使用此页面配置当用户和组驻留在外部 LDAP 目录中时使用的高级轻量级目录访问协议(LDAP)用户注册表设置。
要查看此管理页面,单击安全性 > 用户注册表 > LDAP 高级 LDAP 设置。
所有与用户和组相关的过滤器的缺省值已在相应的字段中完成。可以根据您的要求更改这些值。这些缺省值基于在 LDAP 设置面板中所选的 LDAP 服务器的类型。如果此类型更改(例如从 Netscape 改为 Secureway),则缺省过滤器就会自动更改。当缺省过滤器值更改时,LDAP 服务器类型更改为定制以表明使用定制过滤器。当启用了安全性并且更改任何这些属性时,转至全局安全性面板并单击应用或确定以确认更改。
“配置”选项卡
此选项通常用于“用户安全性角色”的指派。它指定按照哪个属性在目录服务中查找用户。例如,要根据用户的用户标识查找用户,则指定 (&(uid=%v)(objectclass=inetOrgPerson))。要获得关于该语法的更多信息,请参阅 LDAP 目录服务文档。
| 数据类型: | 字符串 |
此选项通常用于“组安全性角色”的指派。它指定按照哪个属性在目录服务中查找组。要获得关于该语法的更多信息,请参阅 LDAP 目录服务文档。
| 数据类型: | 字符串 |
指定用户出现时代表用户的一条信息。例如,要按用户的标识显示类型为 object class = inetOrgPerson 的条目,则指定 inetOrgPerson:uid。此字段用分号(;)来分隔多个 objectclass:property 对。
| 数据类型: | 字符串 |
指定组出现时代表组的一条信息。例如,要按组名显示组,指定 *:cn。在这种情况下,星号(*)是搜索任何对象类的通配符。此字段用分号(;)分隔多个 objectclass:property 对。
| 数据类型: | 字符串 |
对于目录类型 SecureWay、Netscape 和 Domino,此字段用分号(;)来分隔多个 objectclass:property 对。在 objectclass:property 对中,objectclass 值与组过滤器中定义的 objectclass 相同,而 property 是成员属性。如果 objectclass 值不匹配组过滤器中的 objectclass,则组映射到安全性角色时授权就可能会失败。要获得有关此语法的更多信息,请参阅 LDAP 目录服务文档。
对于 IBM Directory Server、iPlanet Directory Server 和 Active Directory,此字段用分号(;)来分隔多个(group attribute:member attribute)对。它们用于查找用户的组成员资格,这是通过枚举给定用户处理的所有组属性而实现的。例如,Active Directory 使用属性对 (memberof:member),IBM Directory Server 使用属性对 (ibm-allGroup:member)。此字段也指定了对象类的哪个属性存储属于由此对象类代表的组的成员列表。要获取受支持的 LDAP 目录服务器的信息,请参阅“受支持的目录服务”。
| 数据类型: | 字符串 |
| 数据类型: | 字符串 |
要启用此字段,为证书映射单击 CERTIFICATE_FILTER。如果运行时多个 LDAP 条目与过滤器规范匹配,则认证失败,因为它导致模糊匹配。 此过滤器的语法或结构是:LDAP attribute=${Client certificate attribute}(例如,uid=${SubjectCN})。过滤器规范的左侧是 LDAP 属性,它取决于 LDAP 服务器配置要使用的模式。过滤器规范的右侧是客户机证书中的某个公共属性。右侧必须以美元符号($)和左大括号({)开始,并以右大括号(})结束。您可使用下列在过滤器规范的右侧使用的证书属性值。字符串的大小写是很重要的:
| 数据类型: | 字符串 |