Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol)

Utilice esta página para configurar los valores avanzados del registro de usuarios LDAP (Lightweight Directory Access Protocol) cuando los usuarios y los grupos residen en un directorio LDAP externo.

Para ver esta página administrativa, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario, pulse la lista desplegable Definiciones de reino disponibles, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Bajo Propiedades adicionales, pulse Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol).

Los valores predeterminados para todos los filtros relacionados con los usuarios y el grupo están especificados en los campos adecuados. Puede modificar estos valores según sus necesidades. Estos valores predeterminados se basan en el tipo de servidor LDAP seleccionado en el panel de valores del Registro LDAP autónomo. Si se cambia este tipo, por ejemplo, Netscape por Secureway, los filtros predeterminados se modifican automáticamente. Cuando los valores de filtro predeterminados se modifican, el tipo de servidor LDAP cambia a Personalizado para indicar que se están utilizando filtros personalizados.Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya al panel Seguridad global y pulse Aplicar o Aceptar para validar los cambios.

Filtro de usuario

Especifica el filtro de usuario LDAP para buscar usuarios en el registro de usuario.

Esta opción se utiliza generalmente para las asignaciones de rol a usuario de seguridad y especifica la propiedad mediante la cual se buscan usuarios en el servicio de directorios. Por ejemplo, para buscar usuarios según el ID de usuario, especifique (&(uid=%v)(objectclass=inetOrgPerson)). Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Tipo de datos: Serie
Filtro de grupo

Especifica el filtro de grupo LDAP para buscar grupos en el registro de usuarios.

Esta opción se utiliza generalmente para las asignaciones de rol a grupo de seguridad y especifica la propiedad mediante la cual se buscan grupos en el servicio de directorios. Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Tipo de datos: Serie
Correlación de ID de usuario

Especifica un filtro LDAP que correlaciona el nombre abreviado de un usuario con una entrada LDAP.

Especifica el fragmento de información que representa a los usuarios cuando éstos se visualizan. Por ejemplo, para visualizar entradas del tipo objectclass = inetOrgPerson según sus ID, especifique inetOrgPerson:uid. Este campo toma varios pares claseobjeto:propiedad delimitados por un punto y coma (";").

Tipo de datos: Serie
Correlación de ID de grupo

Especifica un filtro LDAP que correlaciona el nombre abreviado de un grupo con una entrada LDAP.

Especifica el fragmento de información que representa a los grupos cuando éstos se visualizan. Por ejemplo, para visualizar grupos por sus nombres, especifique *:cn. El asterisco (*) es un carácter comodín que busca en cualquier clase de objeto en este caso. Este campo toma varios pares claseobjeto:propiedad delimitados por un signo de punto y coma (;).

Tipo de datos: Serie
Correlación de ID de miembro de grupo

Especifica el filtro LDAP que identifica las relaciones de usuarios con grupos.

Para los tipos de directorios SecureWay y Domino, este campo acepta varios pares clase_objeto:propiedad delimitados por un signo de punto y coma (;). En un par claseobjeto:propiedad, el valor de clase de objeto es el mismo definido en el filtro de grupo y la propiedad es el atributo de miembro. Si el valor de clase de objeto no coincide con la clase de objeto en el filtro de grupo, es posible que la autorización no se realice correctamente si los grupos se correlacionan con roles de seguridad. Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Para IBM Directory Server Sun ONE y Active Directory, este campo acepta varios pares de atributo_grupo:atributo_miembro delimitados por un signo de punto y coma (;). Estos pares se utilizan para buscar los miembros de grupo de un usuario mediante la enumeración de todos los atributos de grupo que posee un determinado usuario. Por ejemplo, el par de atributos memberof:member lo utiliza Active Directory e ibm-allGroup:member lo utiliza IBM Directory Server. Este campo también especifica la propiedad de una clase de objeto que almacene la lista de miembros pertenecientes al grupo representado por la clase de objeto. Para obtener una lista de los servidores de directorio LDAP soportados, consulte "Servicios de directorio soportados".

Tipo de datos: Serie
Filtro de usuarios Kerberos

Especifica el valor de filtro de usuarios Kerberos. Este valor se puede modificar cuando se configura Kerberos y se activa como uno de los mecanismos de autenticación preferidos.

Tipo de datos: Serie
Modalidad de correlación de certificados

Especifica si se han de correlacionar certificados X.509 en un directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER. Especifique CERTIFICATE_FILTER si desea utilizar el filtro de certificado para la correlación.

Tipo de datos: Serie
Filtro de certificados

Especifica la propiedad de filtro de correlación de certificados para el filtro LDAP. El filtro se utiliza para correlacionar atributos del certificado de cliente con las entradas del registro LDAP.

Si hay más de una entrada LDAP que coincide con la especificación de filtro durante la ejecución, la autenticación falla porque el resultado es una coincidencia ambigua. La sintaxis o estructura de este filtro es: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). El lado izquierdo de la especificación del filtro es un atributo LDAP que depende del esquema que el servidor LDAP deba utilizar según su configuración. El lado derecho de la especificación del filtro es uno de los atributos públicos del certificado de cliente. Este lado debe comenzar con un signo del dólar ($), un paréntesis inicial ({) y acabar con un paréntesis final (}). Utilice los siguientes valores de atributos de certificados de la parte derecha de la especificación de filtro. Es importante la distinción entre mayúsculas y minúsculas de las series:
  • {UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de sujeto. Por ejemplo, puede utilizar ${SubjectCN} para el nombre común de asunto.

  • ${Version}
Tipo de datos: Serie



Los enlaces marcados (en línea) requieren acceso a Internet.

Tareas relacionadas
Referencia relacionada
Valores del registro LDAP autónomo


Nombre de archivo: usec_advldap.html