používat následující hodnoty atributu certifikátu. Velikost písmen je důležitá:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    kde znaky <xx> jsou nahrazeny znaky představujícími kteroukoli platnou komponentu rozlišujícího názvu vydavatele. Můžete například použít označení ${IssuerCN} pro běžný název vydavatele.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    kde znaky <xx> jsou nahrazeny znaky představujícími kteroukoli platnou komponentu rozlišujícího názvu subjektu. Můžete například použít označení ${SubjectCN} pro běžný název subjektu.

  • ${Version}
Datový typ: Řetězec



Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení samostatného registru LDAP


Název souboru: usec_advldap.html