Setările registrului de utilizatori LDAP (Lightweight Directory Access Protocol) avansat

Utilizaţi această pagină pentru a configura setările avansate ale registrului de utilizatori LDAP (Lightweight Directory Access Protocol) când utilizatorii şi grupurile se află într-un director LDAP extern.

Pentru a vizualiza această pagină administrativă, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Sub Magazie cont utilizator, apăsaţi pe lista derulantă Definiţii regiune disponibile, selectaţi Registru LDAP independent şi apăsaţi pe Configurare.
  3. Din Proprietăţi suplimentare, apăsaţi pe Setările registrului de utilizatori LDAP (Lightweight Directory Access Protocol) avansat.

Valorile implicite pentru toate filtrele înrudite de utilizator şi grup sunt deja completate în câmpurile corespunzătoare. Puteţi modifica aceste valori în funcţie de cerinţele dumneavoastră. Aceste valori implicite se bazează pe tipul de server LDAP care este selectat în panoul de setări ale registrului LDAP independent. Dacă acest tip se modifică, de exemplu de la Netscape la Secureway, filtrele implicite se modifică automat. Când se modifică calorile de filtru implicite, tipul serverului LDAP se modifică la Personalizat pentru a indica faptul că se utilizează filtre personalizate. Când este activată securitatea şi vreuna dintre aceste proprietăţi se modifică, deplasaţi-vă la panoul de securitate globală şi apăsaţi pe Aplicare sau OK pentru a valida modificările.

Filtru utilizator

Specifică filtrul de utilizator LDAP care caută utilizatori în registrul de utilizatori.

Această opţiune este utilizată de obicei pentru asignări de securitate rol-la-utilizator şi specifică proprietatea după care să se caute utilizatori în serviciul directorului. De exemplu, pentru a căuta utilizatori pe baza ID-urilor lor de utilizator, specificaţi (&(uid=%v)(objectclass=inetOrgPerson)). Pentru informaţii suplimentare despre această sintaxă, consultaţi documentaţia serviciului directorului LDAP.

Tip date: Şir
Filtru grup

Specifică filtrul de grup LDAP care caută grupuri în registrul de utilizatori

Această opţiune este utilizată de obicei pentru asignări de securitate rol-la-grup şi specifică proprietatea după care să se caute grupuri în serviciul directorului. Pentru informaţii suplimentare despre această sintaxă, consultaţi documentaţia serviciului directorului LDAP.

Tip date: Şir
Mapare ID utilizator

Specifică filtrul LDAP care mapează numele scurt al unui utilizator la o intrare LDAP.

Specifică bucata de informaţii care reprezintă utilizatorii când aceştia se afişează. De exemplu, pentru a afişa intrări ale tipului object class = inetOrgPerson după ID-urile lor, specificaţi inetOrgPerson:uid. Acest câmp primeşte mai multe perechi objectclass:property delimitate prin punct şi virgulă (;).

Tip date: Şir
Mapare ID grup

Specifică filtrul LDAP care mapează numele scurt al unui grup la o intrare LDAP.

Specifică bucata de informaţii care reprezintă grupurile când acestea se afişează. De exemplu, pentru a afişa grupurile după numele lor, specificaţi *:cn. Asteriscul (*) este un caracter de înlocuire care caută orice clasă de obiect în acest caz. Acest câmp primeşte mai multe perechi objectclass:property, delimitate prin punct şi virgulă (;).

Tip date: Şir
Mapare ID membru grup

Specifică filtrul LDAP care identifică relaţiile utilizator-la-grup.

Pentru tipurile de director SecureWay şi Domino, acest câmp primeşte mai multe perechi objectclass:property, delimitate prin punct şi virgulă (;). Într-o pereche objectclass:property, valoarea clasei de obiecte este aceeaşi clasă de obiecte care este definită înfiltrul de grup, iar proprietatea este atributul membrului. Dacă clasa de obiecte nu se potriveşte clasei de obiecte din filtrul grupului, autorizarea ar putea eşua dacă grupurile sunt mapate la roluri de securitate. Pentru informaţii suplimentare despre această sintaxă, consultaţi documentaţia serviciului directorului dumneavoastră LDAP.

Pentru IBM Directory Server, Sun ONE şi Active Directory, acest câmp primeşte mai multe perechi atribut grup:atribut membru delimitate printr-un punct şi virgulă. Aceste perechi sunt utilizate pentru a găsi apartenenţele la grup ale unui utilizator enumerând toate atributele de grup care sunt posedate de un utilizator dat. De exemplu, perechea memberof:member este utilizată de Active Directory şi ibm-allGroup:member este utilizat de IBM Directory Server. Acest câmp specifică şi ce proprietate a unei clase de obiecte stochează lista de membri care aparţine grupului reprezentat de clasa de obiecte. Pentru serverele de director LDAP, consultaţi "Servicii de director suportate".

Tip date: Şir
Filtru de utilizator Kerberos

Specifică valoarea filtrului de utilizator Kerberos. Această valoare poate fi modificată când Kerberos este configurat şi este activ ca unul dintre mecanismele de autentificare preferate.

Tip date: Şir
Modul hărţii de certificat

Specifică dacă să se mapeze certificate X.509 într-un director LDAP prin EXACT_DN sau CERTIFICATE_FILTER. Specificaţi CERTIFICATE_FILTER pentru a utiliza filtrul de certificat specificat pentru mapare.

Tip date: Şir
Filtru certificat

Specifică prorpietatea de mapare a certificatului de filtru pentru filtrul LDAP. Filtrul este utilizat pentru a mapa atribute în certificatul de client la intrări din registrul LDAP.

Dacă se potriveşte mai mult de o intrare LDAP specificaţiei de filtru la runtime, autentificarea eşuează pentru că rezultatul este o potrivire ambiguă. Sintaxa structurii acestui filtru este: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Partea din stânga a specificaţiei filtrului este un atribut LDAP care depinde de schema pe care serverul dumneavoastră LDAP este configurată să-l utilizeze. Partea dreaptă a specificaţiei filtrului este unul dintre atributele publice din certificatul dumneavoastră de client. Partea dreaptă trebuie să înceapă cu un semn dolar ($) şi acoladă deschisă ({) şi să se termine cu o acoladă închisă (}). Puteţi utiliza următoarele valori de atribute de certificat pe partea dreaptă a specificaţiei filtrului. Formatul şirului (litere mari-mici) este important:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    unde <xx> este înlocuit de caracterele care reprezintă orice componentă validă a Numelui distinctiv emitent (Issuer Distinguished Name). De exemplu, aţi putea utiliza ${IssuerCN} pentru Numele comun emitent (Issuer Common Name).

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    unde <xx> este înlocuit de caracterele care reprezintă orice componentă validă a Numelui distinctiv subiect (Subject Distinguished Name). De exemplu, aţi putea utiliza ${SubjectCN} pentru Numele comun subiect (Subject Common Name).

  • ${Version}
Tip date: Şir



Legăturile marcate (online) necesită acces la internet.

Related tasks
Related reference
Setările registrului LDAP independent


Nume fişier: usec_advldap.html