進階輕量型目錄存取通訊協定使用者登錄設定

當使用者和群組是在外部 LDAP 目錄時,請利用這個頁面來配置進階「輕量型目錄存取通訊協定 (LDAP)」使用者登錄設定。

如果要檢視這個管理頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「使用者帳戶儲存庫」下,按一下可用的網域範圍定義下拉清單,選取獨立式 LDAP 登錄,再按一下配置
  3. 在「其他內容」下,按一下進階「輕量型目錄存取通訊協定 (LDAP)」使用者登錄設定

所有使用者和群組相關過濾器的預設值都已填妥適當的欄位。 您可以根據需求來變更這些值。 這些預設值是以「獨立式 LDAP 登錄設定」畫面所選取的 LDAP 伺服器類型為基礎。 如果改變了這個類型,例如,從 Netscape 改成 Secureway,預設過濾器也會自動改變。 當預設過濾值有了變更,LDAP 伺服器類型會改成自訂,以表示使用自訂過濾器。當啟用安全且這些內容有任何變更時,請進入「廣域安全」畫面,按一下套用確定來驗證變更。

使用者過濾器

指定搜尋使用者的使用者登錄之 LDAP 使用者過濾器。

這個選項通常用來進行安全角色至使用者的指派,它指定在目錄服務中用來查閱使用者的內容。 比方說,如果要根據使用者 ID 來查閱使用者,請指定 (&(uid=%v)(objectclass=inetOrgPerson))。 如需這個語法的相關資訊,請參閱 LDAP 目錄服務文件。

資料類型: 字串
群組過濾器

指定搜尋群組的使用者登錄之 LDAP 群組過濾器

這個選項通常用來進行安全角色至群組的指派,它指定在目錄服務中用來查閱群組的內容。 如需這個語法的相關資訊,請參閱 LDAP 目錄服務文件。

資料類型: 字串
使用者 ID 對映

指定將使用者的簡短名稱對映至 LDAP 項目的 LDAP 過濾器。

指定在使用者出現時,用來代表使用者的資訊。 比方說,如果要依 ID 來顯示 object class = inetOrgPerson 類型的項目,請指定 inetOrgPerson:uid。 這個欄位可以有好幾組 objectclass:property,各組之間以分號 (;) 分開。

資料類型: 字串
群組 ID 對映

指定將群組的簡短名稱對映至 LDAP 項目的 LDAP 過濾器。

指定在群組出現時,用來代表群組的資訊。 比方說,如果要以其名稱來顯示群組,請指定 *:cn。 這裡的星號 (*) 是指在任何物件類別上進行搜尋的萬用字元。 這個欄位可以有好幾組 objectclass:property,各組之間以分號 (;) 分開。

資料類型: 字串
群組成員 ID 對映

指定識別使用者至群組關係的 LDAP 過濾器。

如果是 SecureWay® 和 Domino® 等目錄類型,這個欄位可以有好幾組 objectclass:property,各組之間以分號 (;) 分開。 在 objectclass:property 這組中,物件類別值是群組過濾器中所定義的同一個物件類別,內容則是成員屬性。 如果物件類別值不符合群組過濾器中的物件類別,且群組對映至安全角色,授權可能會失敗。 如需這個語法的相關資訊,請參閱 LDAP 目錄服務文件。

如果是 IBM® Directory Server、Sun ONE 和 Active Directory,這個欄位可以有好幾組 group attribute:member attribute,各組之間以分號 (;) 分開。 這幾組用來列舉給定使用者所具備的所有群組屬性,以尋找使用者的群組成員資格。 例如,Active Directory 會使用 memberof:member 這組屬性,IBM Directory Server 會使用 ibm-allGroup:member 這組屬性。 這個欄位也指定物件類別的哪個內容要儲存這個物件類別所代表之群組的成員清單。 如果是支援的 LDAP 目錄伺服器,請參閱「支援的目錄服務」。

資料類型: 字串
Kerberos 使用者過濾器

指定 Kerberos 使用者過濾器值。 當 Kerberos 已配置好,且成為作用中的偏好鑑別機制之一時,可以修改這個值。

資料類型: 字串
憑證對映模式

指定要由 EXACT_DN 或 CERTIFICATE_FILTER 將 X.509 憑證對映至 LDAP 目錄。指定 CERTIFICATE_FILTER,以使用指定的憑證過濾器來進行對映。

資料類型: 字串
憑證過濾器

指定 LDAP 過濾器的過濾器憑證對映內容。 過濾器用來將用戶端憑證中的屬性對映至 LDAP 登錄中的項目。

如果執行時期有不只一個 LDAP 項目符合過濾器規格,鑑別會失敗,因為無法得到明確相符的結果。 這個過濾器的語法或結構如下:(&(uid=${SubjectCN})(objectclass=inetOrgPerson))。 過濾器規格左側是 LDAP 屬性,其取決於 LDAP 伺服器配置要用的綱目而定。 過濾器規格右側是用戶端憑證中的公開屬性之一。 右側的開頭必須是錢幣符號 ($) 和前大括弧 ({),結尾是後大括弧 ({)。您可以使用過濾器規格右側的下列憑證屬性值。字串的大小寫非常重要:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    其中 <xx> 會以代表「發證者識別名稱」之任何有效元件的字元取代。 例如,「發證者共用名稱」可以使用 ${IssuerCN}

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    其中 <xx> 會以代表「主體識別名稱」之任何有效元件的字元取代。 例如,「主體共用名稱」可以使用 ${SubjectCN}。

  • ${Version}
資料類型: 字串



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
獨立式 LDAP 登錄設定


檔名: usec_advldap.html