Zaawansowane ustawienia rejestru użytkowników Lightweight Directory Access Protocol (LDAP)

Ta strona umożliwia skonfigurowanie zaawansowanych ustawień rejestru użytkowników LDAP (Lightweight Directory Access Protocol), jeśli użytkownicy i grupy rezydują w zewnętrznym katalogu LDAP.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Repozytorium kont użytkowników kliknij listę rozwijaną Definicje dostępnych dziedzin, wybierz opcję Autonomiczny rejestr LDAP i kliknij opcję Konfiguruj.
  3. Na karcie Właściwości dodatkowe kliknij opcję Zaawansowane ustawienia rejestru użytkowników Lightweight Directory Access Protocol (LDAP) .

Domyślne wartości dla wszystkich filtrów odnoszących się do użytkowników i grup są już wpisane w odpowiednich polach. Wartości te można zmienić w zależności od wymagań. Te domyślne wartości są oparte o typ serwera LDAP wybranego w panelu ustawień autonomicznego rejestru protokołu LDAP. Jeśli typ ten ulegnie zmianie, na przykład z Netscape na Secureway, następuje automatyczna zmiana filtrów domyślnych. Wraz ze zmianą domyślnych wartości filtru, typ serwera LDAP ulega zmianie na Niestandardowy aby wskazać, że wykorzystywane są filtry niestandardowe. Jeśli zabezpieczenia zostaną włączone, a dowolna z tych właściwości ulegnie zmianie, przejdź do panelu Zabezpieczenia globalne i kliknij Zastosuj lub OK w celu sprawdzenia poprawności tych zmian.

Filtr użytkowników

Określa filtr użytkowników LDAP wyszukujący użytkowników w rejestrze użytkowników.

Opcja ta jest zazwyczaj wykorzystywana do przypisywania roli bezpieczeństwa do użytkownika i określa właściwość, według której będą wyszukiwani użytkownicy w usłudze katalogu. Na przykład aby wyszukać użytkowników na podstawie ich identyfikatorów, należy wpisać wartość (&(uid=%v)(objectclass=inetOrgPerson)). Więcej informacji o tej składni można znaleźć w dokumentacji usługi katalogu LDAP.

Typ danych: String
Filtr grup

Określa filtr grup LDAP wyszukujący grupy w rejestrze użytkowników.

Opcja ta jest zazwyczaj wykorzystywana do przypisywania roli bezpieczeństwa do grupy i określa właściwość, według której będą wyszukiwane grupy w usłudze katalogu. Więcej informacji o tej składni można znaleźć w dokumentacji usługi katalogu LDAP.

Typ danych: String
Odwzorowanie ID użytkownika

Określa filtr LDAP, który odwzorowuje krótką nazwę użytkownika na wpis LDAP.

Określa fragment informacji reprezentujący użytkowników podczas ich wyświetlania. Na przykład, aby wyświetlić pozycje typu klasa obiektu = inetOrgPerson według identyfikatorów, wpisz inetOrgPerson:uid. To pole zawiera wiele par typu klasa_obiektu:właściwość oddzielonych średnikami (;).

Typ danych: String
Odwzorowanie ID grupy

Określa filtr LDAP, który odwzorowuje krótką nazwę grupy na wpis LDAP.

Określa fragment informacji reprezentujący grupy podczas ich wyświetlania. Na przykład, aby wyświetlić grupy według ich nazw, wpisz *:cn. Gwiazdka (*) jest w tym wypadku znakiem wieloznacznym umożliwiającym wyszukanie dowolnej klasy obiektu. To pole zawiera wiele par typu klasa_obiektu:właściwość oddzielonych średnikami (;).

Typ danych: String
Odwzorowanie ID członka grupy

Określa filtr LDAP identyfikujący relacje między użytkownikiem a grupą.

W przypadku katalogów typu SecureWay i Domino pole to zawiera wiele par typu klasa_obiektu:właściwość oddzielonych średnikiem (;). W parze typu klasa_obiektu:właściwość, wartość klasy obiektu jest tą samą klasą obiektu co zdefiniowana w filtrze grupy, a właściwość jest atrybutem elementu. Jeśli wartość klasy obiektu odpowiada klasie obiektu w filtrze grupy, to uwierzytelnianie może nie powieść się, jeśli grupy są odwzorowane na role zabezpieczeń. Więcej informacji o tej składni można znaleźć w dokumentacji usługi katalogu LDAP.

W przypadku produktów IBM Directory Server, Sun ONE oraz Active Directory w polu tym znajduje się wiele par typu atrybut_grupy:atrybut_elementu oddzielonych średnikiem (;). Pary te są wykorzystywane do odnalezienia członkostwa w grupie dla użytkownika przez wyszczególnienie wszystkich atrybutów grupy posiadanych przez danego użytkownika. Na przykład para atrybutów memberof:member jest wykorzystywana przez produkt Active Directory, natomiast para ibm-allGroup:member jest wykorzystywana przez produkt IBM Directory Server. To pole określa także, która z właściwości obiektu zawiera listę elementów należących do grupy reprezentowanej przez klasę obiektu. W przypadku obsługiwanych serwerów katalogu LDAP, zobacz "Obsługiwane usługi katalogów".

Typ danych: String
Filtr użytkowników protokołu Kerberos

Określa wartość filtru użytkowników protokołu Kerberos. Wartość tę można zmienić, gdy protokół Kerberos zostanie skonfigurowany i będzie aktywny jako jeden z preferowanych mechanizmów uwierzytelniania.

Typ danych: String
Tryb odwzorowywania certyfikatów

Określa, czy odwzorowywać certyfikaty X.509 na LDAP za pomocą trybu EXACT_DN czy CERTIFICATE_FILTER. Parametr CERTIFICATE_FILTER służy do wykorzystania określonego filtru dla odwzorowania.

Typ danych: String
Filtr certyfikatów

Określa właściwość odwzorowania filtru certyfikatów dla filtru LDAP. Filtr jest używany do odwzorowania atrybutów certyfikatów klienta na wpisy w rejestrze LDAP.

Jeśli w czasie wykonywania więcej niż jeden wpis LDAP odpowiada specyfikacji filtru, uwierzytelnianie kończy się niepowodzeniem, ponieważ wynik jest niejednoznaczny. Składnia lub struktura tego filtru jest następująca: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Po lewej stronie specyfikacji filtru występuje atrybut LDAP zależny od schematu, do korzystania z którego serwer LDAP jest skonfigurowany. Po prawej stronie specyfikacji filtru występuje jeden z atrybutów publicznych zawartych w certyfikacie klienta. Prawa strona musi rozpoczynać się znakiem dolara ($) i nawiasem otwierającym ({), a kończyć nawiasem zamykającym (}). Po prawej stronie specyfikacji filtru można używać następujących wartości atrybutów certyfikatu. Wielkość liter ma tutaj znaczenie:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    gdzie znaki <xx> są zastąpione przez znaki reprezentujące dowolny poprawny komponent nazwy wyróżniającej wystawcy. Na przykład można użyć łańcucha ${IssuerCN} dla nazwy zwykłej wystawcy.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    gdzie znaki <xx> są zastąpione przez znaki reprezentujące dowolny poprawny komponent nazwy wyróżniającej podmiotu. Na przykład można użyć łańcucha ${SubjectCN} dla nazwy zwykłej obiektu.

  • ${Version}
Typ danych: String



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia autonomicznego rejestru LDAP


Nazwa pliku: usec_advldap.html