1 <?xml version="1.0" encoding="ISO-8859-1"?>
2 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
3 <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
4 <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7 This file is generated from xml source: DO NOT EDIT
8 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
10 <title>mod_ldap - Serveur Apache HTTP Version 2.4</title>
11 <link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
12 <link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
13 <link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
14 <script src="../style/scripts/prettify.min.js" type="text/javascript">
17 <link href="../images/favicon.ico" rel="shortcut icon" /></head>
19 <div id="page-header">
20 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
21 <p class="apache">Serveur Apache HTTP Version 2.4</p>
22 <img alt="" src="../images/feather.png" /></div>
23 <div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
25 <a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.4</a> > <a href="./">Modules</a></div>
26 <div id="page-content">
27 <div id="preamble"><h1>Module Apache mod_ldap</h1>
29 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
30 <a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
32 <table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en
33 cache du résultat à destination des autres modules LDAP</td></tr>
34 <tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
35 <tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ldap_module</td></tr>
36 <tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>util_ldap.c</td></tr></table>
39 <p>Ce module a été conçu dans le but d'améliorer les performances
40 des sites web s'appuyant sur des connexions en arrière-plan vers des
41 serveurs LDAP. Il ajoute aux fonctions fournies par les
42 bibliothèques standards LDAP la conservation des connexions LDAP
43 ainsi qu'un cache LDAP partagé en mémoire.</p>
45 <p>Pour activer ce module, le support LDAP doit être compilé dans
46 apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
47 au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit
50 <p>Le support SSL/TLS est conditionné par le kit de développement
51 LDAP qui a été lié à <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment où ces
52 lignes sont écrites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
53 supérieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
54 SDK</a>, <a href="https://wiki.mozilla.org/LDAP_C_SDK">
55 Mozilla LDAP SDK</a>, le SDK LDAP Solaris natif (basé sur Mozilla)
56 ou le SDK LDAP Microsoft natif. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de détails.</p>
59 <div id="quickview"><h3>Sujets</h3>
61 <li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li>
62 <li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li>
63 <li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li>
64 <li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li>
65 <li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li>
66 </ul><h3 class="directives">Directives</h3>
68 <li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li>
69 <li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li>
70 <li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectionpoolttl">LDAPConnectionPoolTTL</a></li>
71 <li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li>
72 <li><img alt="" src="../images/down.gif" /> <a href="#ldaplibrarydebug">LDAPLibraryDebug</a></li>
73 <li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li>
74 <li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li>
75 <li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li>
76 <li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li>
77 <li><img alt="" src="../images/down.gif" /> <a href="#ldapretries">LDAPRetries</a></li>
78 <li><img alt="" src="../images/down.gif" /> <a href="#ldapretrydelay">LDAPRetryDelay</a></li>
79 <li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li>
80 <li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li>
81 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptimeout">LDAPTimeout</a></li>
82 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li>
83 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li>
84 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li>
85 <li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li>
87 <h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&list_id=144532&product=Apache%20httpd-2&query_format=specific&order=changeddate%20DESC%2Cpriority%2Cbug_severity&component=mod_ldap">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&component=mod_ldap">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
89 <li><a href="#comments_section">Commentaires</a></li></ul></div>
90 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
92 <h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2>
93 <p>Ce qui suit est un exemple de configuration qui utilise
94 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour améliorer les performances de
95 l'authentification HTTP de base fournie par
96 <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p>
98 <pre class="prettyprint lang-config"># Active la conservation des connexions LDAP et le cache partagé en
99 # mémoire. Active le gestionnaire de statut du cache LDAP.
100 # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.
101 # Remplacez "votre-domaine.example.com" par le nom de votre
104 LDAPSharedCacheSize 500000
105 LDAPCacheEntries 1024
107 LDAPOpCacheEntries 1024
110 <Location "/ldap-status">
111 SetHandler ldap-status
113 Require host yourdomain.example.com
117 AuthName "LDAP Protected"
118 AuthBasicProvider ldap
119 AuthLDAPURL "ldap://127.0.0.1/dc=example,dc=com?uid?one"
121 </Location></pre>
123 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
124 <div class="section">
125 <h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2>
127 <p>Les connexions LDAP sont conservées de requête en requête. Ceci
128 permet de rester connecté et identifié au serveur LDAP, ce dernier
129 étant ainsi prêt pour la prochaine requête, sans avoir à se
130 déconnecter, reconnecter et réidentifier. Le gain en performances
131 est similaire à celui des connexions persistantes (keepalives)
134 <p>Sur un serveur très sollicité, il est possible que de nombreuses
135 requêtes tentent d'accéder simultanément à la même connexion au
136 serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
137 une deuxième en parallèle à la première, ce qui permet d'éviter que
138 le système de conservation des connexions ne devienne un goulot
141 <p>Il n'est pas nécessaire d'activer explicitement la conservation
142 des connexions dans la configuration d'Apache. Tout module utilisant
143 le module ldap pour accéder aux services LDAP partagera le jeu de
146 <p>Les connexions LDAP peuvent garder la trace des données
147 d'identification du client ldap utilisées pour l'identification
148 auprès du serveur LDAP. Ces données peuvent être fournies aux
149 serveurs LDAP qui ne permettent pas les connexions anonymes au cours
150 lors des tentatives de sauts vers des serveurs alternatifs. Pour
151 contrôler cette fonctionnalité, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette
152 fonctionnalité est activée par défaut.</p>
153 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
154 <div class="section">
155 <h2><a name="cache" id="cache">Cache LDAP</a></h2>
157 <p>Pour améliorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en
158 oeuvre une stratégie de mise en cache agressive visant à minimiser
159 le nombre de fois que le serveur LDAP doit être contacté. La mise en
160 cache peut facilement doubler et même tripler le débit d'Apache
161 lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
162 serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
164 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache
165 LDAP : un <em>cache recherche/identification</em> durant la phase
166 de recherche/identification et deux <em>caches d'opérations</em>
167 durant la phase de comparaison. Chaque URL LDAP utilisée par le
168 serveur a son propre jeu d'instances dans ces trois caches.</p>
170 <h3><a name="search-bind" id="search-bind">Le cache
171 recherche/identification</a></h3>
172 <p>Les processus de recherche et d'identification sont les
173 opérations LDAP les plus consommatrices en temps, en particulier
174 si l'annuaire est de grande taille. Le cache de
175 recherche/identification met en cache toutes les recherches qui
176 ont abouti à une identification positive. Les résultats négatifs
177 (c'est à dire les recherches sans succès, ou les recherches qui
178 n'ont pas abouti à une identification positive) ne sont pas mis en
179 cache. La raison de cette décision réside dans le fait que les
180 connexions avec des données d'identification invalides ne
181 représentent qu'un faible pourcentage du nombre total de
182 connexions, et ainsi, le fait de ne pas mettre en cache les
183 données d'identification invalides réduira d'autant la taille du
186 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le
187 DN extrait, le mot de passe utilisé pour l'identification, ainsi
188 que l'heure de l'identification. Chaque fois qu'une nouvelle
189 connexion est initialisée avec le même nom d'utilisateur,
190 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle
191 connexion avec le mot de passe enregistré dans le cache. Si les
192 mots de passe correspondent, et si l'entrée du cache n'est pas
193 trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase
194 de recherche/identification.</p>
196 <p>Le cache de recherche/identification est contrôlé par les
197 directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p>
200 <h3><a name="opcaches" id="opcaches">Les caches d'opérations</a></h3>
201 <p>Au cours des opérations de comparaison d'attributs et de noms
202 distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches
203 d'opérations pour mettre en cache les opérations de comparaison.
204 Le premier cache de comparaison sert à mettre en cache les
205 résultats de comparaisons effectuées pour vérifier l'appartenance
206 à un groupe LDAP. Le second cache de comparaison sert à mettre en
207 cache les résultats de comparaisons entre DNs.</p>
209 <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
210 toute comparaison de sous-groupes est mise en cache afin
211 d'accélérer les comparaisons de sous-groupes ultérieures.</p>
213 <p>Le comportement de ces deux caches est contrôlé par les
214 directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p>
217 <h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3>
218 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> possède un gestionnaire de contenu
219 qui permet aux administrateurs de superviser les performances du
220 cache. Le nom du gestionnaire de contenu est
221 <code>ldap-status</code>, et on peut utiliser les directives
222 suivantes pour accéder aux informations du cache de
223 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p>
225 <pre class="prettyprint lang-config"><Location "/server/cache-info">
226 SetHandler ldap-status
227 </Location></pre>
230 <p>En se connectant à l'URL
231 <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
232 obtenir un rapport sur le statut de chaque cache qu'utilise
233 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la
234 mémoire partagée, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code>
235 possèdera son propre cache, et chaque fois que l'URL sera
236 rechargée, un résultat différent pourra être affiché, en fonction
237 de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la
240 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
241 <div class="section">
242 <h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2>
244 <p>La possibilité de créer des connexions SSL et TLS avec un serveur
245 LDAP est définie par les directives <code class="directive"><a href="#ldaptrustedglobalcert">
246 LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="#ldaptrustedclientcert">
247 LDAPTrustedClientCert</a></code> et <code class="directive"><a href="#ldaptrustedmode">
248 LDAPTrustedMode</a></code>. Ces directives permettent de spécifier
249 l'autorité de certification (CA), les certificats clients éventuels,
250 ainsi que le type de chiffrement à utiliser pour la connexion (none,
251 SSL ou TLS/STARTTLS).</p>
253 <pre class="prettyprint lang-config"># Etablissement d'une connexion SSL LDAP sur le port 636.
254 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.
255 # Remplacez "votre-domaine.example.com" par le nom de votre
258 LDAPTrustedGlobalCert CA_DER "/certs/certfile.der"
260 <Location "/ldap-status">
261 SetHandler ldap-status
263 Require host yourdomain.example.com
267 AuthName "LDAP Protected"
268 AuthBasicProvider ldap
269 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
271 </Location></pre>
274 <pre class="prettyprint lang-config"># Etablissement d'une connexion TLS LDAP sur le port 389.
275 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.
276 # Remplacez "votre-domaine.example.com" par le nom de votre
279 LDAPTrustedGlobalCert CA_DER "/certs/certfile.der"
281 <Location "/ldap-status">
282 SetHandler ldap-status
284 Require host yourdomain.example.com
288 AuthName "LDAP Protected"
289 AuthBasicProvider ldap
290 AuthLDAPURL "ldap://127.0.0.1/dc=example,dc=com?uid?one" TLS
292 </Location></pre>
295 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
296 <div class="section">
297 <h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2>
299 <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
300 définir et gérer les certificats des clients et des autorités de
301 certification (CA).</p>
303 <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
304 section ATTENTIVEMENT de façon à bien comprendre les différences de
305 configurations entre les différents SDKs LDAP supportés.</p>
307 <h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3>
308 <p>Les certificat de CA sont enregistrés dans un fichier nommé
309 cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
310 certificat n'a pas été signé par une CA spécifiée dans ce
311 fichier. Si des certificats clients sont requis, un fichier
312 key3.db ainsi qu'un mot de passe optionnels peuvent être
313 spécifiés. On peut aussi spécifier le fichier secmod si
314 nécessaire. Ces fichiers sont du même format que celui utilisé
315 par les navigateurs web Netscape Communicator ou Mozilla. Le
316 moyen le plus simple pour obtenir ces fichiers consiste à les
317 extraire de l'installation de votre navigateur.</p>
319 <p>Les certificats clients sont spécifiés pour chaque connexion
320 en utilisant la directive LDAPTrustedClientCert et en se
321 référant au certificat "nickname". On peut éventuellement
322 spécifier un mot de passe pour déverrouiller la clé privée du
325 <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
326 de STARTTLS engendrera une erreur lors des tentatives de
327 contacter le serveur LDAP pendant l'exécution.</p>
329 <pre class="prettyprint lang-config"># Spécifie un fichier de certificats de CA Netscape
330 LDAPTrustedGlobalCert CA_CERT7_DB "/certs/cert7.db"
331 # Spécifie un fichier key3db optionnel pour le support des
332 # certificats clients
333 LDAPTrustedGlobalCert CERT_KEY3_DB "/certs/key3.db"
334 # Spécifie le fichier secmod si nécessaire
335 LDAPTrustedGlobalCert CA_SECMOD "/certs/secmod"
336 <Location "/ldap-status">
337 SetHandler ldap-status
339 Require host yourdomain.example.com
343 AuthName "LDAP Protected"
344 AuthBasicProvider ldap
345 LDAPTrustedClientCert CERT_NICKNAME <nickname> [password]
346 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
348 </Location></pre>
353 <h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3>
355 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
356 que le SDK Novell fonctionne correctement. Ces certificats
357 peuvent être spécifiés sous forme de fichiers au format binaire
358 DER ou codés en Base64 (PEM).</p>
360 <p>Note: Les certificats clients sont spécifiés globalement
361 plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
362 de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
363 des certificats clients via la directive LDAPTrustedClientCert
364 engendrera une erreur qui sera journalisée, au moment de la
365 tentative de connexion avec le serveur LDAP.</p>
367 <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
368 paramètre de la directive LDAPTrustedMode. Si une URL de type
369 ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
372 <pre class="prettyprint lang-config"># Spécifie deux fichiers contenant des certificats de CA
373 LDAPTrustedGlobalCert CA_DER "/certs/cacert1.der"
374 LDAPTrustedGlobalCert CA_BASE64 "/certs/cacert2.pem"
375 # Spécifie un fichier contenant des certificats clients
377 LDAPTrustedGlobalCert CERT_BASE64 "/certs/cert1.pem"
378 LDAPTrustedGlobalCert KEY_BASE64 "/certs/key1.pem" [password]
379 # N'utilisez pas cette directive, sous peine de provoquer
381 #LDAPTrustedClientCert CERT_BASE64 "/certs/cert1.pem"</pre>
386 <h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3>
388 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
389 que le SDK OpenLDAP fonctionne correctement. Ces certificats
390 peuvent être spécifiés sous forme de fichiers au format binaire
391 DER ou codés en Base64 (PEM).</p>
393 <p>Les certificats clients sont spécifiés pour chaque connexion
394 à l'aide de la directive LDAPTrustedClientCert.</p>
396 <p>La documentation du SDK prétend que SSL et STARTTLS sont
397 supportés ; cependant, STARTTLS semble ne pas fonctionner avec
398 toutes les versions du SDK. Le mode SSL/TLS peut être défini en
399 utilisant le paramètre de la directive LDAPTrustedMode. Si une
401 ldaps:// est spécifiée, le mode SSL est forcé. La documentation
402 OpenLDAP indique que le support SSL (ldaps://) tend à être
403 remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
405 <pre class="prettyprint lang-config"># Spécifie deux fichiers contenant des certificats de CA
406 LDAPTrustedGlobalCert CA_DER "/certs/cacert1.der"
407 LDAPTrustedGlobalCert CA_BASE64 "/certs/cacert2.pem"
408 <Location /ldap-status>
409 SetHandler ldap-status
411 Require host yourdomain.example.com
413 LDAPTrustedClientCert CERT_BASE64 "/certs/cert1.pem"
414 LDAPTrustedClientCert KEY_BASE64 "/certs/key1.pem"
415 # CA certs respecified due to per-directory client certs
416 LDAPTrustedClientCert CA_DER "/certs/cacert1.der"
417 LDAPTrustedClientCert CA_BASE64 "/certs/cacert2.pem"
420 AuthName "LDAP Protected"
421 AuthBasicProvider ldap
422 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
424 </Location></pre>
429 <h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3>
431 <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
432 pas encore supporté. Si nécessaire, installez et utilisez plutôt
433 les bibliothèques OpenLDAP.</p>
437 <h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3>
439 <p>La configuration des certificats SSL/TLS pour les
440 bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
441 du registre système, et aucune directive de configuration n'est
444 <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
445 type ldaps://, ou en définissant la directive LDAPTrustedMode à
448 <p>Note: L'état du support des certificats clients n'est pas
449 encore connu pour ce SDK.</p>
454 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
455 <div class="directive-section"><h2><a name="ldapcacheentries" id="ldapcacheentries">Directive</a> <a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a></h2>
456 <table class="directive">
457 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entrées dans le cache LDAP
459 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr>
460 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr>
461 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
462 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
463 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
465 <p>Cette directive permet de spécifier la taille maximale du cache
466 LDAP primaire. Ce cache contient les résultats de
467 recherche/identification positifs. Définissez-la à 0 pour désactiver
468 la mise en cache des résultats de recherche/identification positifs.
469 La taille par défaut est de 1024 recherches en cache.</p>
472 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
473 <div class="directive-section"><h2><a name="ldapcachettl" id="ldapcachettl">Directive</a> <a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a></h2>
474 <table class="directive">
475 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache restent
477 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr>
478 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr>
479 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
480 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
481 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
483 <p>Cette directive permet de spécifier la durée (en secondes)
484 pendant laquelle une entrée du cache de recherche/identification
485 reste valide. La valeur par défaut est de 600 secondes (10
489 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
490 <div class="directive-section"><h2><a name="ldapconnectionpoolttl" id="ldapconnectionpoolttl">Directive</a> <a name="LDAPConnectionPoolTTL" id="LDAPConnectionPoolTTL">LDAPConnectionPoolTTL</a></h2>
491 <table class="directive">
492 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Désactive les connexions d'arrière-plan qui sont restées
493 inactives trop longtemps au sein du jeu de connexions.</td></tr>
494 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionPoolTTL <var>n</var></code></td></tr>
495 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPConnectionPoolTTL -1</code></td></tr>
496 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
497 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
498 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
499 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.3.12 du serveur HTTP
502 <p>Cette directive permet de spécifier la durée maximale, en
503 secondes, pendant laquelle une connexion LDAP du jeu de connexions
504 peut demeurer inactive, mais rester quand-même disponible pour une
505 utilisation éventuelle. Le jeu de connexions est nettoyé au fur et à
506 mesure des besoins, de manière non asynchrone.</p>
508 <p>Si cette directive est définie à 0, les connexions ne sont jamais
509 sauvegardées dans le jeu de connexions d'arrière-plan. Avec la
510 valeur par défaut -1, ou toute autre valeur négative, les connexions
511 peuvent être réutilisées sans limite de durée.</p>
513 <p>Dans le but d'améliorer les performances, le temps de référence
514 qu'utilise cette directive correspond au moment où la connexion LDAP
515 est enregistrée ou remise dans le jeu de connexions, et non au
516 moment du dernier échange réussi avec le serveur LDAP.</p>
518 <p>La version 2.4.10 a introduit de nouvelles mesures permettant
519 d'éviter une augmentation excessive du temps de référence due à des
520 correspondances positives dans le cache ou des requêtes lentes. A
521 cet effet, le temps de référence n'est pas réactualisé si aucune
522 connexion LDAP d'arrière-plan n'est requise ; d'autre part, le temps
523 de référence se base sur le moment où la requête HTTP est reçue, et
524 non sur le moment où la requête a été traitée.</p>
526 <div class="note"><p>Cette durée de vie s'exprime par défaut en secondes, mais
527 il est possible d'utiliser d'autres unités en ajoutant un suffixe :
528 millisecondes (ms), minutes (min), ou heures (h).
532 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
533 <div class="directive-section"><h2><a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a> <a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a></h2>
534 <table class="directive">
535 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente en secondes de la socket de
537 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr>
538 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
539 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
540 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
542 <p>Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou
543 LDAP_OPT_CONNECT_TIMEOUT) dans la bibliothèque client LDAP
544 sous-jacente, si elle est disponible. Cette valeur représente la
545 durée pendant laquelle la bibliothèque client LDAP va attendre que
546 le processus de connexion TCP au serveur LDAP soit achevé.</p>
548 <p>Si la connexion n'a pas réussi avant ce délai, une erreur sera
549 renvoyée, ou la bibliothèque client LDAP tentera de se connecter à
550 un second serveur LDAP, s'il en a été défini un (via une liste de
551 noms d'hôtes séparés par des espaces dans la directive <code class="directive"><a href="../mod/mod_authnz_ldap.html#authldapurl">AuthLDAPURL</a></code>).</p>
553 <p>La valeur par défaut est 10 secondes, si la bibliothèque client
554 LDAP liée avec le serveur supporte l'option
555 LDAP_OPT_NETWORK_TIMEOUT.</p>
557 <div class="note">LDAPConnectionTimeout n'est disponible que si la bibliothèque client
558 LDAP liée avec le serveur supporte l'option
559 LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le
560 comportement final est entièrement dicté par la bibliothèque client
565 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
566 <div class="directive-section"><h2><a name="ldaplibrarydebug" id="ldaplibrarydebug">Directive</a> <a name="LDAPLibraryDebug" id="LDAPLibraryDebug">LDAPLibraryDebug</a></h2>
567 <table class="directive">
568 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active le débogage dans le SDK LDAP</td></tr>
569 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPLibraryDebug <var>7</var></code></td></tr>
570 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>disabled</code></td></tr>
571 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
572 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
573 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
575 <p>Active les options de débogage LDAP spécifiques au SDK, qui
576 entraînent en général une journalisation d'informations verbeuses du
577 SDK LDAP dans le journal principal des erreurs d'Apache. Les
578 messages de traces en provenance du SDK LDAP fournissent des
579 informations très détaillées qui peuvent s'avérer utiles lors du
580 débogage des problèmes de connexion avec des serveurs LDAP
583 <p>Cette option n'est configurable que lorsque le serveur HTTP
584 Apache est lié avec un SDK LDAP qui implémente
585 <code>LDAP_OPT_DEBUG</code> ou <code>LDAP_OPT_DEBUG_LEVEL</code>,
586 comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory
587 Server (une valeur de 65535 est verbeuse).</p>
589 <div class="warning">
590 <p>Les informations journalisées peuvent contenir des données
591 d'authentification en clair utilisées ou validées lors de
592 l'authentification LDAP ; vous devez donc prendre soin de protéger
593 et de purger le journal des erreurs lorsque cette directive est
599 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
600 <div class="directive-section"><h2><a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a> <a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a></h2>
601 <table class="directive">
602 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entrées utilisées pour mettre en cache les
603 opérations de comparaison LDAP</td></tr>
604 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr>
605 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr>
606 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
607 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
608 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
610 <p>Cette directive permet de spécifier le nombre d'entrées que
611 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les
612 opérations de comparaison LDAP. La valeur par défaut est de 1024
613 entrées. Si elle est définie à 0, la mise en cache des opérations de
614 comparaison LDAP est désactivée.</p>
617 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
618 <div class="directive-section"><h2><a name="ldapopcachettl" id="ldapopcachettl">Directive</a> <a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a></h2>
619 <table class="directive">
620 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache d'opérations
621 restent valides</td></tr>
622 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr>
623 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr>
624 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
625 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
626 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
628 <p>Cette directive permet de spécifier la durée (en secondes)
629 pendant laquelle les entrées du cache d'opérations restent valides.
630 La valeur par défaut est de 600 secondes.</p>
633 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
634 <div class="directive-section"><h2><a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a> <a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a></h2>
635 <table class="directive">
636 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs
637 alternatifs (referrals) avant l'abandon de la requête
639 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr>
640 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>Dépend du SDK, en général entre 5 et 10</code></td></tr>
641 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
642 <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
643 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
644 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
646 <p>Si elle est activée par la directive <code class="directive">LDAPReferrals</code>,
647 cette directive permet de définir le nombre maximum de sauts vers
648 des serveurs alternatifs (referrals) avant l'abandon de la requête
651 <div class="warning">
652 <p>L'ajustement de ce paramètre n'est pas commun à tous les SDKs LDAP.</p>
656 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
657 <div class="directive-section"><h2><a name="ldapreferrals" id="ldapreferrals">Directive</a> <a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a></h2>
658 <table class="directive">
659 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au
660 cours des requêtes vers le serveur LDAP.</td></tr>
661 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off|default</var></code></td></tr>
662 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferrals On</code></td></tr>
663 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
664 <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
665 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
666 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
667 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le paramètre <var>default</var> est disponible depuis la
668 version 2.4.7 du serveur HTTP Apache.</td></tr>
670 <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
671 domaines et utilisent le système des redirections (referrals) pour
672 aiguiller un client lorsque les limites d'un domaine doivent être
673 franchies. Ce processus est similaire à une redirection HTTP. Les
674 bibliothèques client LDAP ne respectent pas forcément ces
675 redirections par défaut. Cette directive permet de configurer
676 explicitement les redirections LDAP dans le SDK sous-jacent.</p>
678 <p>La directive <code class="directive">LDAPReferrals</code> accepte les
679 valeurs suivantes :</p>
683 <dd> <p>Avec la valeur "on", la prise en compte des redirections
684 LDAP par le SDK sous-jacent est activée, la directive
685 <code class="directive">LDAPReferralHopLimit</code> permet de surcharger la
686 "hop limit" du SDK, et un "LDAP rebind callback" est enregistré.</p></dd>
688 <dd> <p>Avec la valeur "off", la prise en compte des redirections
689 LDAP par le SDK sous-jacent est complètement désactivée.</p></dd>
691 <dd> <p>Avec la valeur "default", la prise en compte des redirections
692 LDAP par le SDK sous-jacent n'est pas modifiée, la directive
693 <code class="directive">LDAPReferralHopLimit</code> ne permet pas de surcharger la
694 "hop limit" du SDK, et aucun "LDAP rebind callback" n'est enregistré.</p></dd>
697 <p>La directive <code class="directive">LDAPReferralHopLimit</code> travaille en
698 conjonction avec cette directive pour limiter le nombre de
699 redirections à suivre pour achever le traitement de la requête LDAP.
700 Lorsque le processus de redirection est activé par la valeur "On",
701 les données d'authentification du client sont transmises via un
702 "rebind callback" à tout serveur LDAP qui en fait la demande.</p>
705 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
706 <div class="directive-section"><h2><a name="ldapretries" id="ldapretries">Directive</a> <a name="LDAPRetries" id="LDAPRetries">LDAPRetries</a></h2>
707 <table class="directive">
708 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nombre maximum de tentatives de connexions au
709 serveur LDAP.</td></tr>
710 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetries <var>nombre d'essais</var></code></td></tr>
711 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPRetries 3</code></td></tr>
712 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
713 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
714 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
716 <p>Suite à des échecs de connexion au serveur LDAP, le serveur
717 tentera de se connecter autant de fois qu'indiqué par la directive
718 <code class="directive">LDAPRetries</code>. Si cette directive est définie à
719 0, le serveur ne tentera pas d'autre connexion après un échec.</p>
720 <p>Il est possible d'effectuer une autre tentative de connexion en
721 cas d'erreurs LDAP du type délai dépassé ou connexion refusée. </p>
724 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
725 <div class="directive-section"><h2><a name="ldapretrydelay" id="ldapretrydelay">Directive</a> <a name="LDAPRetryDelay" id="LDAPRetryDelay">LDAPRetryDelay</a></h2>
726 <table class="directive">
727 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le temps d'attente avant un autre essai de connexion au
728 serveur LDAP.</td></tr>
729 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetryDelay <var>secondes</var></code></td></tr>
730 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPRetryDelay 0</code></td></tr>
731 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
732 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
733 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
735 <p>Si la directive <code class="directive">LDAPRetryDelay</code> est définie
736 à une valeur différente de 0, le serveur attendra pendant la durée
737 spécifiée pour envoyer à nouveau sa requête LDAP. Une valeur de 0
738 implique une absence de délai pour les essais successifs.</p>
740 <p>Il est possible d'effectuer une autre tentative de connexion en
741 cas d'erreurs LDAP du type délai dépassé ou connexion refusée. </p>
744 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
745 <div class="directive-section"><h2><a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a> <a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a></h2>
746 <table class="directive">
747 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le fichier du cache en mémoire
749 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin/fichier</var></code></td></tr>
750 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
751 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
752 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
754 <p>Cette directive permet de spécifier le chemin du
755 fichier du cache en mémoire partagée. Si elle n'est pas définie, la
756 mémoire partagée anonyme sera utilisée si la plate-forme la
761 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
762 <div class="directive-section"><h2><a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a> <a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a></h2>
763 <table class="directive">
764 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en mémoire partagée</td></tr>
765 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr>
766 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPSharedCacheSize 500000</code></td></tr>
767 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
768 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
769 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
771 <p>Cette directive permet de spécifier le nombre d'octets à allouer
772 pour le cache en mémoire partagée. La valeur par
774 Si elle est définie à 0, le cache en mémoire partagée ne sera pas
775 utilisé et chaque processus HTTPD va créer son propre cache.</p>
778 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
779 <div class="directive-section"><h2><a name="ldaptimeout" id="ldaptimeout">Directive</a> <a name="LDAPTimeout" id="LDAPTimeout">LDAPTimeout</a></h2>
780 <table class="directive">
781 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente pour les opérations de
782 recherche et d'identification LDAP en secondes</td></tr>
783 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTimeout <var>secondes</var></code></td></tr>
784 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPTimeout 60</code></td></tr>
785 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
786 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
787 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
788 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.3.5 du serveur HTTP
791 <p>Cette directive permet de spécifier le délai d'attente pour les
792 opérations de recherche et d'identification, ainsi que l'option
793 LDAP_OPT_TIMEOUT dans la bibliothèque LDAP client sous-jacente,
794 lorsqu'elle est disponible.</p>
796 <p>Lorsque le délai est atteint, httpd va refaire un essai dans le
797 cas où une connexion existante a été silencieusement fermée par un
798 pare-feu. Les performances seront cependant bien meilleures si le
799 pare-feu est configuré pour envoyer des paquets TCP RST au lieu de
800 rejeter silencieusement les paquets.</p>
803 <p>Les délais pour les opérations de comparaison LDAP nécessitent un
804 SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP >= 2.4.4.</p>
809 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
810 <div class="directive-section"><h2><a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a> <a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a></h2>
811 <table class="directive">
812 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier contenant un certificat client ou
813 un alias renvoyant vers un certificat client spécifique à une connexion.
814 Tous les SDK LDAP ne supportent pas les certificats clients par
816 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var>
817 <var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr>
818 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
819 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
820 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
822 <p>Cette directive permet de spécifier le chemin et le nom de
823 fichier ou l'alias d'un certificat client par connexion utilisé lors
824 de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
825 Les sections directory ou location peuvent posséder leurs propres
826 configurations de certificats clients. Certains SDK LDAP (en
827 particulier Novell) ne supportent pas les certificats clients par
828 connexion, et renvoient une erreur lors de la connexion au serveur
829 LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
830 la directive LDAPTrustedGlobalCert pour les certificats clients sous
831 Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
832 de détails). Le paramètre type spécifie le type du certificat en
833 cours de définition, en fonction du SDK LDAP utilisé. Les types
836 <li>CA_DER - certificat de CA codé en binaire DER</li>
837 <li>CA_BASE64 - certificat de CA codé en PEM</li>
838 <li>CERT_DER - certificat client codé en binaire DER</li>
839 <li>CERT_BASE64 - certificat client codé en PEM</li>
840 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
841 <li>KEY_DER - clé privée codée en binaire DER</li>
842 <li>KEY_BASE64 - clé privée codée en PEM</li>
846 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
847 <div class="directive-section"><h2><a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a> <a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a></h2>
848 <table class="directive">
849 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier ou la base de données contenant
850 les Autorités de Certification de confiance globales ou les certificats
851 clients globaux</td></tr>
852 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var>
853 <var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr>
854 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
855 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
856 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
858 <p>Cette directive permet de spécifier le chemin et le nom du
859 fichier contenant les certificats des CA de confiance et/ou les
860 certificats clients du système global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>
861 utilisera pour établir une connexion SSL ou TLS avec un serveur
862 LDAP. Notez que toute information relative aux certificats spécifiée
863 en utilisant cette directive s'applique globalement à l'ensemble de
864 l'installation du serveur. Certains SDK LDAP (en particulier Novell)
865 nécessitent la définition globale de tous les certificats clients en
866 utilisant cette directive. La plupart des autres SDK nécessitent la
867 définition des certificats clients dans une section Directory ou
868 Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
869 définissez pas ces directives correctement, une erreur sera générée
870 lors des tentatives de contact avec un serveur LDAP, ou la connexion
871 échouera silencieusement (Voir plus haut le guide des certificats
872 SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
873 certificat en cours de définition, en fonction du SDK LDAP utilisé.
874 Les types supportés sont :</p>
876 <li>CA_DER - certificat de CA codé en binaire DER</li>
877 <li>CA_BASE64 - certificat de CA codé en PEM</li>
878 <li>CA_CERT7_DB - fichier de base de données des certificats de CA
879 de Netscape cert7.db</li>
880 <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
881 <li>CERT_DER - certificat client codé en binaire DER</li>
882 <li>CERT_BASE64 - certificat client codé en PEM</li>
883 <li>CERT_KEY3_DB - fichier de base de données des certificats
884 clients de Netscape key3.db</li>
885 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
886 <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
887 <li>KEY_DER - clé privée codée en binaire DER</li>
888 <li>KEY_BASE64 - clé privée codée en PEM</li>
889 <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
893 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
894 <div class="directive-section"><h2><a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a> <a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a></h2>
895 <table class="directive">
896 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le mode (SSL ou TLS) à utiliser lors de la
897 connexion à un serveur LDAP.</td></tr>
898 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr>
899 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
900 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
901 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
903 <p>Les modes suivants sont supportés :</p>
905 <li>NONE - aucun chiffrement</li>
906 <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
907 <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
910 <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
911 Un message d'erreur sera généré à l'exécution si un mode n'est pas
912 supporté, et la connexion au serveur LDAP échouera.
915 <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
916 SSL et la définition de LDAPTrustedMode est ignorée.</p>
919 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
920 <div class="directive-section"><h2><a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a> <a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a></h2>
921 <table class="directive">
922 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la vérification du certificat du
924 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr>
925 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr>
926 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
927 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
928 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
930 <p>Cette directive permet de spécifier s'il faut forcer la
931 vérification d'un certificat de serveur lors de l'établissement
932 d'une connexion SSL avec un serveur LDAP.</p>
936 <div class="bottomlang">
937 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
938 <a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
939 </div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
940 <script type="text/javascript"><!--//--><![CDATA[//><!--
941 var comments_shortname = 'httpd';
942 var comments_identifier = 'http://httpd.apache.org/docs/2.4/mod/mod_ldap.html';
944 if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
945 d.write('<div id="comments_thread"><\/div>');
946 var s = d.createElement('script');
947 s.type = 'text/javascript';
949 s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
950 (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
953 d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
955 })(window, document);
956 //--><!]]></script></div><div id="footer">
957 <p class="apache">Copyright 2016 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
958 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
959 if (typeof(prettyPrint) !== 'undefined') {