Erweiterte Einstellungen für LDAP-Benutzer-Registry

Verwenden Sie diese Seite, um die erweiterten Einstellungen für eine LDAP-Benutzer-Registry (Lightweight Directory Access Protocol) zu konfigurieren, wenn Benutzer und Gruppen in einem externen LDAP-Verzeichnis angelegt sind.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutze-Accounts" auf die Dropdown-Liste Verfügbare Realm-Definitionen. Wählen Sie Eigenständige LDAP-Registry aus, und klicken Sie auf Konfigurieren.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzer-Registry.

In den entsprechenden Feldern sind bereits Standardwerte für alle Benutzer- und Gruppenfilter eingetragen. Sie können diese Werte wie gewünscht anpassen. Diese Standardwerte basieren auf dem Typ des LDAP-Servers, der in der Anzeige "Eigenständige LDAP-Registry" ausgewählt wurde. Wird dieser Typ geändert, z. B. von Netscape in Secureway, werden die Standardfilter automatisch geändert. Wenn die Standardfilterwerte geändert werden, wird der Typ des LDAP-Servers in Angepasst geändert. Dadurch wird angezeigt, dass angepasste Filter verwendet werden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige "Globale Sicherheit" wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.

Register 'Konfiguration'

Benutzerfilter

Gibt den LDAP-Benutzerfilter an, der die Benutzer-Registry nach Benutzern durchsucht.

Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Benutzern verwendet und gibt die Eigenschaft an, nach der Benutzer im Verzeichnisservice gesucht werden. Wenn Sie beispielsweise Benutzer nach Ihren Benutzer-IDs suchen möchten, geben Sie (&(uid=%v)(objectclass=inetOrgPerson)) an. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Datentyp String
Gruppenfilter

Gibt den LDAP-Gruppenfilter an, der die Benutzer-Registry nach Gruppen durchsucht.

Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Gruppen verwendet und gibt die Eigenschaft an, nach der Gruppen im Verzeichnisservice gesucht werden. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Datentyp String
Zuordnung von Benutzer-IDs

Gibt den LDAP-Filter an, der den Kurznamen eines Benutzers einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Benutzern angezeigt werden soll. Wenn beispielsweise Einträge des Typs object class = inetOrgPerson nach ihren IDs angezeigt werden sollen, müssen Sie inetOrgPerson:uid angeben. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (Objektklasse:Eigenschaft), jeweils durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Datentyp String
Zuordnung von Gruppen-IDs

Gibt den LDAP-Filter an, der den Kurznamen einer Gruppe einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Gruppen angezeigt werden soll. Geben Sie z. B. *:cn an, um Gruppen nach ihren Namen anzuzeigen. Das Zeichen * ist ein Platzhalterzeichen, mit dem nach allen Objektklassen in dieser Schreibweise gesucht wird. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (Objektklasse:Eigenschaft), jeweils durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Datentyp String
Zuordnung von Gruppen-Member-IDs

Gibt den LDAP-Filter für die Benutzer/Gruppen-Zugehörigkeiten an.

Für Verzeichnisserverprodukte wie SecureWay und Domino können in diesem Felde mehrere Paare vom Typ "Objektklasse:Eigenschaft" angegeben werden. Die Angaben müssen durch ein Semikolon voneinander getrennt werden. Im Objektklasse:Eigenschaft-Paar ist die Objektklasse dieselbe Objektklasse, die im Gruppenfilter definiert ist, und die Eigenschaft gibt das Member-Attribut an. Stimmt die Objektklasse nicht mit der Objektklasse im Gruppenfilter überein, kann die Berechtigung fehlschlagen, wenn Gruppen Sicherheitsrollen zugeordnet sind. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zum LDAP-Verzeichnisservice.

Für IBM Directory Server, Sun ONE und Active Directory können Sie in diesem Feld mehrere Gruppenattribut:Member-Attribut-Paare angeben, die Sie durch ein Semikolon (;) trennen müssen. Diese Wertpaare werden verwendet, um die Gruppenzugehörigkeit eines Benutzers zu ermitteln. Dazu werden alle Gruppenattribute eines bestimmten Benutzers aufgezählt. Beispielsweise wird das Attributpaar memberof:member von Active Directory und das Attributpaar ibm-allGroup:member von IBM Directory Server verwendet. Dieses Feld gibt auch an, unter welcher Eigenschaft einer Objektklasse sich die Liste von Membern der Gruppe befindet, die durch die Objektklasse angegeben wird. Eine Liste der unterstützten LDAP-Verzeichnisserver finden Sie im Abschnitt "Unterstützte Verzeichnisservices".

Datentyp String
Kerberos-Benutzerfilter

Gibt den Wert für den Kerberos-Benutzerfilter an. Dieser Wert kann geändert werden, wenn Kerberos als eines der bevorzugten Authentifizierungsverfahren konfiguriert und aktiv ist.

Datentyp String
Modus für Zertifikatszuordnung

Gibt an, ob X.509-Zertifikate einem LDAP-Verzeichnis mit EXACT_DN oder CERTIFICATE_FILTER zugeordnet werden. Geben Sie CERTIFICATE_FILTER an, wenn Sie den angegebenen Zertifikatfilter für die Zuordnung verwenden möchten.

Datentyp String
Zertifikatsfilter

Gibt die Zertifikatzuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribut im Clientzertifikat den Einträgen in der LDAP-Registry zuzuordnen.

Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Die Syntax bzw. Struktur dieser Datei ist (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Die linke Seite der Filterspezifikation ist ein LDAP-Attribut, das von dem Schema abhängig ist, für das Ihr LDAP-Server konfiguriert ist. Die rechte Seite der Filterspezifikation ist eines der allgemeinen Attribute im Clientzertifikat. Die rechte Seite muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ({) beginnen und mit einer rechten geschweiften Klammer (}) enden. Die folgenden Zertifikatattributwerte können auf der rechten Seite der Filterspezifikation verwendet werden. Die Groß-/Kleinschreibung der Zeichenfolgen muss beachtet werden:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    <xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Ausstellers darstellen. Sie können beispielsweise ${IssuerCN} als allgemeinen Namen für den Aussteller verwenden.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    <xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Subjekts darstellen. Sie können beispielsweise ${SubjectCN} als allgemeinen Namen für das Subjekt verwenden.

  • ${Version}
Datentyp String



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für eigenständige LDAP-Registry


Dateiname: usec_advldap.html