第 21 章 LDAP 認證屬性

LDAP 認證屬性為組織屬性。在服務配置下套用於這些屬性的值會成為 LDAP 認證範本的預設值。組織註冊服務後，需要建立服務範本。註冊之後組織的管理員可以變更預設值。組織屬性不會由組織中的項目繼承。LDAP 認證屬性包括：

主 LDAP 伺服器與連接埠

此欄位指定在安裝 Identity Server 期間指定的主 LDAP 伺服器之主機名稱與連接埠號。這是 LDAP 認證所聯絡的首選伺服器。格式為 hostname:port。(如果沒有連接埠號，則假定為 389。)

如果您使用多重網域部署 Identity Server，則可按以下格式 (多重項目必須以本機伺服器名稱為字首) 指定 Identity Server 和 Directory Server 之間特定實例的通訊連結：

例如，若要將兩個 Identity Server 部署在與不同的 Identity Server 實例 (L1-machine1-DS 和 L2-machine2-DS) 通訊的不同位置 (L1-machine1-IS 和 L2- machine2-IS) 中，則如下所示：

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

次 LDAP 伺服器與連接埠

此欄位指定 Identity Server 平台上可用的次 LDAP 伺服器之主機名稱與連接埠號。如果主 LDAP 伺服器未對認證請求進行回應，則會聯絡此次伺服器。如果主伺服器開啟，則 Identity Server 將切換回此主伺服器。格式也為 hostname:port。多重項目必須以本機伺服器名稱作為字首。



警告	認證位於 Identity Server 企業遠端的 Directory Server 使用者時，請務必使主/次 LDAP 伺服器連接埠均有值。兩個欄位可以使用一個 Directory Server 位置的值。

開始使用者搜尋的 DN

此欄位指定使用者搜尋起始處的節點 DN。(出於效能原因，此 DN 應該儘可能明確。)預設值是目錄樹的根。將識別任何有效 DN。多重項目必須以本機伺服器名稱作為字首。格式如下：

超級使用者連結 DN

此欄位指定使用者的 DN，該使用者將用來作為管理員連結至 [主 LDAP 伺服器與連接埠] 欄位中指定的 Directory Server。認證服務需要以此 DN 連結，以便基於使用者登入 ID 搜尋相符的使用者 DN。預設值為 amldapuser。將識別任何有效 DN。

登出前請確保密碼正確，因為如果密碼不正確，您將被鎖定。如果您被鎖定，可使用 AMConfig.Properties 檔案之 com.iplanet.authentication.super.user 屬性中的超級使用者 DN 登入。雖然您可以使用完整的 DN，但依預設這才是您通常用來登入的 amAdmin 帳戶。例如：

超級使用者連結密碼

此欄位中為在 [超級使用者連結 DN] 欄位中指定的管理員設定檔的密碼。此欄位沒有預設值。僅會識別管理員的有效 LDAP 密碼。

超級使用者連結密碼 (確認)

使用者命名屬性

使用者成功認證後，其設定檔會被擷取。此屬性的值用於執行搜尋。此欄位指定要使用的 [LDAP] 屬性。依預設，Identity Server 會假定使用者項目是由 uid 屬性識別的。如果 Directory Server 使用的是其他屬性 (例如 givenname)，請在此欄位中指定屬性名稱。



註	使用者搜尋過濾將是 [搜尋過濾] 屬性與 [使用者項目命名] 屬性的組合。

使用者項目搜尋屬性

此欄位列出了用於為要認證的使用者形成搜尋過濾的屬性，並且允許使用者使用使用者的項目中多個屬性進行認證。例如，如果此欄位設定為 uid、employeenumber 和 mail，則使用者可以使用其中任一名稱進行認證。

使用者搜尋過濾

此欄位指定一個屬性，用於在 [開始使用者搜尋的 DN] 欄位下尋找使用者。它與 [使用者項目命名] 屬性配合使用。此欄位沒有預設值。將會辨識任何有效的使用者項目屬性。

搜尋範圍

此功能表指示 Directory Server 中將於其中搜尋相符使用者設定檔的層級數。搜尋從開始使用者搜尋的 DN 屬性中指定的節點開始。預設值為 SUBTREE。可以從清單中選取以下其中一個選項：

OBJECT - 僅搜尋指定的節點

ONELEVEL - 搜尋指定節點的層級以及下一個層級

SUBTREE - 搜尋指定的節點及以下的所有項目



警告	即使子組織的狀態處於非作用中，子組織的使用者也可登入。為了避免這種情況，請確保將 [搜尋範圍] 和 [基準 DN] 設定為此使用者所屬的特定組織。

對 LDAP 伺服器啟用 SSL

此選項對在 [主/次 LDAP 伺服器與連接埠] 欄位中指定的 Directory Server 啟用 SSL 存取。依預設，不啟用 SSL 存取，且不使用 SSL 協定存取 Directory Server。但是，如果啟用了此屬性，則可以連結至非 SSL 伺服器。

將使用者 DN 傳回認證

Identity Server 目錄與為 LDAP 配置的目錄相同時，則可能啟用了此選項。如果啟用了此選項，則允許 LDAP 認證模組傳回 DN，而不是 userId，並且不必進行任何搜尋。通常，認證模組僅傳回 userId，並且認證服務會搜尋本機 Identity Server LDAP 中的使用者。如果使用外部 LDAP 目錄，則通常不啟用此選項。

LDAP 伺服器檢查間隔時間

此屬性用於 LDAP 伺服器故障修復。它定義驗證該 LDAP 主伺服器正在執行前，執行緒將「休息」的秒數。

使用者建立屬性清單

此屬性在 LDAP 伺服器被配置為外部 LDAP 伺服器時，由 LDAP 認證模組使用。它包含本機 Directory Server 和外部 Directory Server 之間的屬性對映。此屬性具有以下格式：

植入此屬性後，會從外部 Directory Server 讀取外部屬性的值，並將之設定為內部 Directory Server 屬性。僅當 [使用者設定檔] 屬性 (在核心認證模組中) 設定為「動態建立」，並且本機 Directory Server 實例中不存在使用者時，才在內部屬性中設定外部屬性的值。新建立的使用者將包含內部屬性的值 (如使用者建立屬性清單中所指定) 及它們對映的外部屬性的值。

認證層級

會分別為各種認證方法設定認證層級。此值指示信任認證的程度。使用者進行認證後，此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時，應用程式會使用此儲存值以決定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求，應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。預設值為 0。



註	如果未指定任何認證層級，SSO 記號會將 [核心認證] 屬性中指定的值儲存為預設認證層級。請參閱預設認證層級，以取得詳細資訊。