ldap 範圍使用 LDAP 伺服器資訊執行認證。使用者資訊包括使用者名稱、密碼和使用者所屬的群組。若要使用 LDAP 範圍,必須已在 LDAP 目錄中定義了使用者和群組。
若要建立 LDAP 範圍,請依循建立範圍中的步驟增加新範圍,然後增加下表中所示的特性。
表 9–2 ldap 範圍的必需特性
特性名稱 |
說明 |
值 |
---|---|---|
directory |
目錄伺服器的 LDAP URL。 |
LDAP URL 的格式為:ldap://hostname:port,例如 ldap://myldap.foo.com:389。 |
base-dn |
使用者資料位置的基底辨別名稱 (DN),由於將執行樹範圍的搜尋,因此該使用者資料的位置可以是高於使用者資料的任何層級。搜尋樹越小,效能越好。 |
搜尋的網域,例如:dc=siliconvalley, dc=BayArea, dc=sun, dc=com。 |
jaas-context |
要用於此範圍的登入模組類型。 |
必須為 ldapRealm。 |
下表列出了 ldap 範圍的選擇性特性。
表 9–3 ldap 範圍的選擇性特性
特性名稱 |
說明 |
預設 |
---|---|---|
search-filter |
用於尋找使用者的搜尋篩選器。 |
uid=%s (%s 擴展為主旨名稱)。 |
group-base-dn |
群組資料位置的基底 DN。 |
與 base-dn 相同,但必要時可以進行調校。 |
group-search-filter |
用於尋找使用者的群組成員關係的搜尋篩選器。 |
uniquemember=%d (%d 擴展為使用者元素 DN)。 |
group-target |
包含群組名稱項目的 LDAP 屬性名稱。 |
CN |
search-bind-dn |
用於向目錄認證以執行 search-filter 查找的選擇性 DN。只有不允許進行匿名搜尋的目錄才需要。 | |
search-bind-password |
search-bind-dn 中所指定之 DN 的 LDAP 密碼。 |
例如,假定在 LDAP 目錄中定義了一個 LDAP 使用者 Joe Java,如下所示:
uid=jjava,ou=People,dc=acme,dc=com uid=jjava givenName=joe objectClass=top objectClass=person objectClass=organizationalPerson objectClass=inetorgperson sn=java cn=Joe Java
使用範例程式碼,在建立或編輯 ldap 範圍時,您可以輸入下表中所示的值。
表 9–4 ldap 範圍值範例
特性名稱 |
特性值 |
---|---|
directory |
伺服器的 LDAP URL,例如:ldap://ldap.acme.com:389 |
base-dn |
ou=People,dc=acme,dc=com. 可以向更高層次進行搜尋 (例如 dc=acme、dc=com),但搜尋將遍歷樹狀結構的更大部分,從而導致效能降低。 |
jaas-context |
ldapRealm |