<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_ldap

Langues Disponibles:  en  |  fr 

Description:Conservation des connexions LDAP et services de mise en cache du r´┐Żsultat ´┐Ż destination des autres modules LDAP
Statut:Extension
Identificateur´┐Żde´┐ŻModule:ldap_module
Fichier´┐ŻSource:util_ldap.c

Sommaire

Ce module a ´┐Żt´┐Ż con´┐Żu dans le but d'am´┐Żliorer les performances des sites web s'appuyant sur des connexions en arri´┐Żre-plan vers des serveurs LDAP. Il ajoute aux fonctions fournies par les biblioth´┐Żques standards LDAP la conservation des connexions LDAP ainsi qu'un cache LDAP partag´┐Ż en m´┐Żmoire.

Pour activer ce module, le support LDAP doit ´┐Żtre compil´┐Ż dans apr-util. Pour ce faire, on ajoute l'option --with-ldap au script configure lorsqu'on construit Apache.

Le support SSL/TLS est conditionn´┐Ż par le kit de d´┐Żveloppement LDAP qui a ´┐Żt´┐Ż li´┐Ż ´┐Ż APR. Au moment o´┐Ż ces lignes sont ´┐Żcrites, APR-util supporte OpenLDAP SDK (version 2.x ou sup´┐Żrieure), Novell LDAP SDK, Mozilla LDAP SDK, le SDK LDAP Solaris natif (bas´┐Ż sur Mozilla) ou le SDK LDAP Microsoft natif. Voir le site web APR pour plus de d´┐Żtails.

Directives

Sujets

top

Exemple de configuration

Ce qui suit est un exemple de configuration qui utilise mod_ldap pour am´┐Żliorer les performances de l'authentification HTTP de base fournie par mod_authnz_ldap.

# Active la conservation des connexions LDAP et le cache partag´┐Ż en
# m´┐Żmoire. Active le gestionnaire de statut du cache LDAP.
# N´┐Żcessite le chargement de mod_ldap et de mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPSharedCacheSize 500000
LDAPCacheEntries 1024
LDAPCacheTTL 600
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 600

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
top

Conservation des connexions LDAP

Les connexions LDAP sont conserv´┐Żes de requ´┐Żte en requ´┐Żte. Ceci permet de rester connect´┐Ż et identifi´┐Ż au serveur LDAP, ce dernier ´┐Żtant ainsi pr´┐Żt pour la prochaine requ´┐Żte, sans avoir ´┐Ż se d´┐Żconnecter, reconnecter et r´┐Żidentifier. Le gain en performances est similaire ´┐Ż celui des connexions persistantes (keepalives) HTTP.

Sur un serveur tr´┐Żs sollicit´┐Ż, il est possible que de nombreuses requ´┐Żtes tentent d'acc´┐Żder simultan´┐Żment ´┐Ż la m´┐Żme connexion au serveur LDAP. Lorsqu'une connexion LDAP est utilis´┐Że, Apache en cr´┐Że une deuxi´┐Żme en parall´┐Żle ´┐Ż la premi´┐Żre, ce qui permet d'´┐Żviter que le syst´┐Żme de conservation des connexions ne devienne un goulot d'´┐Żtranglement.

Il n'est pas n´┐Żcessaire d'activer explicitement la conservation des connexions dans la configuration d'Apache. Tout module utilisant le module ldap pour acc´┐Żder aux services LDAP partagera le jeu de connexions.

Les connexions LDAP peuvent garder la trace des donn´┐Żes d'identification du client ldap utilis´┐Żes pour l'identification aupr´┐Żs du serveur LDAP. Ces donn´┐Żes peuvent ´┐Żtre fournies aux serveurs LDAP qui ne permettent pas les connexions anonymes au cours lors des tentatives de sauts vers des serveurs alternatifs. Pour contr´┐Żler cette fonctionnalit´┐Ż, voir les directives LDAPReferrals et LDAPReferralHopLimit. Cette fonctionnalit´┐Ż est activ´┐Że par d´┐Żfaut.

top

Cache LDAP

Pour am´┐Żliorer les performances, mod_ldap met en oeuvre une strat´┐Żgie de mise en cache agressive visant ´┐Ż minimiser le nombre de fois que le serveur LDAP doit ´┐Żtre contact´┐Ż. La mise en cache peut facilement doubler et m´┐Żme tripler le d´┐Żbit d'Apache lorsqu'il sert des pages prot´┐Żg´┐Żes par mod_authnz_ldap. De plus, le serveur LDAP verra lui-m´┐Żme sa charge sensiblement diminu´┐Że.

mod_ldap supporte deux types de mise en cache LDAP : un cache recherche/identification durant la phase de recherche/identification et deux caches d'op´┐Żrations durant la phase de comparaison. Chaque URL LDAP utilis´┐Że par le serveur a son propre jeu d'instances dans ces trois caches.

Le cache recherche/identification

Les processus de recherche et d'identification sont les op´┐Żrations LDAP les plus consommatrices en temps, en particulier si l'annuaire est de grande taille. Le cache de recherche/identification met en cache toutes les recherches qui ont abouti ´┐Ż une identification positive. Les r´┐Żsultats n´┐Żgatifs (c'est ´┐Ż dire les recherches sans succ´┐Żs, ou les recherches qui n'ont pas abouti ´┐Ż une identification positive) ne sont pas mis en cache. La raison de cette d´┐Żcision r´┐Żside dans le fait que les connexions avec des donn´┐Żes d'identification invalides ne repr´┐Żsentent qu'un faible pourcentage du nombre total de connexions, et ainsi, le fait de ne pas mettre en cache les donn´┐Żes d'identification invalides r´┐Żduira d'autant la taille du cache.

mod_ldap met en cache le nom d'utilisateur, le DN extrait, le mot de passe utilis´┐Ż pour l'identification, ainsi que l'heure de l'identification. Chaque fois qu'une nouvelle connexion est initialis´┐Że avec le m´┐Żme nom d'utilisateur, mod_ldap compare le mot de passe de la nouvelle connexion avec le mot de passe enregistr´┐Ż dans le cache. Si les mots de passe correspondent, et si l'entr´┐Że du cache n'est pas trop ancienne, mod_ldap court-circuite la phase de recherche/identification.

Le cache de recherche/identification est contr´┐Żl´┐Ż par les directives LDAPCacheEntries et LDAPCacheTTL.

Les caches d'op´┐Żrations

Au cours des op´┐Żrations de comparaison d'attributs et de noms distinctifs (DN), mod_ldap utilise deux caches d'op´┐Żrations pour mettre en cache les op´┐Żrations de comparaison. Le premier cache de comparaison sert ´┐Ż mettre en cache les r´┐Żsultats de comparaisons effectu´┐Żes pour v´┐Żrifier l'appartenance ´┐Ż un groupe LDAP. Le second cache de comparaison sert ´┐Ż mettre en cache les r´┐Żsultats de comparaisons entre DNs.

Notez que, lorsque l'appartenance ´┐Ż un groupe est v´┐Żrifi´┐Że, toute comparaison de sous-groupes est mise en cache afin d'acc´┐Żl´┐Żrer les comparaisons de sous-groupes ult´┐Żrieures.

Le comportement de ces deux caches est contr´┐Żl´┐Ż par les directives LDAPOpCacheEntries et LDAPOpCacheTTL.

Superviser le cache

mod_ldap poss´┐Żde un gestionnaire de contenu qui permet aux administrateurs de superviser les performances du cache. Le nom du gestionnaire de contenu est ldap-status, et on peut utiliser les directives suivantes pour acc´┐Żder aux informations du cache de mod_ldap :

<Location /server/cache-info>
    SetHandler ldap-status
</Location>

En se connectant ´┐Ż l'URL http://nom-serveur/infos-cache, l'administrateur peut obtenir un rapport sur le statut de chaque cache qu'utilise mod_ldap. Notez que si Apache ne supporte pas la m´┐Żmoire partag´┐Że, chaque instance de httpd poss´┐Żdera son propre cache, et chaque fois que l'URL sera recharg´┐Że, un r´┐Żsultat diff´┐Żrent pourra ´┐Żtre affich´┐Ż, en fonction de l'instance de httpd qui traitera la requ´┐Żte.

top

Utiliser SSL/TLS

La possibilit´┐Ż de cr´┐Żer des connexions SSL et TLS avec un serveur LDAP est d´┐Żfinie par les directives LDAPTrustedGlobalCert, LDAPTrustedClientCert et LDAPTrustedMode. Ces directives permettent de sp´┐Żcifier l'autorit´┐Ż de certification (CA), les certificats clients ´┐Żventuels, ainsi que le type de chiffrement ´┐Ż utiliser pour la connexion (none, SSL ou TLS/STARTTLS).

# Etablissement d'une connexion SSL LDAP sur le port 636.
# N´┐Żcessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>
# Etablissement d'une connexion TLS LDAP sur le port 389.
# N´┐Żcessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS
    Require valid-user
</Location>
top

Certificats SSL/TLS

Les diff´┐Żrents SDKs LDAP disposent de nombreuses m´┐Żthodes pour d´┐Żfinir et g´┐Żrer les certificats des clients et des autorit´┐Żs de certification (CA).

Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette section ATTENTIVEMENT de fa´┐Żon ´┐Ż bien comprendre les diff´┐Żrences de configurations entre les diff´┐Żrents SDKs LDAP support´┐Żs.

SDK Netscape/Mozilla/iPlanet

Les certificat de CA sont enregistr´┐Żs dans un fichier nomm´┐Ż cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le certificat n'a pas ´┐Żt´┐Ż sign´┐Ż par une CA sp´┐Żcifi´┐Że dans ce fichier. Si des certificats clients sont requis, un fichier key3.db ainsi qu'un mot de passe optionnels peuvent ´┐Żtre sp´┐Żcifi´┐Żs. On peut aussi sp´┐Żcifier le fichier secmod si n´┐Żcessaire. Ces fichiers sont du m´┐Żme format que celui utilis´┐Ż par les navigateurs web Netscape Communicator ou Mozilla. Le moyen le plus simple pour obtenir ces fichiers consiste ´┐Ż les extraire de l'installation de votre navigateur.

Les certificats clients sont sp´┐Żcifi´┐Żs pour chaque connexion en utilisant la directive LDAPTrustedClientCert et en se r´┐Żf´┐Żrant au certificat "nickname". On peut ´┐Żventuellement sp´┐Żcifier un mot de passe pour d´┐Żverrouiller la cl´┐Ż priv´┐Że du certificat.

Le SDK supporte seulement SSL. Toute tentative d'utilisation de STARTTLS engendrera une erreur lors des tentatives de contacter le serveur LDAP pendant l'ex´┐Żcution.

# Sp´┐Żcifie un fichier de certificats de CA Netscape
LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db
# Sp´┐Żcifie un fichier key3db optionnel pour le support des
# certificats clients
LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db
# Sp´┐Żcifie le fichier secmod si n´┐Żcessaire
LDAPTrustedGlobalCert CA_SECMOD /certs/secmod
<Location /ldap-status>
    SetHandler ldap-status

    Require host yourdomain.example.com

    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    LDAPTrustedClientCert CERT_NICKNAME <nickname> [password]
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>

SDK Novell

Un ou plusieurs certificats de CA doivent ´┐Żtre sp´┐Żcifi´┐Żs pour que le SDK Novell fonctionne correctement. Ces certificats peuvent ´┐Żtre sp´┐Żcifi´┐Żs sous forme de fichiers au format binaire DER ou cod´┐Żs en Base64 (PEM).

Note: Les certificats clients sont sp´┐Żcifi´┐Żs globalement plut´┐Żt qu'´┐Ż chaque connexion, et doivent ´┐Żtre sp´┐Żcifi´┐Żs ´┐Ż l'aide de la directive LDAPTrustedGlobalCert comme ci-dessous. D´┐Żfinir des certificats clients via la directive LDAPTrustedClientCert engendrera une erreur qui sera journalis´┐Że, au moment de la tentative de connexion avec le serveur LDAP.

Le SDK supporte SSL et STARTTLS, le choix ´┐Żtant d´┐Żfini par le param´┐Żtre de la directive LDAPTrustedMode. Si une URL de type ldaps:// est sp´┐Żcifi´┐Że, le mode SSL est forc´┐Ż, et l'emporte sur cette directive.

# Sp´┐Żcifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
# Sp´┐Żcifie un fichier contenant des certificats clients
# ainsi qu'une cl´┐Ż
LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem
LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [password]
# N'utilisez pas cette directive, sous peine de provoquer
# une erreur
#LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem

SDK OpenLDAP

Un ou plusieurs certificats de CA doivent ´┐Żtre sp´┐Żcifi´┐Żs pour que le SDK OpenLDAP fonctionne correctement. Ces certificats peuvent ´┐Żtre sp´┐Żcifi´┐Żs sous forme de fichiers au format binaire DER ou cod´┐Żs en Base64 (PEM).

Les certificats clients sont sp´┐Żcifi´┐Żs pour chaque connexion ´┐Ż l'aide de la directive LDAPTrustedClientCert.

La documentation du SDK pr´┐Żtend que SSL et STARTTLS sont support´┐Żs ; cependant, STARTTLS semble ne pas fonctionner avec toutes les versions du SDK. Le mode SSL/TLS peut ´┐Żtre d´┐Żfini en utilisant le param´┐Żtre de la directive LDAPTrustedMode. Si une URL de type ldaps:// est sp´┐Żcifi´┐Że, le mode SSL est forc´┐Ż. La documentation OpenLDAP indique que le support SSL (ldaps://) tend ´┐Ż ´┐Żtre remplac´┐Ż par TLS, bien que le mode SSL fonctionne toujours.

# Sp´┐Żcifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
<Location /ldap-status>
    SetHandler ldap-status
    
    Require host yourdomain.example.com
    
    LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
    LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem
    # CA certs respecified due to per-directory client certs
    LDAPTrustedClientCert CA_DER /certs/cacert1.der
    LDAPTrustedClientCert CA_BASE64 /certs/cacert2.pem
    Satisfy any
    AuthType Basic
    AuthName "LDAP Protected"
    AuthBasicProvider ldap
    AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
    Require valid-user
</Location>

SDK Solaris

SSL/TLS pour les biblioth´┐Żques LDAP propres ´┐Ż Solaris n'est pas encore support´┐Ż. Si n´┐Żcessaire, installez et utilisez plut´┐Żt les biblioth´┐Żques OpenLDAP.

SDK Microsoft

La configuration des certificats SSL/TLS pour les biblioth´┐Żques LDAP propres ´┐Ż Microsoft s'effectue ´┐Ż l'int´┐Żrieur du registre syst´┐Żme, et aucune directive de configuration n'est requise.

SSL et TLS sont tous deux support´┐Żs en utilisant des URLs de type ldaps://, ou en d´┐Żfinissant la directive LDAPTrustedMode ´┐Ż cet effet.

Note: L'´┐Żtat du support des certificats clients n'est pas encore connu pour ce SDK.

top

LDAPCacheEntries Directive

Description:Nombre maximum d'entr´┐Żes dans le cache LDAP primaire
Syntaxe:LDAPCacheEntries nombre
D´┐Żfaut:LDAPCacheEntries 1024
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier la taille maximale du cache LDAP primaire. Ce cache contient les r´┐Żsultats de recherche/identification positifs. D´┐Żfinissez-la ´┐Ż 0 pour d´┐Żsactiver la mise en cache des r´┐Żsultats de recherche/identification positifs. La taille par d´┐Żfaut est de 1024 recherches en cache.

top

LDAPCacheTTL Directive

Description:Dur´┐Że pendant laquelle les entr´┐Żes du cache restent valides.
Syntaxe:LDAPCacheTTL secondes
D´┐Żfaut:LDAPCacheTTL 600
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier la dur´┐Że (en secondes) pendant laquelle une entr´┐Że du cache de recherche/identification reste valide. La valeur par d´┐Żfaut est de 600 secondes (10 minutes).

top

LDAPConnectionPoolTTL Directive

Description:D´┐Żsactive les connexions d'arri´┐Żre-plan qui sont rest´┐Żes inactives trop longtemps au sein du jeu de connexions.
Syntaxe:LDAPConnectionPoolTTL n
D´┐Żfaut:LDAPConnectionPoolTTL -1
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ldap
Compatibilit´┐Ż:Disponible ´┐Ż partir de la version 2.3.12 du serveur HTTP Apache

Cette directive permet de sp´┐Żcifier la dur´┐Że maximale, en secondes, pendant laquelle une connexion LDAP du jeu de connexions peut demeurer inactive, mais rester quand-m´┐Żme disponible pour une utilisation ´┐Żventuelle. Le jeu de connexions est nettoy´┐Ż au fur et ´┐Ż mesure des besoins, de mani´┐Żre non asynchrone.

Si cette directive est d´┐Żfinie ´┐Ż 0, les connexions ne sont jamais sauvegard´┐Żes dans le jeu de connexions d'arri´┐Żre-plan. Avec la valeur par d´┐Żfaut -1, ou toute autre valeur n´┐Żgative, les connexions peuvent ´┐Żtre r´┐Żutilis´┐Żes sans limite de dur´┐Że.

Dans le but d'am´┐Żliorer les performances, le temps de r´┐Żf´┐Żrence qu'utilise cette directive correspond au moment o´┐Ż la connexion LDAP est enregistr´┐Że ou remise dans le jeu de connexions, et non au moment du dernier ´┐Żchange r´┐Żussi avec le serveur LDAP.

La version 2.4.10 a introduit de nouvelles mesures permettant d'´┐Żviter une augmentation excessive du temps de r´┐Żf´┐Żrence due ´┐Ż des correspondances positives dans le cache ou des requ´┐Żtes lentes. A cet effet, le temps de r´┐Żf´┐Żrence n'est pas r´┐Żactualis´┐Ż si aucune connexion LDAP d'arri´┐Żre-plan n'est requise ; d'autre part, le temps de r´┐Żf´┐Żrence se base sur le moment o´┐Ż la requ´┐Żte HTTP est re´┐Żue, et non sur le moment o´┐Ż la requ´┐Żte a ´┐Żt´┐Ż trait´┐Że.

Cette dur´┐Że de vie s'exprime par d´┐Żfaut en secondes, mais il est possible d'utiliser d'autres unit´┐Żs en ajoutant un suffixe : millisecondes (ms), minutes (min), ou heures (h).

top

LDAPConnectionTimeout Directive

Description:Sp´┐Żcifie le d´┐Żlai d'attente en secondes de la socket de connexion
Syntaxe:LDAPConnectionTimeout secondes
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT) dans la biblioth´┐Żque client LDAP sous-jacente, si elle est disponible. Cette valeur repr´┐Żsente la dur´┐Że pendant laquelle la biblioth´┐Żque client LDAP va attendre que le processus de connexion TCP au serveur LDAP soit achev´┐Ż.

Si la connexion n'a pas r´┐Żussi avant ce d´┐Żlai, une erreur sera renvoy´┐Że, ou la biblioth´┐Żque client LDAP tentera de se connecter ´┐Ż un second serveur LDAP, s'il en a ´┐Żt´┐Ż d´┐Żfini un (via une liste de noms d'h´┐Żtes s´┐Żpar´┐Żs par des espaces dans la directive AuthLDAPURL).

La valeur par d´┐Żfaut est 10 secondes, si la biblioth´┐Żque client LDAP li´┐Że avec le serveur supporte l'option LDAP_OPT_NETWORK_TIMEOUT.

LDAPConnectionTimeout n'est disponible que si la biblioth´┐Żque client LDAP li´┐Że avec le serveur supporte l'option LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le comportement final est enti´┐Żrement dict´┐Ż par la biblioth´┐Żque client LDAP.
top

LDAPLibraryDebug Directive

Description:Active le d´┐Żbogage dans le SDK LDAP
Syntaxe:LDAPLibraryDebug 7
D´┐Żfaut:disabled
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Active les options de d´┐Żbogage LDAP sp´┐Żcifiques au SDK, qui entra´┐Żnent en g´┐Żn´┐Żral une journalisation d'informations verbeuses du SDK LDAP dans le journal principal des erreurs d'Apache. Les messages de traces en provenance du SDK LDAP fournissent des informations tr´┐Żs d´┐Żtaill´┐Żes qui peuvent s'av´┐Żrer utiles lors du d´┐Żbogage des probl´┐Żmes de connexion avec des serveurs LDAP d'arri´┐Żre-plan.

Cette option n'est configurable que lorsque le serveur HTTP Apache est li´┐Ż avec un SDK LDAP qui impl´┐Żmente LDAP_OPT_DEBUG ou LDAP_OPT_DEBUG_LEVEL, comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory Server (une valeur de 65535 est verbeuse).

Les informations journalis´┐Żes peuvent contenir des donn´┐Żes d'authentification en clair utilis´┐Żes ou valid´┐Żes lors de l'authentification LDAP ; vous devez donc prendre soin de prot´┐Żger et de purger le journal des erreurs lorsque cette directive est utilis´┐Że.

top

LDAPOpCacheEntries Directive

Description:Nombre d'entr´┐Żes utilis´┐Żes pour mettre en cache les op´┐Żrations de comparaison LDAP
Syntaxe:LDAPOpCacheEntries nombre
D´┐Żfaut:LDAPOpCacheEntries 1024
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier le nombre d'entr´┐Żes que mod_ldap va utiliser pour mettre en cache les op´┐Żrations de comparaison LDAP. La valeur par d´┐Żfaut est de 1024 entr´┐Żes. Si elle est d´┐Żfinie ´┐Ż 0, la mise en cache des op´┐Żrations de comparaison LDAP est d´┐Żsactiv´┐Że.

top

LDAPOpCacheTTL Directive

Description:Dur´┐Że pendant laquelle les entr´┐Żes du cache d'op´┐Żrations restent valides
Syntaxe:LDAPOpCacheTTL secondes
D´┐Żfaut:LDAPOpCacheTTL 600
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier la dur´┐Że (en secondes) pendant laquelle les entr´┐Żes du cache d'op´┐Żrations restent valides. La valeur par d´┐Żfaut est de 600 secondes.

top

LDAPReferralHopLimit Directive

Description:Le nombre maximum de redirections vers des serveurs alternatifs (referrals) avant l'abandon de la requ´┐Żte LDAP.
Syntaxe:LDAPReferralHopLimit nombre
D´┐Żfaut:D´┐Żpend du SDK, en g´┐Żn´┐Żral entre 5 et 10
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ldap

Si elle est activ´┐Że par la directive LDAPReferrals, cette directive permet de d´┐Żfinir le nombre maximum de sauts vers des serveurs alternatifs (referrals) avant l'abandon de la requ´┐Żte LDAP.

L'ajustement de ce param´┐Żtre n'est pas commun ´┐Ż tous les SDKs LDAP.

top

LDAPReferrals Directive

Description:Active la redirection vers des serveurs alternatifs au cours des requ´┐Żtes vers le serveur LDAP.
Syntaxe:LDAPReferrals On|Off|default
D´┐Żfaut:LDAPReferrals On
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ldap
Compatibilit´┐Ż:Le param´┐Żtre default est disponible depuis la version 2.4.7 du serveur HTTP Apache.

Certains serveurs LDAP partagent leur annuaire en plusieurs domaines et utilisent le syst´┐Żme des redirections (referrals) pour aiguiller un client lorsque les limites d'un domaine doivent ´┐Żtre franchies. Ce processus est similaire ´┐Ż une redirection HTTP. Les biblioth´┐Żques client LDAP ne respectent pas forc´┐Żment ces redirections par d´┐Żfaut. Cette directive permet de configurer explicitement les redirections LDAP dans le SDK sous-jacent.

La directive LDAPReferrals accepte les valeurs suivantes :

"on"

Avec la valeur "on", la prise en compte des redirections LDAP par le SDK sous-jacent est activ´┐Że, la directive LDAPReferralHopLimit permet de surcharger la "hop limit" du SDK, et un "LDAP rebind callback" est enregistr´┐Ż.

"off"

Avec la valeur "off", la prise en compte des redirections LDAP par le SDK sous-jacent est compl´┐Żtement d´┐Żsactiv´┐Że.

"default"

Avec la valeur "default", la prise en compte des redirections LDAP par le SDK sous-jacent n'est pas modifi´┐Że, la directive LDAPReferralHopLimit ne permet pas de surcharger la "hop limit" du SDK, et aucun "LDAP rebind callback" n'est enregistr´┐Ż.

La directive LDAPReferralHopLimit travaille en conjonction avec cette directive pour limiter le nombre de redirections ´┐Ż suivre pour achever le traitement de la requ´┐Żte LDAP. Lorsque le processus de redirection est activ´┐Ż par la valeur "On", les donn´┐Żes d'authentification du client sont transmises via un "rebind callback" ´┐Ż tout serveur LDAP qui en fait la demande.

top

LDAPRetries Directive

Description:D´┐Żfinit le nombre maximum de tentatives de connexions au serveur LDAP.
Syntaxe:LDAPRetries nombre d'essais
D´┐Żfaut:LDAPRetries 3
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Suite ´┐Ż des ´┐Żchecs de connexion au serveur LDAP, le serveur tentera de se connecter autant de fois qu'indiqu´┐Ż par la directive LDAPRetries. Si cette directive est d´┐Żfinie ´┐Ż 0, le serveur ne tentera pas d'autre connexion apr´┐Żs un ´┐Żchec.

Il est possible d'effectuer une autre tentative de connexion en cas d'erreurs LDAP du type d´┐Żlai d´┐Żpass´┐Ż ou connexion refus´┐Że.

top

LDAPRetryDelay Directive

Description:D´┐Żfinit le temps d'attente avant un autre essai de connexion au serveur LDAP.
Syntaxe:LDAPRetryDelay secondes
D´┐Żfaut:LDAPRetryDelay 0
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Si la directive LDAPRetryDelay est d´┐Żfinie ´┐Ż une valeur diff´┐Żrente de 0, le serveur attendra pendant la dur´┐Że sp´┐Żcifi´┐Że pour envoyer ´┐Ż nouveau sa requ´┐Żte LDAP. Une valeur de 0 implique une absence de d´┐Żlai pour les essais successifs.

Il est possible d'effectuer une autre tentative de connexion en cas d'erreurs LDAP du type d´┐Żlai d´┐Żpass´┐Ż ou connexion refus´┐Że.

top

LDAPSharedCacheFile Directive

Description:D´┐Żfinit le fichier du cache en m´┐Żmoire partag´┐Że
Syntaxe:LDAPSharedCacheFile chemin/fichier
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier le chemin du fichier du cache en m´┐Żmoire partag´┐Że. Si elle n'est pas d´┐Żfinie, la m´┐Żmoire partag´┐Że anonyme sera utilis´┐Że si la plate-forme la supporte.

top

LDAPSharedCacheSize Directive

Description:Taille en octets du cache en m´┐Żmoire partag´┐Że
Syntaxe:LDAPSharedCacheSize octets
D´┐Żfaut:LDAPSharedCacheSize 500000
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier le nombre d'octets ´┐Ż allouer pour le cache en m´┐Żmoire partag´┐Że. La valeur par d´┐Żfaut est 500kb. Si elle est d´┐Żfinie ´┐Ż 0, le cache en m´┐Żmoire partag´┐Że ne sera pas utilis´┐Ż et chaque processus HTTPD va cr´┐Żer son propre cache.

top

LDAPTimeout Directive

Description:Sp´┐Żcifie le d´┐Żlai d'attente pour les op´┐Żrations de recherche et d'identification LDAP en secondes
Syntaxe:LDAPTimeout secondes
D´┐Żfaut:LDAPTimeout 60
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap
Compatibilit´┐Ż:Disponible ´┐Ż partir de la version 2.3.5 du serveur HTTP Apache

Cette directive permet de sp´┐Żcifier le d´┐Żlai d'attente pour les op´┐Żrations de recherche et d'identification, ainsi que l'option LDAP_OPT_TIMEOUT dans la biblioth´┐Żque LDAP client sous-jacente, lorsqu'elle est disponible.

Lorsque le d´┐Żlai est atteint, httpd va refaire un essai dans le cas o´┐Ż une connexion existante a ´┐Żt´┐Ż silencieusement ferm´┐Że par un pare-feu. Les performances seront cependant bien meilleures si le pare-feu est configur´┐Ż pour envoyer des paquets TCP RST au lieu de rejeter silencieusement les paquets.

Les d´┐Żlais pour les op´┐Żrations de comparaison LDAP n´┐Żcessitent un SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP >= 2.4.4.

top

LDAPTrustedClientCert Directive

Description:D´┐Żfinit le nom de fichier contenant un certificat client ou un alias renvoyant vers un certificat client sp´┐Żcifique ´┐Ż une connexion. Tous les SDK LDAP ne supportent pas les certificats clients par connexion.
Syntaxe:LDAPTrustedClientCert type chemin/nom-fichier/alias [mot de passe]
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier le chemin et le nom de fichier ou l'alias d'un certificat client par connexion utilis´┐Ż lors de l'´┐Żtablissement d'une connexion SSL ou TLS avec un serveur LDAP. Les sections directory ou location peuvent poss´┐Żder leurs propres configurations de certificats clients. Certains SDK LDAP (en particulier Novell) ne supportent pas les certificats clients par connexion, et renvoient une erreur lors de la connexion au serveur LDAP si vous tenter d'utiliser cette directive (Utilisez ´┐Ż la place la directive LDAPTrustedGlobalCert pour les certificats clients sous Novell - Voir plus haut le guide des certificats SSL/TLS pour plus de d´┐Żtails). Le param´┐Żtre type sp´┐Żcifie le type du certificat en cours de d´┐Żfinition, en fonction du SDK LDAP utilis´┐Ż. Les types support´┐Żs sont :

top

LDAPTrustedGlobalCert Directive

Description:D´┐Żfinit le nom de fichier ou la base de donn´┐Żes contenant les Autorit´┐Żs de Certification de confiance globales ou les certificats clients globaux
Syntaxe:LDAPTrustedGlobalCert type chemin/nom-fichier [mot de passe]
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier le chemin et le nom du fichier contenant les certificats des CA de confiance et/ou les certificats clients du syst´┐Żme global que mod_ldap utilisera pour ´┐Żtablir une connexion SSL ou TLS avec un serveur LDAP. Notez que toute information relative aux certificats sp´┐Żcifi´┐Że en utilisant cette directive s'applique globalement ´┐Ż l'ensemble de l'installation du serveur. Certains SDK LDAP (en particulier Novell) n´┐Żcessitent la d´┐Żfinition globale de tous les certificats clients en utilisant cette directive. La plupart des autres SDK n´┐Żcessitent la d´┐Żfinition des certificats clients dans une section Directory ou Location en utilisant la directive LDAPTrustedClientCert. Si vous ne d´┐Żfinissez pas ces directives correctement, une erreur sera g´┐Żn´┐Żr´┐Że lors des tentatives de contact avec un serveur LDAP, ou la connexion ´┐Żchouera silencieusement (Voir plus haut le guide des certificats SSL/TLS pour plus de d´┐Żtails). Le param´┐Żtre type sp´┐Żcifie le type de certificat en cours de d´┐Żfinition, en fonction du SDK LDAP utilis´┐Ż. Les types support´┐Żs sont :

top

LDAPTrustedMode Directive

Description:Sp´┐Żcifie le mode (SSL ou TLS) ´┐Ż utiliser lors de la connexion ´┐Ż un serveur LDAP.
Syntaxe:LDAPTrustedMode type
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ldap

Les modes suivants sont support´┐Żs :

Les modes ci-dessus ne sont pas support´┐Żs par tous les SDK LDAP. Un message d'erreur sera g´┐Żn´┐Żr´┐Ż ´┐Ż l'ex´┐Żcution si un mode n'est pas support´┐Ż, et la connexion au serveur LDAP ´┐Żchouera.

Si une URL de type ldaps:// est sp´┐Żcifi´┐Że, le mode est forc´┐Ż ´┐Ż SSL et la d´┐Żfinition de LDAPTrustedMode est ignor´┐Że.

top

LDAPVerifyServerCert Directive

Description:Force la v´┐Żrification du certificat du serveur
Syntaxe:LDAPVerifyServerCert On|Off
D´┐Żfaut:LDAPVerifyServerCert On
Contexte:configuration du serveur
Statut:Extension
Module:mod_ldap

Cette directive permet de sp´┐Żcifier s'il faut forcer la v´┐Żrification d'un certificat de serveur lors de l'´┐Żtablissement d'une connexion SSL avec un serveur LDAP.

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.