<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_ldap

Langues Disponibles:  en  |  fr 

Description:Conservation des connexions LDAP et services de mise en cache du r�sultat � destination des autres modules LDAP
Statut:Extension
Identificateur�de�Module:ldap_module
Fichier�Source:util_ldap.c

Sommaire

Ce module a �t� con�u dans le but d'am�liorer les performances des sites web s'appuyant sur des connexions en arri�re-plan vers des serveurs LDAP. Il ajoute aux fonctions fournies par les biblioth�ques standards LDAP la conservation des connexions LDAP ainsi qu'un cache LDAP partag� en m�moire.

Pour activer ce module, le support LDAP doit �tre compil� dans apr-util. Pour ce faire, on ajoute l'option --with-ldap au script configure lorsqu'on construit Apache.

Le support SSL/TLS est conditionn� par le kit de d�veloppement LDAP qui a �t� li� � APR. Au moment o� ces lignes sont �crites, APR-util supporte OpenLDAP SDK (version 2.x ou sup�rieure), Novell LDAP SDK, Mozilla LDAP SDK, le SDK LDAP Solaris natif (bas� sur Mozilla) ou le SDK LDAP Microsoft natif. Voir le site web APR pour plus de d�tails.

Directives

Sujets

top

Exemple de configuration

Ce qui suit est un exemple de configuration qui utilise mod_ldap pour am�liorer les performances de l'authentification HTTP de base fournie par mod_authnz_ldap.

# Active la conservation des connexions LDAP et le cache partag� en
# m�moire. Active le gestionnaire de statut du cache LDAP.
# N�cessite le chargement de mod_ldap et de mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPSharedCacheSize 500000
LDAPCacheEntries 1024
LDAPCacheTTL 600
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 600

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
    
top

Conservation des connexions LDAP

Les connexions LDAP sont conserv�es de requ�te en requ�te. Ceci permet de rester connect� et identifi� au serveur LDAP, ce dernier �tant ainsi pr�t pour la prochaine requ�te, sans avoir � se d�connecter, reconnecter et r�identifier. Le gain en performances est similaire � celui des connexions persistantes (keepalives) HTTP.

Sur un serveur tr�s sollicit�, il est possible que de nombreuses requ�tes tentent d'acc�der simultan�ment � la m�me connexion au serveur LDAP. Lorsqu'une connexion LDAP est utilis�e, Apache en cr�e une deuxi�me en parall�le � la premi�re, ce qui permet d'�viter que le syst�me de conservation des connexions ne devienne un goulot d'�tranglement.

Il n'est pas n�cessaire d'activer explicitement la conservation des connexions dans la configuration d'Apache. Tout module utilisant le module ldap pour acc�der aux services LDAP partagera le jeu de connexions.

Les connexions LDAP peuvent garder la trace des donn�es d'identification du client ldap utilis�es pour l'identification aupr�s du serveur LDAP. Ces donn�es peuvent �tre fournies aux serveurs LDAP qui ne permettent pas les connexions anonymes au cours lors des tentatives de sauts vers des serveurs alternatifs. Pour contr�ler cette fonctionnalit�, voir les directives LDAPReferrals et LDAPReferralHopLimit. Cette fonctionnalit� est activ�e par d�faut.

top

Cache LDAP

Pour am�liorer les performances, mod_ldap met en oeuvre une strat�gie de mise en cache agressive visant � minimiser le nombre de fois que le serveur LDAP doit �tre contact�. La mise en cache peut facilement doubler et m�me tripler le d�bit d'Apache lorsqu'il sert des pages prot�g�es par mod_authnz_ldap. De plus, le serveur LDAP verra lui-m�me sa charge sensiblement diminu�e.

mod_ldap supporte deux types de mise en cache LDAP : un cache recherche/identification durant la phase de recherche/identification et deux caches d'op�rations durant la phase de comparaison. Chaque URL LDAP utilis�e par le serveur a son propre jeu d'instances dans ces trois caches.

Le cache recherche/identification

Les processus de recherche et d'identification sont les op�rations LDAP les plus consommatrices en temps, en particulier si l'annuaire est de grande taille. Le cache de recherche/identification met en cache toutes les recherches qui ont abouti � une identification positive. Les r�sultats n�gatifs (c'est � dire les recherches sans succ�s, ou les recherches qui n'ont pas abouti � une identification positive) ne sont pas mis en cache. La raison de cette d�cision r�side dans le fait que les connexions avec des donn�es d'identification invalides ne repr�sentent qu'un faible pourcentage du nombre total de connexions, et ainsi, le fait de ne pas mettre en cache les donn�es d'identification invalides r�duira d'autant la taille du cache.

mod_ldap met en cache le nom d'utilisateur, le DN extrait, le mot de passe utilis� pour l'identification, ainsi que l'heure de l'identification. Chaque fois qu'une nouvelle connexion est initialis�e avec le m�me nom d'utilisateur, mod_ldap compare le mot de passe de la nouvelle connexion avec le mot de passe enregistr� dans le cache. Si les mots de passe correspondent, et si l'entr�e du cache n'est pas trop ancienne, mod_ldap court-circuite la phase de recherche/identification.

Le cache de recherche/identification est contr�l� par les directives LDAPCacheEntries et LDAPCacheTTL.

Les caches d'op�rations

Au cours des op�rations de comparaison d'attributs et de noms distinctifs (DN), mod_ldap utilise deux caches d'op�rations pour mettre en cache les op�rations de comparaison. Le premier cache de comparaison sert � mettre en cache les r�sultats de comparaisons effectu�es pour v�rifier l'appartenance � un groupe LDAP. Le second cache de comparaison sert � mettre en cache les r�sultats de comparaisons entre DNs.

Notez que, lorsque l'appartenance � un groupe est v�rifi�e, toute comparaison de sous-groupes est mise en cache afin d'acc�l�rer les comparaisons de sous-groupes ult�rieures.

Le comportement de ces deux caches est contr�l� par les directives LDAPOpCacheEntries et LDAPOpCacheTTL.

Superviser le cache

mod_ldap poss�de un gestionnaire de contenu qui permet aux administrateurs de superviser les performances du cache. Le nom du gestionnaire de contenu est ldap-status, et on peut utiliser les directives suivantes pour acc�der aux informations du cache de mod_ldap :

<Location /server/cache-info>
    SetHandler ldap-status
</Location>
      

En se connectant � l'URL http://nom-serveur/infos-cache, l'administrateur peut obtenir un rapport sur le statut de chaque cache qu'utilise mod_ldap. Notez que si Apache ne supporte pas la m�moire partag�e, chaque instance de httpd poss�dera son propre cache, et chaque fois que l'URL sera recharg�e, un r�sultat diff�rent pourra �tre affich�, en fonction de l'instance de httpd qui traitera la requ�te.

top

Utiliser SSL/TLS

La possibilit� de cr�er des connexions SSL et TLS avec un serveur LDAP est d�finie par les directives LDAPTrustedGlobalCert, LDAPTrustedClientCert et LDAPTrustedMode. Ces directives permettent de sp�cifier l'autorit� de certification (CA), les certificats clients �ventuels, ainsi que le type de chiffrement � utiliser pour la connexion (none, SSL ou TLS/STARTTLS).

# Etablissement d'une connexion SSL LDAP sur le port 636.
# N�cessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
    
# Etablissement d'une connexion TLS LDAP sur le port 389.
# N�cessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS
    Require valid-user
</Location>
    
top

Certificats SSL/TLS

Les diff�rents SDKs LDAP disposent de nombreuses m�thodes pour d�finir et g�rer les certificats des clients et des autorit�s de certification (CA).

Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette section ATTENTIVEMENT de fa�on � bien comprendre les diff�rences de configurations entre les diff�rents SDKs LDAP support�s.

SDK Netscape/Mozilla/iPlanet

Les certificat de CA sont enregistr�s dans un fichier nomm� cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le certificat n'a pas �t� sign� par une CA sp�cifi�e dans ce fichier. Si des certificats clients sont requis, un fichier key3.db ainsi qu'un mot de passe optionnels peuvent �tre sp�cifi�s. On peut aussi sp�cifier le fichier secmod si n�cessaire. Ces fichiers sont du m�me format que celui utilis� par les navigateurs web Netscape Communicator ou Mozilla. Le moyen le plus simple pour obtenir ces fichiers consiste � les extraire de l'installation de votre navigateur.

Les certificats clients sont sp�cifi�s pour chaque connexion en utilisant la directive LDAPTrustedClientCert et en se r�f�rant au certificat "nickname". On peut �ventuellement sp�cifier un mot de passe pour d�verrouiller la cl� priv�e du certificat.

Le SDK supporte seulement SSL. Toute tentative d'utilisation de STARTTLS engendrera une erreur lors des tentatives de contacter le serveur LDAP pendant l'ex�cution.

# Sp�cifie un fichier de certificats de CA Netscape
LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db
# Sp�cifie un fichier key3db optionnel pour le support des
# certificats clients
LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db
# Sp�cifie le fichier secmod si n�cessaire
LDAPTrustedGlobalCert CA_SECMOD /certs/secmod
<Location /ldap-status>
    SetHandler ldap-status

    Require host yourdomain.example.com

    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    LDAPTrustedClientCert CERT_NICKNAME <nickname> [password]
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
        

SDK Novell

Un ou plusieurs certificats de CA doivent �tre sp�cifi�s pour que le SDK Novell fonctionne correctement. Ces certificats peuvent �tre sp�cifi�s sous forme de fichiers au format binaire DER ou cod�s en Base64 (PEM).

Note: Les certificats clients sont sp�cifi�s globalement plut�t qu'� chaque connexion, et doivent �tre sp�cifi�s � l'aide de la directive LDAPTrustedGlobalCert comme ci-dessous. D�finir des certificats clients via la directive LDAPTrustedClientCert engendrera une erreur qui sera journalis�e, au moment de la tentative de connexion avec le serveur LDAP.

Le SDK supporte SSL et STARTTLS, le choix �tant d�fini par le param�tre de la directive LDAPTrustedMode. Si une URL de type ldaps:// est sp�cifi�e, le mode SSL est forc�, et l'emporte sur cette directive.

# Sp�cifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
# Sp�cifie un fichier contenant des certificats clients
# ainsi qu'une cl�
LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem
LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [password]
# N'utilisez pas cette directive, sous peine de provoquer
# une erreur
#LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
        

SDK OpenLDAP

Un ou plusieurs certificats de CA doivent �tre sp�cifi�s pour que le SDK OpenLDAP fonctionne correctement. Ces certificats peuvent �tre sp�cifi�s sous forme de fichiers au format binaire DER ou cod�s en Base64 (PEM).

Les certificats clients sont sp�cifi�s pour chaque connexion � l'aide de la directive LDAPTrustedClientCert.

La documentation du SDK pr�tend que SSL et STARTTLS sont support�s ; cependant, STARTTLS semble ne pas fonctionner avec toutes les versions du SDK. Le mode SSL/TLS peut �tre d�fini en utilisant le param�tre de la directive LDAPTrustedMode. Si une URL de type ldaps:// est sp�cifi�e, le mode SSL est forc�. La documentation OpenLDAP indique que le support SSL (ldaps://) tend � �tre remplac� par TLS, bien que le mode SSL fonctionne toujours.

# Sp�cifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
    LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem
    # CA certs respecified due to per-directory client certs
    LDAPTrustedClientCert CA_DER /certs/cacert1.der
    LDAPTrustedClientCert CA_BASE64 /certs/cacert2.pem
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
        

SDK Solaris

SSL/TLS pour les biblioth�ques LDAP propres � Solaris n'est pas encore support�. Si n�cessaire, installez et utilisez plut�t les biblioth�ques OpenLDAP.

SDK Microsoft

La configuration des certificats SSL/TLS pour les biblioth�ques LDAP propres � Microsoft s'effectue � l'int�rieur du registre syst�me, et aucune directive de configuration n'est requise.

SSL et TLS sont tous deux support�s en utilisant des URLs de type ldaps://, ou en d�finissant la directive LDAPTrustedMode � cet effet.

Note: L'�tat du support des certificats clients n'est pas encore connu pour ce SDK.

top

LDAPCacheEntries Directive

Description:Nombre maximum d'entr�es dans le cache LDAP primaire
Syntaxe:LDAPCacheEntries nombre
D�faut:LDAPCacheEntries 1024
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier la taille maximale du cache LDAP primaire. Ce cache contient les r�sultats de recherche/identification positifs. D�finissez-la � 0 pour d�sactiver la mise en cache des r�sultats de recherche/identification positifs. La taille par d�faut est de 1024 recherches en cache.

top

LDAPCacheTTL Directive

Description:Dur�e pendant laquelle les entr�es du cache restent valides.
Syntaxe:LDAPCacheTTL secondes
D�faut:LDAPCacheTTL 600
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier la dur�e (en secondes) pendant laquelle une entr�e du cache de recherche/identification reste valide. La valeur par d�faut est de 600 secondes (10 minutes).

top

LDAPConnectionPoolTTL Directive

Description:D�sactive les connexions d'arri�re-plan qui sont rest�es inactives trop longtemps au sein du jeu de connexions.
Syntaxe:LDAPConnectionPoolTTL n
D�faut:LDAPConnectionPoolTTL -1
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ldap
Compatibilit�:Disponible � partir de la version 2.3.12 du serveur HTTP Apache

Cette directive permet de sp�cifier la dur�e maximale, en secondes, pendant laquelle une connexion LDAP du jeu de connexions peut demeurer inactive, mais rester quand-m�me disponible pour une utilisation �ventuelle. Le jeu de connexions est nettoy� au fur et � mesure des besoins, de mani�re non asynchrone.

Si cette directive est d�finie � 0, les connexions ne sont jamais sauvegard�es dans le jeu de connexions d'arri�re-plan. Avec la valeur par d�faut -1, ou toute autre valeur n�gative, les connexions peuvent �tre r�utilis�es sans limite de dur�e.

La dur�e de vie est bas�e sur le moment o� la connexion LDAP est remise en attente dans le jeu de connexions , et non sur la derni�re entr�e/sortie effectu�e sur le serveur d'arri�re-plan. Si l'information est mise en cache, la dur�e d'inactivit� apparente peut exc�der la valeur de la directive LDAPConnectionPoolTTL.

Cette dur�e de vie s'exprime par d�faut en secondes, mais il est possible d'utiliser d'autres unit�s en ajoutant un suffixe : millisecondes (ms), minutes (min), ou heures (h).

top

LDAPConnectionTimeout Directive

Description:Sp�cifie le d�lai d'attente en secondes de la socket de connexion
Syntaxe:LDAPConnectionTimeout secondes
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT) dans la biblioth�que client LDAP sous-jacente, si elle est disponible. Cette valeur repr�sente la dur�e pendant laquelle la biblioth�que client LDAP va attendre que le processus de connexion TCP au serveur LDAP soit achev�.

Si la connexion n'a pas r�ussi avant ce d�lai, une erreur sera renvoy�e, ou la biblioth�que client LDAP tentera de se connecter � un second serveur LDAP, s'il en a �t� d�fini un (via une liste de noms d'h�tes s�par�s par des espaces dans la directive AuthLDAPURL).

La valeur par d�faut est 10 secondes, si la biblioth�que client LDAP li�e avec le serveur supporte l'option LDAP_OPT_NETWORK_TIMEOUT.

LDAPConnectionTimeout n'est disponible que si la biblioth�que client LDAP li�e avec le serveur supporte l'option LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le comportement final est enti�rement dict� par la biblioth�que client LDAP.
top

LDAPLibraryDebug Directive

Description:Active le d�bogage dans le SDK LDAP
Syntaxe:LDAPLibraryDebug 7
D�faut:disabled
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Active les options de d�bogage LDAP sp�cifiques au SDK, qui entra�nent en g�n�ral une journalisation d'informations verbeuses du SDK LDAP dans le journal principal des erreurs d'Apache. Les messages de traces en provenance du SDK LDAP fournissent des informations tr�s d�taill�es qui peuvent s'av�rer utiles lors du d�bogage des probl�mes de connexion avec des serveurs LDAP d'arri�re-plan.

Cette option n'est configurable que lorsque le serveur HTTP Apache est li� avec un SDK LDAP qui impl�mente LDAP_OPT_DEBUG ou LDAP_OPT_DEBUG_LEVEL, comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory Server (une valeur de 65535 est verbeuse).

Les informations journalis�es peuvent contenir des donn�es d'authentification en clair utilis�es ou valid�es lors de l'authentification LDAP ; vous devez donc prendre soin de prot�ger et de purger le journal des erreurs lorsque cette directive est utilis�e.

top

LDAPOpCacheEntries Directive

Description:Nombre d'entr�es utilis�es pour mettre en cache les op�rations de comparaison LDAP
Syntaxe:LDAPOpCacheEntries nombre
D�faut:LDAPOpCacheEntries 1024
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier le nombre d'entr�es que mod_ldap va utiliser pour mettre en cache les op�rations de comparaison LDAP. La valeur par d�faut est de 1024 entr�es. Si elle est d�finie � 0, la mise en cache des op�rations de comparaison LDAP est d�sactiv�e.

top

LDAPOpCacheTTL Directive

Description:Dur�e pendant laquelle les entr�es du cache d'op�rations restent valides
Syntaxe:LDAPOpCacheTTL secondes
D�faut:LDAPOpCacheTTL 600
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier la dur�e (en secondes) pendant laquelle les entr�es du cache d'op�rations restent valides. La valeur par d�faut est de 600 secondes.

top

LDAPReferralHopLimit Directive

Description:Le nombre maximum de redirections vers des serveurs alternatifs (referrals) avant l'abandon de la requ�te LDAP.
Syntaxe:LDAPReferralHopLimit nombre
D�faut:D�pend du SDK, en g�n�ral entre 5 et 10
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ldap

Si elle est activ�e par la directive LDAPReferrals, cette directive permet de d�finir le nombre maximum de sauts vers des serveurs alternatifs (referrals) avant l'abandon de la requ�te LDAP.

L'ajustement de ce param�tre n'est pas commun � tous les SDKs LDAP.

top

LDAPReferrals Directive

Description:Active la redirection vers des serveurs alternatifs au cours des requ�tes vers le serveur LDAP.
Syntaxe:LDAPReferrals On|Off|default
D�faut:LDAPReferrals On
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ldap

Certains serveurs LDAP partagent leur annuaire en plusieurs domaines et utilisent le syst�me des redirections (referrals) pour aiguiller un client lorsque les limites d'un domaine doivent �tre franchies. Ce processus est similaire � une redirection HTTP. Les biblioth�ques client LDAP ne respectent pas forc�ment ces redirections par d�faut. Cette directive permet de configurer explicitement les redirections LDAP dans le SDK sous-jacent.

La directive LDAPReferrals accepte les valeurs suivantes :

"on"

Avec la valeur "on", la prise en compte des redirections LDAP par le SDK sous-jacent est activ�e, la directive LDAPReferralHopLimit permet de surcharger la "hop limit" du SDK, et un "LDAP rebind callback" est enregistr�.

"off"

Avec la valeur "off", la prise en compte des redirections LDAP par le SDK sous-jacent est compl�tement d�sactiv�e.

"default"

Avec la valeur "default", la prise en compte des redirections LDAP par le SDK sous-jacent n'est pas modifi�e, la directive LDAPReferralHopLimit ne permet pas de surcharger la "hop limit" du SDK, et aucun "LDAP rebind callback" n'est enregistr�.

La directive LDAPReferralHopLimit travaille en conjonction avec cette directive pour limiter le nombre de redirections � suivre pour achever le traitement de la requ�te LDAP. Lorsque le processus de redirection est activ� par la valeur "On", les donn�es d'authentification du client sont transmises via un "rebind callback" � tout serveur LDAP qui en fait la demande.

top

LDAPRetries Directive

Description:D�finit le nombre maximum de tentatives de connexions au serveur LDAP.
Syntaxe:LDAPRetries nombre d'essais
D�faut:LDAPRetries 3
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Suite � des �checs de connexion au serveur LDAP, le serveur tentera de se connecter autant de fois qu'indiqu� par la directive LDAPRetries. Si cette directive est d�finie � 0, le serveur ne tentera pas d'autre connexion apr�s un �chec.

Il est possible d'effectuer une autre tentative de connexion en cas d'erreurs LDAP du type d�lai d�pass� ou connexion refus�e.

top

LDAPRetryDelay Directive

Description:D�finit le temps d'attente avant un autre essai de connexion au serveur LDAP.
Syntaxe:LDAPRetryDelay secondes
D�faut:LDAPRetryDelay 0
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Si la directive LDAPRetryDelay est d�finie � une valeur diff�rente de 0, le serveur attendra pendant la dur�e sp�cifi�e pour envoyer � nouveau sa requ�te LDAP. Une valeur de 0 implique une absence de d�lai pour les essais successifs.

Il est possible d'effectuer une autre tentative de connexion en cas d'erreurs LDAP du type d�lai d�pass� ou connexion refus�e.

top

LDAPSharedCacheFile Directive

Description:D�finit le fichier du cache en m�moire partag�e
Syntaxe:LDAPSharedCacheFile chemin/fichier
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier le chemin du fichier du cache en m�moire partag�e. Si elle n'est pas d�finie, la m�moire partag�e anonyme sera utilis�e si la plate-forme la supporte.

top

LDAPSharedCacheSize Directive

Description:Taille en octets du cache en m�moire partag�e
Syntaxe:LDAPSharedCacheSize octets
D�faut:LDAPSharedCacheSize 500000
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier le nombre d'octets � allouer pour le cache en m�moire partag�e. La valeur par d�faut est 500kb. Si elle est d�finie � 0, le cache en m�moire partag�e ne sera pas utilis� et chaque processus HTTPD va cr�er son propre cache.

top

LDAPTimeout Directive

Description:Sp�cifie le d�lai d'attente pour les op�rations de recherche et d'identification LDAP en secondes
Syntaxe:LDAPTimeout secondes
D�faut:LDAPTimeout 60
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap
Compatibilit�:Disponible � partir de la version 2.3.5 du serveur HTTP Apache

Cette directive permet de sp�cifier le d�lai d'attente pour les op�rations de recherche et d'identification, ainsi que l'option LDAP_OPT_TIMEOUT dans la biblioth�que LDAP client sous-jacente, lorsqu'elle est disponible.

Lorsque le d�lai est atteint, httpd va refaire un essai dans le cas o� une connexion existante a �t� silencieusement ferm�e par un pare-feu. Les performances seront cependant bien meilleures si le pare-feu est configur� pour envoyer des paquets TCP RST au lieu de rejeter silencieusement les paquets.

Les d�lais pour les op�rations de comparaison LDAP n�cessitent un SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP >= 2.4.4.

top

LDAPTrustedClientCert Directive

Description:D�finit le nom de fichier contenant un certificat client ou un alias renvoyant vers un certificat client sp�cifique � une connexion. Tous les SDK LDAP ne supportent pas les certificats clients par connexion.
Syntaxe:LDAPTrustedClientCert type chemin/nom-fichier/alias [mot de passe]
Contexte:configuration du serveur, serveur virtuel, r�pertoire, .htaccess
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier le chemin et le nom de fichier ou l'alias d'un certificat client par connexion utilis� lors de l'�tablissement d'une connexion SSL ou TLS avec un serveur LDAP. Les sections directory ou location peuvent poss�der leurs propres configurations de certificats clients. Certains SDK LDAP (en particulier Novell) ne supportent pas les certificats clients par connexion, et renvoient une erreur lors de la connexion au serveur LDAP si vous tenter d'utiliser cette directive (Utilisez � la place la directive LDAPTrustedGlobalCert pour les certificats clients sous Novell - Voir plus haut le guide des certificats SSL/TLS pour plus de d�tails). Le param�tre type sp�cifie le type du certificat en cours de d�finition, en fonction du SDK LDAP utilis�. Les types support�s sont :

top

LDAPTrustedGlobalCert Directive

Description:D�finit le nom de fichier ou la base de donn�es contenant les Autorit�s de Certification de confiance globales ou les certificats clients globaux
Syntaxe:LDAPTrustedGlobalCert type chemin/nom-fichier [mot de passe]
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier le chemin et le nom du fichier contenant les certificats des CA de confiance et/ou les certificats clients du syst�me global que mod_ldap utilisera pour �tablir une connexion SSL ou TLS avec un serveur LDAP. Notez que toute information relative aux certificats sp�cifi�e en utilisant cette directive s'applique globalement � l'ensemble de l'installation du serveur. Certains SDK LDAP (en particulier Novell) n�cessitent la d�finition globale de tous les certificats clients en utilisant cette directive. La plupart des autres SDK n�cessitent la d�finition des certificats clients dans une section Directory ou Location en utilisant la directive LDAPTrustedClientCert. Si vous ne d�finissez pas ces directives correctement, une erreur sera g�n�r�e lors des tentatives de contact avec un serveur LDAP, ou la connexion �chouera silencieusement (Voir plus haut le guide des certificats SSL/TLS pour plus de d�tails). Le param�tre type sp�cifie le type de certificat en cours de d�finition, en fonction du SDK LDAP utilis�. Les types support�s sont :

top

LDAPTrustedMode Directive

Description:Sp�cifie le mode (SSL ou TLS) � utiliser lors de la connexion � un serveur LDAP.
Syntaxe:LDAPTrustedMode type
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ldap

Les modes suivants sont support�s :

Les modes ci-dessus ne sont pas support�s par tous les SDK LDAP. Un message d'erreur sera g�n�r� � l'ex�cution si un mode n'est pas support�, et la connexion au serveur LDAP �chouera.

Si une URL de type ldaps:// est sp�cifi�e, le mode est forc� � SSL et la d�finition de LDAPTrustedMode est ignor�e.

top

LDAPVerifyServerCert Directive

Description:Force la v�rification du certificat du serveur
Syntaxe:LDAPVerifyServerCert On|Off
D�faut:LDAPVerifyServerCert On
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp�cifier s'il faut forcer la v�rification d'un certificat de serveur lors de l'�tablissement d'une connexion SSL avec un serveur LDAP.

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.