Erweiterte LDAP-Einstellungen (Lightweight Directory Access Protocol)

Auf dieser Seite können Sie Einstellungen für die LDAP-Benutzer-Registry konfigurieren, wenn sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Benutzer-Registrys > LDAP > Erweiterte LDAP-Einstellungen.

In den entsprechenden Feldern sind bereits Standardwerte für alle Benutzer- und Gruppenfilter eingetragen. Sie können diese Werte wie gewünscht anpassen. Diese Standardwerte basieren auf dem Typ des LDAP-Servers, der in der Anzeige LDAP-Einstellungen ausgewählt wurde.Wird dieser Typ geändert (z. B. von Netscape in Secureway), werden die Standardfilter automatisch geändert. Wenn die Standardfilterwerte geändert werden, wird der Typ des LDAP-Servers in Benutzerdefiniert geändert. Dadurch wird angezeigt, dass benutzerdefinierte Filter verwendet werden.Wenn bei aktivierter Sicherheitseinrichtung eines dieser Merkmale geändert wird, müssen Sie in die Anzeige Globale Sicherheit wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.

Register "Konfiguration"

Benutzerfilter
Gibt den LDAP-Benutzerfilter an, der die Registry nach Benutzern durchsucht.

Diese Option wird normalerweise für die Zuordnung von Sicherheitsaufgabenbereichen zu Benutzern verwendet. Sie legt das Merkmal fest, nach dem Benutzer auf dem Verzeichnisserver gesucht werden. Wenn Sie beispielsweise Benutzer nach ihren Benutzer-IDs suchen möchten, geben Sie (&(uid=%v)(objectclass=inetOrgPerson)) an. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Datentyp String
Gruppenfilter
Gibt den LDAP-Gruppenfilter an, der die Benutzer-Registry nach Gruppen durchsucht.

Diese Option wird normalerweise für die Zuordnung von Sicherheitsaufgabenbereichen zu Gruppen verwendet. Er legt das Merkmal fest, nach dem Gruppen im Verzeichnisserver gesucht werden. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Datentyp String
Zuordnung von Benutzer-IDs
Gibt den LDAP-Filter an, der den Kurznamen eines Benutzers einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Benutzern angezeigt werden soll. Wenn beispielsweise Einträge des Typs objectclass = inetOrgPerson nach ihren IDs angezeigt werden sollen, müssen Sie inetOrgPerson:uid angeben.In diesem Feld können mehrere Paare aus Objektklassen und Merkmalen (objectclass:property), jeweils durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Datentyp String
Zuordnung von Gruppen-IDs
Gibt den LDAP-Filter an, der den Kurznamen einer Gruppe einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Gruppen angezeigt werden soll. Geben Sie z. B. *:cn an, um Gruppen nach ihren Namen anzuzeigen.Das Zeichen * ist ein Platzhalterzeichen, mit dem nach allen Objektklassen in dieser Schreibweise gesucht wird.In diesem Feld können mehrere Paare aus Objektklassen und Merkmalen objectclass:property, jeweils durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Datentyp String
Zuordnung von Gruppen-Member-IDs
Gibt den LDAP-Filter an, der Beziehungen von Benutzern zu Gruppen definiert.

Für Verzeichnisserverprodukte wie SecureWay, Netscape und Domino können in diesem Felde mehrere Paare vom Typ "Objektklasse:Merkmal" angegeben werden. Die Angaben müssen durch ein Semikolon voneinander getrennt werden. Im objectclass:property-Paar ist die Objektklasse (objectclass) dieselbe Objektklasse, die im Gruppenfilter definiert ist, und das Merkmal (property) gibt das Member-Attribut an. Stimmt die Objektklasse nicht mit der Objektklasse im Gruppenfilter überein, kann die Berechtigung fehlschlagen, wenn Gruppen Sicherheitsaufgabenbereichen zugeordnet sind. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zum LDAP-Verzeichnisservice.

Für IBM Directory Server, iPlanet Directory Server und Active Directory können Sie in diesem Feld mehrere Gruppenattribut:Member-Attribut-Paare angeben, die Sie durch ein Semikolon (;) trennen müssen. Diese Wertpaare werden verwendet, um die Gruppenzugehörigkeit eines Benutzers zu ermitteln. Dazu werden alle Gruppenattribute eines bestimmten Benutzers aufgezählt. Beispielsweise wird das Attributpaar (memberof:member) von Active Directory und das Attributpaar (ibm-allGroup:member) von IBM Directory Server verwendet.Dieses Feld gibt auch an, unter welchem Merkmal einer Objektklasse sich die Liste von Membern der Gruppe befindet, die durch die Objektklasse angegeben wird. Eine Liste der unterstützten LDAP-Verzeichnisserver finden Sie im Abschnitt "Unterstützte Verzeichnisservices".

Datentyp String
Modus für Zertifikatzuordnung
Gibt an, ob X.509-Zertifikate mit EXACT_DN oder CERTIFICATE_FILTER dem LDAP-Verzeichnis zugeordnet werden sollen. Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatfilter für die Zuordnung zu verwenden.
Datentyp String
Zertifikatfilter
Wenn Sie das Filtermerkmal "Zertifikatzuordnung" verwendet haben, um den LDAP-Filter anzugeben, mit dem Attribute im Clientzertifikat Einträgen im LDAP-Registry zugeordnet werden.

Wählen Sie zum Aktivieren dieses Felds CERTIFICATE_FILTER für die Zertifikatzuordnung aus.Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Die Syntaxstruktur für diesen Filter sieht wie folgt aus: LDAP-Attribut=${Clientzertifikatattribut} (z. B. uid=${Subjekt-CN}).Die linke Seite der Filterspezifikation ist ein LDAP-Attribut, das von dem Schema abhängig ist, für das Ihr LDAP-Server konfiguriert ist. Die rechte Seite der Filterspezifikation ist eines der allgemeinen Attribute im Clientzertifikat. Die rechte Seite muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ({) beginnen und mit einer rechten geschweiften Klammer (}) enden. Die folgenden Zertifikatattributwerte können auf der rechten Seite der Filterspezifikation verwendet werden. Die Groß-/Kleinschreibung der Zeichenfolgen muss beachtet werden:

  • ${UniqueKey}
  • ${PublicKey}
  • ${PublicKey}
  • ${Issuer}
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectCN}
  • ${Version}

Datentyp String

Zugehörige Informationen

Knöpfe in der Administrationskonsole
Features der Administrationskonsolseiten
Bereichseinstellungen für die Administrationskonsole
Filtereinstellungen für die Administrationskonsole
Einstellungen für Vorgaben in der Administrationskonsole
LDAP-Einstellungen