Configurações Avançadas de Registro do Usuário do Lightweight Directory Access Protocol

Utilize esta página para configurar as definições avançadas de registro do usuário LDAP (Lightweight Directory Access Protocol) quando usuários e grupos residem em um diretório LDAP externo.

Para visualizar esta página administrativa, conclua as seguintes etapas:
  1. Clique em Segurança > Segurança global.
  2. No repositório Conta do usuário, clique na lista drop-down Definições de regiões disponíveis, selecione Registro LDAP independente e clique em Configurar.
  3. Em Propriedades Adicionais, clique em Definições Avançadas de Registro do Usuário LDAP (Lightweight Directory Access Protocol).

Os valores padrão para todos os filtros relacionados a usuários e grupos já estão preenchidos nos campos adequados. Você pode alterar esses valores dependendo de sua necessidade. Esses valores padrão são baseados no tipo de servidor LDAP que é selecionado no painel Configurações de Registro LDAP Independente. Se esse tipo for alterado, por exemplo, de Netscape para Secureway, os filtros padrão serão alterados automaticamente. Quando os valores de filtro padrão são alterados, o tipo de servidor LDAP é alterado para Customizado para indicar que os filtros customizados são utilizados. Quando a segurança é ativada e qualquer uma dessas propriedades é alterada, vá para o painel Segurança Global e clique em Aplicar ou em OK para validar as alterações.

Filtro de Usuário

Especifica o filtro do usuário LDAP que procura usuários no registro do usuário.

Esta opção normalmente é utilizada para designações de função-para-usuário de segurança e especifica a propriedade através da qual consultar usuários no serviço de diretório. Por exemplo, para consultar usuários com base em seus IDs de usuário, especifique (&(uid=%v)(objectclass=inetOrgPerson)). Para obter informações adicionais sobre esta sintaxe, consulte a documentação do serviço de diretório do LDAP.

Tipo de dados: Cadeia
Filtro de grupo

Especifica o filtro de grupos LDAP que procura por grupos no registro de usuários.

Esta opção normalmente é utilizada para designações de função-para-grupo de segurança e especifica a propriedade através da qual consultar grupos no serviço de diretório. Para obter informações adicionais sobre esta sintaxe, consulte a documentação do serviço de diretório do LDAP.

Tipo de dados: Cadeia
Mapa de ID de Usuário

Especifica o filtro LDAP que mapeia o nome abreviado de um usuário para uma entrada LDAP.

Especifica a parte da informação que representa os usuários quando eles são exibidos. Por exemplo, para exibir entradas do tipo object class = inetOrgPerson digite seus IDs, especifique inetOrgPerson:uid. Esse campo aceita vários pares objectclass:property delimitados por ponto e vírgula (;).

Tipo de dados: Cadeia
Mapa de ID do Grupo

Especifica o filtro LDAP que mapeia o nome abreviado de um grupo para uma entrada LDAP.

Especifica a parte da informação que representa os grupos quando eles são exibidos. Por exemplo, para exibir grupos por seus nomes, especifique *:cn. O asterisco (*) é um caractere curinga que pesquisa todas as classes de objeto nesse caso. Este campo aceita vários pares objectclass:property, delimitados por um ponto e vírgula (;).

Tipo de dados: Cadeia
Mapa de ID do Membro do Grupo

Especifica o filtro LDAP que identifica relacionamentos de usuário-para-grupo.

Para os tipos de diretórios SecureWay e Domino, esse campo aceita vários pares objectclass:property delimitados por umponto-e-vírgula (;). Em um par objectclass:property, o valor da classe de objeto é a mesma classe de objeto que é definida no filtro de grupos e a propriedade é o atributo member. Se o valor da classe de objeto não corresponder à classe de objeto no filtro de grupos, a autorização poderá falhar se os grupos forem mapeados para funções de segurança. Para obter informações adicionais sobre essa sintaxe, consulte a documentação do serviço de diretório LDAP.

Para o IBM Directory Server, Sun ONE e Active Directory, esse campo aceita vários pares group attribute:member attribute delimitados por um ponto-e-vírgula (;). Estes pares são utilizados para localizar as associações de grupo de um usuário, através da enumeração de todos os atributos de grupo que são possuídos por um determinado usuário. Por exemplo, o par de atributos memberof:member é utilizado pelo Active Directory e ibm-allGroup:member é utilizado pelo IBM Directory Server. Este campo também especifica qual propriedade de uma classe de objeto armazena a lista de membros pertencente ao grupo representado pela classe de objeto. Para obter os servidores de diretórios LDAP suportados, consulte "Serviços de Diretórios Suportados".

Tipo de dados: Cadeia
Filtro de Usuários do Kerberos

Especifica o valor do filtro de usuários do Kerberos. Esse valor pode ser modificado quando o Kerberos está configurado e ativo como um dos mecanismos de autenticação preferidos.

Tipo de dados: Cadeia
Modo do Mapa do Certificado

Especifica se é necessário mapear os certificados X.509 em um diretório LDAP através de EXACT_DN ou CERTIFICATE_FILTER. Especifique CERTIFICATE_FILTER para utilizar o filtro de certificado especificado para o mapeamento.

Tipo de dados: Cadeia
Filtro de Certificados

Especifica a propriedade de mapeamento de certificados de filtro para o filtro LDAP. O filtro é utilizado para mapear atributos no certificado cliente para entradas no registro LDAP.

Se mais de uma entrada LDAP corresponder à especificação do filtro no tempo de execução, a autenticação falhará porque o resultado será uma correspondência ambígua. A sintaxe ou estrutura desse filtro é: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). O lado esquerdo da especificação de filtros é um atributo de LDAP que depende do esquema que o seu servidor LDAP está configurado para utilizar. O lado direito da especificação do filtro é um dos atributos públicos no certificado de cliente. O lado direito deve começar com um cifrão ($) e chave de abertura ({) e terminar com uma chave de fechamento (}). Os valores de atributo de certificado a seguir podem ser utilizados do lado direito da especificação do filtro. O tipo de letra (maiúscula ou minúscula) das cadeias é importante:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Emissor. Por exemplo, você poderia utilizar ${IssuerCN} para o Nome Comum do Emissor.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Assunto. Por exemplo, você poderia utilizar ${SubjectCN} para o Nome Comum do Assunto.

  • ${Version}
Tipo de dados: Cadeia



Links marcados (on-line) requerem acesso à Internet.

Tarefas relacionadas
Referências relacionadas
Configurações do Registro LDAP Independente


Nome do arquivo: usec_advldap.html