Дополнительные параметры реестра пользователей Lightweight Directory Access Protocol (LDAP)

На этой странице можно настроить дополнительные параметры реестра пользователей Lightweight Directory Access Protocol (LDAP), когда пользователи и группы хранятся во внешнем каталоге LDAP.

Для просмотра этой административной страницы выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Хранилище учетных записей пользователей откройте выпадающий список Доступные определения областей, выберите в нем пункт Автономный реестр LDAP и нажмите Настроить.
  3. В дополнительных свойствах выберите Дополнительные параметры реестра пользователей LDAP.

В полях уже указаны значения по умолчанию для всех фильтров пользователей и групп. Вы можете изменить эти значения согласно своим требованиям. Значения по умолчанию выбираются с учетом сервера LDAP, указанного на странице параметров автономного реестра LDAP. Если тип сервера изменяется, например, с Netscape на Secureway, то фильтры по умолчанию автоматически изменяются. Если изменяются параметры фильтров по умолчанию, то тип сервера LDAP меняется на Пользовательский, что указывает на изменение фильтров. Включив защиту или изменив эти свойства, перейдите к окну Глобальная защита и нажмите кнопку Применить или OK для проверки измененных значений.

Фильтр пользователей

Фильтр LDAP, используемый при поиске пользователей в реестре.

Эта опция обычно применяется при присвоении ролей защиты пользователям и задает свойство, по которому пользователи ищутся в службе каталогов. Например, для поиска пользователей по их ИД укажите (&(uid=%v)(objectclass=inetOrgPerson)). За дополнительной информацией по синтаксису обратитесь к документации службы каталогов LDAP.

Тип данных: Строка
Фильтр групп

Фильтр LDAP, используемый при поиске групп в реестре.

Эта опция обычно применяется при присвоении ролей защиты группам и задает свойство, по которому группы ищутся в службе каталогов. За дополнительной информацией по синтаксису обратитесь к документации службы каталогов LDAP.

Тип данных: Строка
Карта ИД пользователей

Фильтр LDAP, применяемый для преобразования краткого имени пользователя в запись LDAP.

Задает параметры для показа части информации о пользователях. Например, чтобы показать записи вида object class = inetOrgPerson по ИД, укажите inetOrgPerson:uid. В этом поле можно указывать несколько пар objectclass:property, разделенных с помощью точки с запятой (;).

Тип данных: Строка
Карта ИД групп

Фильтр LDAP, применяемый для преобразования краткого имени группы в запись LDAP.

Задает параметры для показа части информации о группах. Например, для показа групп по именам укажите *:cn. Звездочка (*) используется как символ подстановки при поиска любого объекта данного класса. В этом поле можно указывать несколько пар objectclass:property, разделенных с помощью точки с запятой (;).

Тип данных: Строка
Карта ИД участников групп

Фильтр LDAP, задающий взаимосвязи пользователей и групп.

Для каталогов SecureWay и Domino в этом поле указывается несколько пар objectclass:property через точку с запятой(;). В паре objectclass:property класс объекта совпадает с классом, определенным в фильтре группы, а свойство - это атрибут участника. Если значение класса объекта не совпадает с указанным в фильтре группы, то для групп, связанных с ролями защиты, авторизация может быть не выполнена. За дополнительной информацией по синтаксису обратитесь к документации службы каталогов LDAP.

Для IBM Directory Server, Sun ONE и Active Directory в этом поле указывается несколько пар group attribute:member attribute через точку с запятой (;). Эти пары позволяют найти участников группы, для которых заданы соответствующие атрибуты группы. Например, пара атрибутов memberof:member используется в Active Directory, а пара ibm-allGroup:member - в IBM Directory Server. В этом поле также указывается, в каком свойстве класса объектов сохраняется список участников группы, представленный этим классом объектов. Поддерживаемые типы серверов LDAP описаны в разделе "Поддерживаемые службы каталогов".

Тип данных: Строка
Пользовательский фильтр Kerberos

Задает значение для пользовательского фильтра Kerberos. Это значение можно изменить во время настройки Kerberos; оно активно как один из предпочитаемых механизмов идентификации.

Тип данных: Строка
Режим карты сертификатов

Указывает, нужно ли преобразовывать сертификаты X.509 в каталог LDAP с помощью EXACT_DN или CERTIFICATE_FILTER. Задайте CERTIFICATE_FILTER для использования указанного фильтра сертификатов для преобразования.

Тип данных: Строка
Фильтр сертификатов

Задает свойство преобразования фильтра сертификатов для фильтра LDAP. Фильтр используется для преобразования атрибутов в сертификате клиента к записям реестра LDAP.

Если во время выполнения несколько записей LDAP удовлетворяют условиям фильтра, идентификации не выполняется из-за неоднозначности результата. Синтаксис этого фильтра следующий: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). В левой части спецификации фильтра находится атрибут LDAP, который зависит от настроенной схемы сервера LDAP. В правой части спецификации фильтра находится один из открытых атрибутов сертификата клиента. Правая часть должна начинаться со знака доллара ($) и открывающей фигурной скобки ({), а заканчиваться закрывающей фигурной скобкой (}). В правой части спецификации фильтра можно указывать следующие значения атрибута сертификата. Регистр букв учитывается:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    где <xx> необходимо заменить символами, представляющими любой допустимый компонент отличительного имени организации, выдавшей сертификат. Например, в качестве отличительного имени можно указать ${IssuerCN}.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    где <xx> необходимо заменить символами, представляющими любой допустимый компонент отличительного имени субъекта. Например, в качестве отличительного имени субъекта можно указать ${SubjectCN}.

  • ${Version}
Тип данных: Строка



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной
Параметры автономного реестра LDAP


Имя файла: usec_advldap.html