Impostazioni avanzate del registro utenti LDAP (Lightweight Directory Access Protocol)

Utilizzare questa pagina per configurare le impostazioni avanzate del registro utenti LDAP (Lightweight Directory Access Protocol) quando gli utenti e i gruppi si trovano in una directory LDAP esterna.

Per visualizzare questa pagina di gestione, completare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Repository account utenti, fare clic sull'elenco a discesa Definizioni ambito disponibili, selezionare Registro LDAP autonomoe fare clic su Configura.
  3. In Proprietà aggiuntive, fare clic su Impostazioni avanzate del registro utenti LDAP (Lightweight Directory Access Protocol).

I valori predefiniti per tutti i filtri correlati agli utenti e ai gruppi sono già stati completati nei campi appropriati. È possibile modificare tali valori in base ai requisiti. Questi valori predefiniti sono basati sul tipo di server LDAP selezionato nel pannello delle impostazioni del registro LDAP autonomo. Se questo tipo viene cambiato, ad esempio da Netscape a Secureway, cambia anche il filtro per impostazione predefinita. Quando i valori predefiniti dei filtri vengono modificati, il tipo di server LDAP viene modificato in Personalizzato per indicare l'uso dei filtri personalizzati. Quando è abilitata la sicurezza e viene cambiata una qualsiasi di queste proprietà, passare al pannello Sicurezza globale e fare clic su Applica oppure su OK per convalidare i cambiamenti.

Filtro utente

Specifica il filtro utente LDAP che consente di ricercare gli utenti nel registro utenti.

Questa opzione è normalmente usata per assegnazioni di ruolo di sicurezza ad un utente e specifica la proprietà per cui ricercare gli utenti nel servizio directory. Ad esempio, per ricercare utenti in base all'ID, specificare (&(uid=%v)(objectclass=inetOrgPerson)). Per ulteriori informazioni relative alla sintassi, consultare la documentazione del servizio di directory LDAP.

Tipo di dati: String
Filtro gruppo

Specifica il filtro gruppo LDAP che consente di ricercare i gruppi nel registro utenti

Questa opzione è normalmente usata per assegnazioni di sicurezza di ruolo ad un utente e specifica la proprietà mediante la quale è possibile ricercare i gruppi nel servizio directory. Per ulteriori informazioni relative alla sintassi, consultare la documentazione del servizio di directory LDAP.

Tipo di dati: String
Mappa ID utente

Specifica il filtro LDAP che definisce il nome abbreviato di un utente su una voce LDAP.

Specifica la parte di informazioni che rappresenta gli utenti al momento della loro visualizzazione. Ad esempio, per visualizzare le voci della classe oggetto = inetOrgPerson tramite gli ID, specificare inetOrgPerson:uid. Questo campo comprende pi- coppie objectclass:property delimitate da un punto e virgola (;).

Tipo di dati: String
Mappa ID gruppo

Specifica il filtro LDAP che definisce il nome abbreviato di un gruppo su una voce LDAP.

Specifica la parte di informazioni che rappresentano i gruppi al momento della loro visualizzazione. Ad esempio per visualizzare i gruppi per nome, specificare *:cn. L'asterisco (*) è un carattere jolly che ricerca tutte le classi di oggetti. Questo campo contiene più coppie objectclass:property, delimitate da un punto e virgola (;).

Tipo di dati: String
Mappa ID membri del gruppo

Specifica il filtro LDAP che identifica le relazioni tra utente e gruppo.

Per i tipi di directory SecureWay e Domino, questo campo comprende più coppie objectclass:property, delimitate da punto e virgola. Nella coppia objectclass:property, il il valore object è lo stesso definito nel filtro gruppo e la proprietà è l'attributo del membro. Se il valore object non corrisponde all'objectclass in Filtrogruppo, l'autorizzazione potrebbe non essere valida se i gruppi sono mappati su ruoli di sicurezza. Per ulteriori informazioni circa questa sintassi, consultare la documentazione del servizio di directory LDAP.

Per IBM Directory Server, Sun ONE, ed Active Directory, questo campo comprende più coppie attributo gruppo:attributo membro delimitate da un punto e virgola (;). Le coppie vengono utilizzate per trovare i membri di un gruppo utente numerando tutti gli attributi del gruppo in possesso di un dato utente. Ad esempio, la coppia di attributi memberof:member viene utilizzata da Active Directory e da IBM Directory Server (ibm-allGroup:member). Questo campo, specifica inoltre quale proprietà di una classe oggetti che memorizza la lista di membri appartenenti al gruppo mediante la objectclass. Per i server di directory LDAP supportati, consultare "Servizi di directory supportati".

Tipo di dati: String
Filtro utente Kerberos

Specifica il valore di filtro dell'utente Kerberos. Questo valore può essere modificato quando Kerberos viene configurato ed è attivo come uno dei meccanismi di autenticazione desiderati.

Tipo di dati: String
Modalità mappa certificato

Indica se definire i certificati X.509 in una directory LDAP con EXACT_DN o CERTIFICATE_FILTER. Specificare l'utilizzo da parte di CERTIFICATE_FILTER del filtro certificati indicato per la definizione.

Tipo di dati: String
Filtro certificati

Specifica la proprietà di mappatura certificati filtro del filtro LDAP. Il filtro viene utilizzato per mappare gli attributi del certificato client sulle voci del registro LDAP.

Se più di una voce LDAP corrisponde alla specifica filtro durante il runtime, l'autenticazione non riesce poiché la corrispondenza risulta ambigua. La sintassi o la struttura di questo filtro è: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Il lato sinistro della specifica del filtro è un attributo LDAP che dipende dallo schema che utilizza il server LDAP. Il lato destro della specifica del filtro è uno degli attributi pubblici del certificato client. Il lato destro deve cominciare con un segno di dollaro ($), una parentesi graffa aperta({) e deve terminare con una parentesi graffa chiusa (}). I seguenti valori degli attributi dei certificati possono essere utilizzati sul lato destro della specifica del filtro. Il formato delle stringhe è importante:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    dove <xx> viene sostituito dai caratteri che rappresentano qualsiasi componente valido di Issuer Distinguished Name. Ad esempio, è possibile utilizzare ${IssuerCN} per Issuer Common Name.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    dove <xx> viene sostituito dai caratteri che rappresentano qualsiasi componente valido di Subject Distinguished Name. Ad esempio, è possibile utilizzare ${SubjectCN} per Subject Common Name.

  • ${Version}
Tipo di dati: String



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati
Impostazioni del registro LDAP autonomo


Nome file: usec_advldap.html