www/apache
1
0
Fork 0
mirror of https://github.com/apache/httpd.git synced 2025-07-10 08:01:00 +03:00
Code Activity
Files
45793ced4126fc1536c7eb5760d48dccdf1106c4
apache/docs/manual/mod/mod_ldap.html.fr
Lucien Gentis 45c2de30c3 Rebuild. 
git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@1741777 13f79535-47bb-0310-9956-ffa450edef68
2016-04-30 15:06:31 +00:00

965 lines
56 KiB
Plaintext
Raw Blame History

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-->
<title>mod_ldap - Serveur Apache HTTP Version 2.5</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.5</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_ldap</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ldap.html" title="Fran<61>ais">&nbsp;fr&nbsp;</a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en
cache du r<>sultat <20> destination des autres modules LDAP</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur<75>de<64>Module:</a></th><td>ldap_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier<65>Source:</a></th><td>util_ldap.c</td></tr></table>
<h3>Sommaire</h3>
<p>Ce module a <20>t<EFBFBD> con<6F>u dans le but d'am<61>liorer les performances
des sites web s'appuyant sur des connexions en arri<72>re-plan vers des
serveurs LDAP. Il ajoute aux fonctions fournies par les
biblioth<74>ques standards LDAP la conservation des connexions LDAP
ainsi qu'un cache LDAP partag<61> en m<>moire.</p>
<p>Pour activer ce module, le support LDAP doit <20>tre compil<69> dans
apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit
Apache.</p>
<p>Le support SSL/TLS est conditionn<6E> par le kit de d<>veloppement
LDAP qui a <20>t<EFBFBD> li<6C> <20> <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment o<> ces
lignes sont <20>crites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
sup<75>rieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
SDK</a>, <a href="https://wiki.mozilla.org/LDAP_C_SDK">
Mozilla LDAP SDK</a>, le SDK LDAP Solaris natif (bas<61> sur Mozilla)
ou le SDK LDAP Microsoft natif. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de d<>tails.</p>
</div>
<div id="quickview"><h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li>
</ul><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectionpoolttl">LDAPConnectionPoolTTL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaplibrarydebug">LDAPLibraryDebug</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapretries">LDAPRetries</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapretrydelay">LDAPRetryDelay</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptimeout">LDAPTimeout</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li>
</ul>
<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&amp;list_id=144532&amp;product=Apache%20httpd-2&amp;query_format=specific&amp;order=changeddate%20DESC%2Cpriority%2Cbug_severity&amp;component=mod_ldap">Probl<62>mes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&amp;component=mod_ldap">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
<ul class="seealso">
<li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2>
<p>Ce qui suit est un exemple de configuration qui utilise
<code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour am<61>liorer les performances de
l'authentification HTTP de base fournie par
<code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p>
<pre class="prettyprint lang-config"># Active la conservation des connexions LDAP et le cache partag<61> en
# m<>moire. Active le gestionnaire de statut du cache LDAP.
# N<>cessite le chargement de mod_ldap et de mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.
LDAPSharedCacheSize 500000
LDAPCacheEntries 1024
LDAPCacheTTL 600
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 600
&lt;Location "/ldap-status"&gt;
SetHandler ldap-status
Require host yourdomain.example.com
Satisfy any
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one
Require valid-user
&lt;/Location&gt;</pre>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2>
<p>Les connexions LDAP sont conserv<72>es de requ<71>te en requ<71>te. Ceci
permet de rester connect<63> et identifi<66> au serveur LDAP, ce dernier
<20>tant ainsi pr<70>t pour la prochaine requ<71>te, sans avoir <20> se
d<>connecter, reconnecter et r<>identifier. Le gain en performances
est similaire <20> celui des connexions persistantes (keepalives)
HTTP.</p>
<p>Sur un serveur tr<74>s sollicit<69>, il est possible que de nombreuses
requ<71>tes tentent d'acc<63>der simultan<61>ment <20> la m<>me connexion au
serveur LDAP. Lorsqu'une connexion LDAP est utilis<69>e, Apache en cr<63>e
une deuxi<78>me en parall<6C>le <20> la premi<6D>re, ce qui permet d'<27>viter que
le syst<73>me de conservation des connexions ne devienne un goulot
d'<27>tranglement.</p>
<p>Il n'est pas n<>cessaire d'activer explicitement la conservation
des connexions dans la configuration d'Apache. Tout module utilisant
le module ldap pour acc<63>der aux services LDAP partagera le jeu de
connexions.</p>
<p>Les connexions LDAP peuvent garder la trace des donn<6E>es
d'identification du client ldap utilis<69>es pour l'identification
aupr<70>s du serveur LDAP. Ces donn<6E>es peuvent <20>tre fournies aux
serveurs LDAP qui ne permettent pas les connexions anonymes au cours
lors des tentatives de sauts vers des serveurs alternatifs. Pour
contr<74>ler cette fonctionnalit<69>, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette
fonctionnalit<69> est activ<69>e par d<>faut.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="cache" id="cache">Cache LDAP</a></h2>
<p>Pour am<61>liorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en
oeuvre une strat<61>gie de mise en cache agressive visant <20> minimiser
le nombre de fois que le serveur LDAP doit <20>tre contact<63>. La mise en
cache peut facilement doubler et m<>me tripler le d<>bit d'Apache
lorsqu'il sert des pages prot<6F>g<EFBFBD>es par mod_authnz_ldap. De plus, le
serveur LDAP verra lui-m<>me sa charge sensiblement diminu<6E>e.</p>
<p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache
LDAP : un <em>cache recherche/identification</em> durant la phase
de recherche/identification et deux <em>caches d'op<6F>rations</em>
durant la phase de comparaison. Chaque URL LDAP utilis<69>e par le
serveur a son propre jeu d'instances dans ces trois caches.</p>
<h3><a name="search-bind" id="search-bind">Le cache
recherche/identification</a></h3>
<p>Les processus de recherche et d'identification sont les
op<6F>rations LDAP les plus consommatrices en temps, en particulier
si l'annuaire est de grande taille. Le cache de
recherche/identification met en cache toutes les recherches qui
ont abouti <20> une identification positive. Les r<>sultats n<>gatifs
(c'est <20> dire les recherches sans succ<63>s, ou les recherches qui
n'ont pas abouti <20> une identification positive) ne sont pas mis en
cache. La raison de cette d<>cision r<>side dans le fait que les
connexions avec des donn<6E>es d'identification invalides ne
repr<70>sentent qu'un faible pourcentage du nombre total de
connexions, et ainsi, le fait de ne pas mettre en cache les
donn<6E>es d'identification invalides r<>duira d'autant la taille du
cache.</p>
<p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le
DN extrait, le mot de passe utilis<69> pour l'identification, ainsi
que l'heure de l'identification. Chaque fois qu'une nouvelle
connexion est initialis<69>e avec le m<>me nom d'utilisateur,
<code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle
connexion avec le mot de passe enregistr<74> dans le cache. Si les
mots de passe correspondent, et si l'entr<74>e du cache n'est pas
trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase
de recherche/identification.</p>
<p>Le cache de recherche/identification est contr<74>l<EFBFBD> par les
directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p>
<h3><a name="opcaches" id="opcaches">Les caches d'op<6F>rations</a></h3>
<p>Au cours des op<6F>rations de comparaison d'attributs et de noms
distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches
d'op<6F>rations pour mettre en cache les op<6F>rations de comparaison.
Le premier cache de comparaison sert <20> mettre en cache les
r<>sultats de comparaisons effectu<74>es pour v<>rifier l'appartenance
<20> un groupe LDAP. Le second cache de comparaison sert <20> mettre en
cache les r<>sultats de comparaisons entre DNs.</p>
<p>Notez que, lorsque l'appartenance <20> un groupe est v<>rifi<66>e,
toute comparaison de sous-groupes est mise en cache afin
d'acc<63>l<EFBFBD>rer les comparaisons de sous-groupes ult<6C>rieures.</p>
<p>Le comportement de ces deux caches est contr<74>l<EFBFBD> par les
directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p>
<h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3>
<p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> poss<73>de un gestionnaire de contenu
qui permet aux administrateurs de superviser les performances du
cache. Le nom du gestionnaire de contenu est
<code>ldap-status</code>, et on peut utiliser les directives
suivantes pour acc<63>der aux informations du cache de
<code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p>
<pre class="prettyprint lang-config">&lt;Location "/server/cache-info"&gt;
SetHandler ldap-status
&lt;/Location&gt;</pre>
<p>En se connectant <20> l'URL
<code>http://nom-serveur/infos-cache</code>, l'administrateur peut
obtenir un rapport sur le statut de chaque cache qu'utilise
<code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la
m<>moire partag<61>e, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code>
poss<73>dera son propre cache, et chaque fois que l'URL sera
recharg<72>e, un r<>sultat diff<66>rent pourra <20>tre affich<63>, en fonction
de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la
requ<71>te.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2>
<p>La possibilit<69> de cr<63>er des connexions SSL et TLS avec un serveur
LDAP est d<>finie par les directives <code class="directive"><a href="#ldaptrustedglobalcert">
LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="#ldaptrustedclientcert">
LDAPTrustedClientCert</a></code> et <code class="directive"><a href="#ldaptrustedmode">
LDAPTrustedMode</a></code>. Ces directives permettent de sp<73>cifier
l'autorit<69> de certification (CA), les certificats clients <20>ventuels,
ainsi que le type de chiffrement <20> utiliser pour la connexion (none,
SSL ou TLS/STARTTLS).</p>
<pre class="prettyprint lang-config"># Etablissement d'une connexion SSL LDAP sur le port 636.
# N<>cessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.
LDAPTrustedGlobalCert CA_DER /certs/certfile.der
&lt;Location "/ldap-status"&gt;
SetHandler ldap-status
Require host yourdomain.example.com
Satisfy any
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
Require valid-user
&lt;/Location&gt;</pre>
<pre class="prettyprint lang-config"># Etablissement d'une connexion TLS LDAP sur le port 389.
# N<>cessite le chargement de mod_ldap et mod_authnz_ldap.
# Remplacez "votre-domaine.example.com" par le nom de votre
# domaine.
LDAPTrustedGlobalCert CA_DER /certs/certfile.der
&lt;Location "/ldap-status"&gt;
SetHandler ldap-status
Require host yourdomain.example.com
Satisfy any
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS
Require valid-user
&lt;/Location&gt;</pre>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2>
<p>Les diff<66>rents SDKs LDAP disposent de nombreuses m<>thodes pour
d<>finir et g<>rer les certificats des clients et des autorit<69>s de
certification (CA).</p>
<p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
section ATTENTIVEMENT de fa<66>on <20> bien comprendre les diff<66>rences de
configurations entre les diff<66>rents SDKs LDAP support<72>s.</p>
<h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3>
<p>Les certificat de CA sont enregistr<74>s dans un fichier nomm<6D>
cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
certificat n'a pas <20>t<EFBFBD> sign<67> par une CA sp<73>cifi<66>e dans ce
fichier. Si des certificats clients sont requis, un fichier
key3.db ainsi qu'un mot de passe optionnels peuvent <20>tre
sp<73>cifi<66>s. On peut aussi sp<73>cifier le fichier secmod si
n<>cessaire. Ces fichiers sont du m<>me format que celui utilis<69>
par les navigateurs web Netscape Communicator ou Mozilla. Le
moyen le plus simple pour obtenir ces fichiers consiste <20> les
extraire de l'installation de votre navigateur.</p>
<p>Les certificats clients sont sp<73>cifi<66>s pour chaque connexion
en utilisant la directive LDAPTrustedClientCert et en se
r<>f<EFBFBD>rant au certificat "nickname". On peut <20>ventuellement
sp<73>cifier un mot de passe pour d<>verrouiller la cl<63> priv<69>e du
certificat.</p>
<p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
de STARTTLS engendrera une erreur lors des tentatives de
contacter le serveur LDAP pendant l'ex<65>cution.</p>
<pre class="prettyprint lang-config"># Sp<53>cifie un fichier de certificats de CA Netscape
LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db
# Sp<53>cifie un fichier key3db optionnel pour le support des
# certificats clients
LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db
# Sp<53>cifie le fichier secmod si n<>cessaire
LDAPTrustedGlobalCert CA_SECMOD /certs/secmod
&lt;Location "/ldap-status"&gt;
SetHandler ldap-status
Require host yourdomain.example.com
Satisfy any
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
LDAPTrustedClientCert CERT_NICKNAME &lt;nickname&gt; [password]
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
Require valid-user
&lt;/Location&gt;</pre>
<h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3>
<p>Un ou plusieurs certificats de CA doivent <20>tre sp<73>cifi<66>s pour
que le SDK Novell fonctionne correctement. Ces certificats
peuvent <20>tre sp<73>cifi<66>s sous forme de fichiers au format binaire
DER ou cod<6F>s en Base64 (PEM).</p>
<p>Note: Les certificats clients sont sp<73>cifi<66>s globalement
plut<75>t qu'<27> chaque connexion, et doivent <20>tre sp<73>cifi<66>s <20> l'aide
de la directive LDAPTrustedGlobalCert comme ci-dessous. D<>finir
des certificats clients via la directive LDAPTrustedClientCert
engendrera une erreur qui sera journalis<69>e, au moment de la
tentative de connexion avec le serveur LDAP.</p>
<p>Le SDK supporte SSL et STARTTLS, le choix <20>tant d<>fini par le
param<61>tre de la directive LDAPTrustedMode. Si une URL de type
ldaps:// est sp<73>cifi<66>e, le mode SSL est forc<72>, et l'emporte sur
cette directive.</p>
<pre class="prettyprint lang-config"># Sp<53>cifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
# Sp<53>cifie un fichier contenant des certificats clients
# ainsi qu'une cl<63>
LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem
LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [password]
# N'utilisez pas cette directive, sous peine de provoquer
# une erreur
#LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem</pre>
<h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3>
<p>Un ou plusieurs certificats de CA doivent <20>tre sp<73>cifi<66>s pour
que le SDK OpenLDAP fonctionne correctement. Ces certificats
peuvent <20>tre sp<73>cifi<66>s sous forme de fichiers au format binaire
DER ou cod<6F>s en Base64 (PEM).</p>
<p>Les certificats clients sont sp<73>cifi<66>s pour chaque connexion
<09> l'aide de la directive LDAPTrustedClientCert.</p>
<p>La documentation du SDK pr<70>tend que SSL et STARTTLS sont
support<72>s ; cependant, STARTTLS semble ne pas fonctionner avec
toutes les versions du SDK. Le mode SSL/TLS peut <20>tre d<>fini en
utilisant le param<61>tre de la directive LDAPTrustedMode. Si une
URL de type
ldaps:// est sp<73>cifi<66>e, le mode SSL est forc<72>. La documentation
OpenLDAP indique que le support SSL (ldaps://) tend <20> <20>tre
remplac<61> par TLS, bien que le mode SSL fonctionne toujours.</p>
<pre class="prettyprint lang-config"># Sp<53>cifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
&lt;Location "/ldap-status"&gt;
SetHandler ldap-status
Require host yourdomain.example.com
LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem
# CA certs respecified due to per-directory client certs
LDAPTrustedClientCert CA_DER /certs/cacert1.der
LDAPTrustedClientCert CA_BASE64 /certs/cacert2.pem
Satisfy any
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
Require valid-user
&lt;/Location&gt;</pre>
<h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3>
<p>SSL/TLS pour les biblioth<74>ques LDAP propres <20> Solaris n'est
pas encore support<72>. Si n<>cessaire, installez et utilisez plut<75>t
les biblioth<74>ques OpenLDAP.</p>
<h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3>
<p>La configuration des certificats SSL/TLS pour les
biblioth<74>ques LDAP propres <20> Microsoft s'effectue <20> l'int<6E>rieur
du registre syst<73>me, et aucune directive de configuration n'est
requise.</p>
<p>SSL et TLS sont tous deux support<72>s en utilisant des URLs de
type ldaps://, ou en d<>finissant la directive LDAPTrustedMode <20>
cet effet.</p>
<p>Note: L'<27>tat du support des certificats clients n'est pas
encore connu pour ce SDK.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapcacheentries" id="ldapcacheentries">Directive</a> <a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entr<74>es dans le cache LDAP
primaire</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier la taille maximale du cache
LDAP primaire. Ce cache contient les r<>sultats de
recherche/identification positifs. D<>finissez-la <20> 0 pour d<>sactiver
la mise en cache des r<>sultats de recherche/identification positifs.
La taille par d<>faut est de 1024 recherches en cache.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapcachettl" id="ldapcachettl">Directive</a> <a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dur<75>e pendant laquelle les entr<74>es du cache restent
valides.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier la dur<75>e (en secondes)
pendant laquelle une entr<74>e du cache de recherche/identification
reste valide. La valeur par d<>faut est de 600 secondes (10
minutes).</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapconnectionpoolttl" id="ldapconnectionpoolttl">Directive</a> <a name="LDAPConnectionPoolTTL" id="LDAPConnectionPoolTTL">LDAPConnectionPoolTTL</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>sactive les connexions d'arri<72>re-plan qui sont rest<73>es
inactives trop longtemps au sein du jeu de connexions.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionPoolTTL <var>n</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPConnectionPoolTTL -1</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
<tr><th><a href="directive-dict.html#Compatibility">Compatibilit<69>:</a></th><td>Disponible <20> partir de la version 2.3.12 du serveur HTTP
Apache</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier la dur<75>e maximale, en
secondes, pendant laquelle une connexion LDAP du jeu de connexions
peut demeurer inactive, mais rester quand-m<>me disponible pour une
utilisation <20>ventuelle. Le jeu de connexions est nettoy<6F> au fur et <20>
mesure des besoins, de mani<6E>re non asynchrone.</p>
<p>Si cette directive est d<>finie <20> 0, les connexions ne sont jamais
sauvegard<72>es dans le jeu de connexions d'arri<72>re-plan. Avec la
valeur par d<>faut -1, ou toute autre valeur n<>gative, les connexions
peuvent <20>tre r<>utilis<69>es sans limite de dur<75>e.</p>
<p>Dans le but d'am<61>liorer les performances, le temps de r<>f<EFBFBD>rence
qu'utilise cette directive correspond au moment o<> la connexion LDAP
est enregistr<74>e ou remise dans le jeu de connexions, et non au
moment du dernier <20>change r<>ussi avec le serveur LDAP.</p>
<p>La version 2.4.10 a introduit de nouvelles mesures permettant
d'<27>viter une augmentation excessive du temps de r<>f<EFBFBD>rence due <20> des
correspondances positives dans le cache ou des requ<71>tes lentes. A
cet effet, le temps de r<>f<EFBFBD>rence n'est pas r<>actualis<69> si aucune
connexion LDAP d'arri<72>re-plan n'est requise ; d'autre part, le temps
de r<>f<EFBFBD>rence se base sur le moment o<> la requ<71>te HTTP est re<72>ue, et
non sur le moment o<> la requ<71>te a <20>t<EFBFBD> trait<69>e.</p>
<div class="note"><p>Cette dur<75>e de vie s'exprime par d<>faut en secondes, mais
il est possible d'utiliser d'autres unit<69>s en ajoutant un suffixe :
millisecondes (ms), minutes (min), ou heures (h).
</p></div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a> <a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Sp<53>cifie le d<>lai d'attente en secondes de la socket de
connexion</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou
LDAP_OPT_CONNECT_TIMEOUT) dans la biblioth<74>que client LDAP
sous-jacente, si elle est disponible. Cette valeur repr<70>sente la
dur<75>e pendant laquelle la biblioth<74>que client LDAP va attendre que
le processus de connexion TCP au serveur LDAP soit achev<65>.</p>
<p>Si la connexion n'a pas r<>ussi avant ce d<>lai, une erreur sera
renvoy<6F>e, ou la biblioth<74>que client LDAP tentera de se connecter <20>
un second serveur LDAP, s'il en a <20>t<EFBFBD> d<>fini un (via une liste de
noms d'h<>tes s<>par<61>s par des espaces dans la directive <code class="directive"><a href="../mod/mod_authnz_ldap.html#authldapurl">AuthLDAPURL</a></code>).</p>
<p>La valeur par d<>faut est 10 secondes, si la biblioth<74>que client
LDAP li<6C>e avec le serveur supporte l'option
LDAP_OPT_NETWORK_TIMEOUT.</p>
<div class="note">LDAPConnectionTimeout n'est disponible que si la biblioth<74>que client
LDAP li<6C>e avec le serveur supporte l'option
LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le
comportement final est enti<74>rement dict<63> par la biblioth<74>que client
LDAP.
</div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldaplibrarydebug" id="ldaplibrarydebug">Directive</a> <a name="LDAPLibraryDebug" id="LDAPLibraryDebug">LDAPLibraryDebug</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active le d<>bogage dans le SDK LDAP</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPLibraryDebug <var>7</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>disabled</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Active les options de d<>bogage LDAP sp<73>cifiques au SDK, qui
entra<72>nent en g<>n<EFBFBD>ral une journalisation d'informations verbeuses du
SDK LDAP dans le journal principal des erreurs d'Apache. Les
messages de traces en provenance du SDK LDAP fournissent des
informations tr<74>s d<>taill<6C>es qui peuvent s'av<61>rer utiles lors du
d<>bogage des probl<62>mes de connexion avec des serveurs LDAP
d'arri<72>re-plan.</p>
<p>Cette option n'est configurable que lorsque le serveur HTTP
Apache est li<6C> avec un SDK LDAP qui impl<70>mente
<code>LDAP_OPT_DEBUG</code> ou <code>LDAP_OPT_DEBUG_LEVEL</code>,
comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory
Server (une valeur de 65535 est verbeuse).</p>
<div class="warning">
<p>Les informations journalis<69>es peuvent contenir des donn<6E>es
d'authentification en clair utilis<69>es ou valid<69>es lors de
l'authentification LDAP ; vous devez donc prendre soin de prot<6F>ger
et de purger le journal des erreurs lorsque cette directive est
utilis<69>e.</p>
</div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a> <a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entr<74>es utilis<69>es pour mettre en cache les
op<EFBFBD>rations de comparaison LDAP</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le nombre d'entr<74>es que
<code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les
op<6F>rations de comparaison LDAP. La valeur par d<>faut est de 1024
entr<74>es. Si elle est d<>finie <20> 0, la mise en cache des op<6F>rations de
comparaison LDAP est d<>sactiv<69>e.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapopcachettl" id="ldapopcachettl">Directive</a> <a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dur<75>e pendant laquelle les entr<74>es du cache d'op<6F>rations
restent valides</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier la dur<75>e (en secondes)
pendant laquelle les entr<74>es du cache d'op<6F>rations restent valides.
La valeur par d<>faut est de 600 secondes.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a> <a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs
alternatifs (referrals) avant l'abandon de la requ<71>te
LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>D<>pend du SDK, en g<>n<EFBFBD>ral entre 5 et 10</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r<>pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Si elle est activ<69>e par la directive <code class="directive">LDAPReferrals</code>,
cette directive permet de d<>finir le nombre maximum de sauts vers
des serveurs alternatifs (referrals) avant l'abandon de la requ<71>te
LDAP.</p>
<div class="warning">
<p>L'ajustement de ce param<61>tre n'est pas commun <20> tous les SDKs LDAP.</p>
</div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapreferrals" id="ldapreferrals">Directive</a> <a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au
cours des requ<71>tes vers le serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off|default</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPReferrals On</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r<>pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
<tr><th><a href="directive-dict.html#Compatibility">Compatibilit<69>:</a></th><td>Le param<61>tre <var>default</var> est disponible depuis la
version 2.4.7 du serveur HTTP Apache.</td></tr>
</table>
<p>Certains serveurs LDAP partagent leur annuaire en plusieurs
domaines et utilisent le syst<73>me des redirections (referrals) pour
aiguiller un client lorsque les limites d'un domaine doivent <20>tre
franchies. Ce processus est similaire <20> une redirection HTTP. Les
biblioth<74>ques client LDAP ne respectent pas forc<72>ment ces
redirections par d<>faut. Cette directive permet de configurer
explicitement les redirections LDAP dans le SDK sous-jacent.</p>
<p>La directive <code class="directive">LDAPReferrals</code> accepte les
valeurs suivantes :</p>
<dl>
<dt>"on"</dt>
<dd> <p>Avec la valeur "on", la prise en compte des redirections
LDAP par le SDK sous-jacent est activ<69>e, la directive
<code class="directive">LDAPReferralHopLimit</code> permet de surcharger la
"hop limit" du SDK, et un "LDAP rebind callback" est enregistr<74>.</p></dd>
<dt>"off"</dt>
<dd> <p>Avec la valeur "off", la prise en compte des redirections
LDAP par le SDK sous-jacent est compl<70>tement d<>sactiv<69>e.</p></dd>
<dt>"default"</dt>
<dd> <p>Avec la valeur "default", la prise en compte des redirections
LDAP par le SDK sous-jacent n'est pas modifi<66>e, la directive
<code class="directive">LDAPReferralHopLimit</code> ne permet pas de surcharger la
"hop limit" du SDK, et aucun "LDAP rebind callback" n'est enregistr<74>.</p></dd>
</dl>
<p>La directive <code class="directive">LDAPReferralHopLimit</code> travaille en
conjonction avec cette directive pour limiter le nombre de
redirections <20> suivre pour achever le traitement de la requ<71>te LDAP.
Lorsque le processus de redirection est activ<69> par la valeur "On",
les donn<6E>es d'authentification du client sont transmises via un
"rebind callback" <20> tout serveur LDAP qui en fait la demande.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapretries" id="ldapretries">Directive</a> <a name="LDAPRetries" id="LDAPRetries">LDAPRetries</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>finit le nombre maximum de tentatives de connexions au
serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetries <var>nombre d'essais</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPRetries 3</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Suite <20> des <20>checs de connexion au serveur LDAP, le serveur
tentera de se connecter autant de fois qu'indiqu<71> par la directive
<code class="directive">LDAPRetries</code>. Si cette directive est d<>finie <20>
0, le serveur ne tentera pas d'autre connexion apr<70>s un <20>chec.</p>
<p>Il est possible d'effectuer une autre tentative de connexion en
cas d'erreurs LDAP du type d<>lai d<>pass<73> ou connexion refus<75>e. </p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapretrydelay" id="ldapretrydelay">Directive</a> <a name="LDAPRetryDelay" id="LDAPRetryDelay">LDAPRetryDelay</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>finit le temps d'attente avant un autre essai de connexion au
serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetryDelay <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPRetryDelay 0</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Si la directive <code class="directive">LDAPRetryDelay</code> est d<>finie
<20> une valeur diff<66>rente de 0, le serveur attendra pendant la dur<75>e
sp<73>cifi<66>e pour envoyer <20> nouveau sa requ<71>te LDAP. Une valeur de 0
implique une absence de d<>lai pour les essais successifs.</p>
<p>Il est possible d'effectuer une autre tentative de connexion en
cas d'erreurs LDAP du type d<>lai d<>pass<73> ou connexion refus<75>e. </p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a> <a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>finit le fichier du cache en m<>moire
partag<EFBFBD>e</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin-fichier</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le chemin du
fichier du cache en m<>moire partag<61>e. Si elle n'est pas d<>finie, la
m<>moire partag<61>e anonyme sera utilis<69>e si la plate-forme la
supporte.</p>
<p>Si <var>chemin-fichier</var> n'est pas un chemin absolu, il sera
relatif au r<>pertoire d<>fini via la directive <code class="directive"><a href="../mod/core.html#defaultruntimedir">DefaultRuntimeDir</a></code>.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a> <a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en m<>moire partag<61>e</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPSharedCacheSize 500000</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le nombre d'octets <20> allouer
pour le cache en m<>moire partag<61>e. La valeur par
d<>faut est 500kb.
Si elle est d<>finie <20> 0, le cache en m<>moire partag<61>e ne sera pas
utilis<69> et chaque processus HTTPD va cr<63>er son propre cache.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldaptimeout" id="ldaptimeout">Directive</a> <a name="LDAPTimeout" id="LDAPTimeout">LDAPTimeout</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Sp<53>cifie le d<>lai d'attente pour les op<6F>rations de
recherche et d'identification LDAP en secondes</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTimeout <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPTimeout 60</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
<tr><th><a href="directive-dict.html#Compatibility">Compatibilit<69>:</a></th><td>Disponible <20> partir de la version 2.3.5 du serveur HTTP
Apache</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le d<>lai d'attente pour les
op<6F>rations de recherche et d'identification, ainsi que l'option
LDAP_OPT_TIMEOUT dans la biblioth<74>que LDAP client sous-jacente,
lorsqu'elle est disponible.</p>
<p>Lorsque le d<>lai est atteint, httpd va refaire un essai dans le
cas o<> une connexion existante a <20>t<EFBFBD> silencieusement ferm<72>e par un
pare-feu. Les performances seront cependant bien meilleures si le
pare-feu est configur<75> pour envoyer des paquets TCP RST au lieu de
rejeter silencieusement les paquets.</p>
<div class="note">
<p>Les d<>lais pour les op<6F>rations de comparaison LDAP n<>cessitent un
SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP &gt;= 2.4.4.</p>
</div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a> <a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>finit le nom de fichier contenant un certificat client ou
un alias renvoyant vers un certificat client sp<73>cifique <20> une connexion.
Tous les SDK LDAP ne supportent pas les certificats clients par
connexion.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var>
<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r<>pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le chemin et le nom de
fichier ou l'alias d'un certificat client par connexion utilis<69> lors
de l'<27>tablissement d'une connexion SSL ou TLS avec un serveur LDAP.
Les sections directory ou location peuvent poss<73>der leurs propres
configurations de certificats clients. Certains SDK LDAP (en
particulier Novell) ne supportent pas les certificats clients par
connexion, et renvoient une erreur lors de la connexion au serveur
LDAP si vous tenter d'utiliser cette directive (Utilisez <20> la place
la directive LDAPTrustedGlobalCert pour les certificats clients sous
Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
de d<>tails). Le param<61>tre type sp<73>cifie le type du certificat en
cours de d<>finition, en fonction du SDK LDAP utilis<69>. Les types
support<72>s sont :</p>
<ul>
<li>CA_DER - certificat de CA cod<6F> en binaire DER</li>
<li>CA_BASE64 - certificat de CA cod<6F> en PEM</li>
<li>CERT_DER - certificat client cod<6F> en binaire DER</li>
<li>CERT_BASE64 - certificat client cod<6F> en PEM</li>
<li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
<li>KEY_DER - cl<63> priv<69>e cod<6F>e en binaire DER</li>
<li>KEY_BASE64 - cl<63> priv<69>e cod<6F>e en PEM</li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a> <a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D<>finit le nom de fichier ou la base de donn<6E>es contenant
les Autorit<69>s de Certification de confiance globales ou les certificats
clients globaux</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var>
<var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier le chemin et le nom du
fichier contenant les certificats des CA de confiance et/ou les
certificats clients du syst<73>me global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>
utilisera pour <20>tablir une connexion SSL ou TLS avec un serveur
LDAP. Notez que toute information relative aux certificats sp<73>cifi<66>e
en utilisant cette directive s'applique globalement <20> l'ensemble de
l'installation du serveur. Certains SDK LDAP (en particulier Novell)
n<>cessitent la d<>finition globale de tous les certificats clients en
utilisant cette directive. La plupart des autres SDK n<>cessitent la
d<>finition des certificats clients dans une section Directory ou
Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
d<>finissez pas ces directives correctement, une erreur sera g<>n<EFBFBD>r<EFBFBD>e
lors des tentatives de contact avec un serveur LDAP, ou la connexion
<20>chouera silencieusement (Voir plus haut le guide des certificats
SSL/TLS pour plus de d<>tails). Le param<61>tre type sp<73>cifie le type de
certificat en cours de d<>finition, en fonction du SDK LDAP utilis<69>.
Les types support<72>s sont :</p>
<ul>
<li>CA_DER - certificat de CA cod<6F> en binaire DER</li>
<li>CA_BASE64 - certificat de CA cod<6F> en PEM</li>
<li>CA_CERT7_DB - fichier de base de donn<6E>es des certificats de CA
de Netscape cert7.db</li>
<li>CA_SECMOD - fichier de base de donn<6E>es secmod de Netscape</li>
<li>CERT_DER - certificat client cod<6F> en binaire DER</li>
<li>CERT_BASE64 - certificat client cod<6F> en PEM</li>
<li>CERT_KEY3_DB - fichier de base de donn<6E>es des certificats
clients de Netscape key3.db</li>
<li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
<li>CERT_PFX - certificat client cod<6F> en PKCS#12 (SDK Novell)</li>
<li>KEY_DER - cl<63> priv<69>e cod<6F>e en binaire DER</li>
<li>KEY_BASE64 - cl<63> priv<69>e cod<6F>e en PEM</li>
<li>KEY_PFX - cl<63> priv<69>e cod<6F>e en PKCS#12 (SDK Novell)</li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a> <a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Sp<53>cifie le mode (SSL ou TLS) <20> utiliser lors de la
connexion <20> un serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Les modes suivants sont support<72>s :</p>
<ul>
<li>NONE - aucun chiffrement</li>
<li>SSL - chiffrement ldaps:// sur le port par d<>faut 636</li>
<li>TLS - chiffrement STARTTLS sur le port par d<>faut 389</li>
</ul>
<p>Les modes ci-dessus ne sont pas support<72>s par tous les SDK LDAP.
Un message d'erreur sera g<>n<EFBFBD>r<EFBFBD> <20> l'ex<65>cution si un mode n'est pas
support<72>, et la connexion au serveur LDAP <20>chouera.
</p>
<p>Si une URL de type ldaps:// est sp<73>cifi<66>e, le mode est forc<72> <20>
SSL et la d<>finition de LDAPTrustedMode est ignor<6F>e.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a> <a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la v<>rification du certificat du
serveur</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
<p>Cette directive permet de sp<73>cifier s'il faut forcer la
v<>rification d'un certificat de serveur lors de l'<27>tablissement
d'une connexion SSL avec un serveur LDAP.</p>
</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ldap.html" title="Fran<61>ais">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/mod/mod_ldap.html';
(function(w, d) {
if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
d.write('<div id="comments_thread"><\/div>');
var s = d.createElement('script');
s.type = 'text/javascript';
s.async = true;
s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
(d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
}
else {
d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
}
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2016 The Apache Software Foundation.<br />Autoris<69> sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
prettyPrint();
}
//--><!]]></script>
</body></html>
View Git Blame Copy Permalink