update transformation

[apache] / docs / manual / mod / mod_ldap.html.fr

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
              This file is generated from xml source: DO NOT EDIT
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      -->
<title>mod_ldap - Serveur Apache HTTP</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" />
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.3</p>
<img alt="" src="../images/feather.gif" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.3</a> &gt; <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_ldap</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ldap.html" title="Français">&nbsp;fr&nbsp;</a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en
cache du résultat à destination des autres modules LDAP</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ldap_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>util_ldap.c</td></tr>
<tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.0.41
d'Apache</td></tr></table>
<h3>Sommaire</h3>

    <p>Ce module a été conçu dans le but d'améliorer les performances
    des sites web s'appuyant sur des connexions en arrière-plan vers des
    serveurs LDAP. Il ajoute aux fonctions fournies par les
    bibliothèques standards LDAP la conservation des connexions LDAP
    ainsi qu'un cache LDAP partagé en mémoire.</p>

    <p>Pour activer ce module, le support LDAP doit être compilé dans
    apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
    au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit
    Apache.</p>

    <p>Le support SSL/TLS est conditionné par le kit de développement
    LDAP qui a été lié à <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment où ces
    lignes sont écrites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
    supérieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
    SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
    Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
    Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a href="http://www.iplanet.com/downloads/developer/">iPlanet
    (Netscape)</a>. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de détails.</p>

</div>
<div id="quickview"><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li>
</ul>
<h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li>
</ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2>
    <p>Ce qui suit est un exemple de configuration qui utilise
    <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour améliorer les performances de
    l'authentification HTTP de base fournie par
    <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p>

    <div class="example"><p><code>
      # Active la conservation des connexions LDAP et le cache partagé en<br />
      # mémoire. Active le gestionnaire de statut du cache LDAP.<br />
      # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
      # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
      # domaine.<br />
      <br />
      LDAPSharedCacheSize 500000<br />
      LDAPCacheEntries 1024<br />
      LDAPCacheTTL 600<br />
      LDAPOpCacheEntries 1024<br />
      LDAPOpCacheTTL 600<br />
      <br />
      &lt;Location /statut-ldap&gt;<br />
      <span class="indent">
        SetHandler ldap-status<br />
        Order deny,allow<br />
        Deny from all<br />
        Allow from votre-domaine.exemple.com<br />
        Satisfy any<br />
        AuthType Basic<br />
        AuthName "Protégé par LDAP"<br />
        AuthBasicProvider ldap<br />
        AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br />
        Require valid-user<br />
      </span>
      &lt;/Location&gt;
    </code></p></div>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2>

    <p>Les connexions LDAP sont conservées de requête en requête. Ceci
    permet de rester connecté et identifié au serveur LDAP, ce dernier
    étant ainsi prêt pour la prochaine requête, sans avoir à se
    déconnecter, reconnecter et réidentifier. Le gain en performances
    est similaire à celui des connexions persistantes (keepalives)
    HTTP.</p>

    <p>Sur un serveur très sollicité, il est possible que de nombreuses
    requêtes tentent d'accéder simultanément à la même connexion au
    serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
    une deuxième en parallèle à la première, ce qui permet d'éviter que
    le système de conservation des connexions ne devienne un goulot
    d'étranglement.</p>

    <p>Il n'est pas nécessaire d'activer explicitement la conservation
    des connexions dans la configuration d'Apache. Tout module utilisant
    le module ldap pour accéder aux services LDAP partagera le jeu de
    connexions.</p>

    <p>Les connexions LDAP peuvent garder la trace des données
    d'identification du client ldap utilisées pour l'identification
    auprès du serveur LDAP. Ces données peuvent être fournies aux
    serveurs LDAP qui ne permettent pas les connexions anonymes au cours
    lors des tentatives de sauts vers des serveurs alternatifs. Pour
    contrôler cette fonctionnalité, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette
    fonctionnalité est activée par défaut.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="cache" id="cache">Cache LDAP</a></h2>

    <p>Pour améliorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en
    oeuvre une stratégie de mise en cache agressive visant à minimiser
    le nombre de fois que le serveur LDAP doit être contacté. La mise en
    cache peut facilement doubler et même tripler le débit d'Apache
    lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
    serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>

    <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache
    LDAP : un <em>cache recherche/identification</em> durant la phase
    de recherche/identification et deux <em>caches d'opérations</em>
    durant la phase de comparaison. Chaque URL LDAP utilisée par le
    serveur a son propre jeu d'instances dans ces trois caches.</p>

    <h3><a name="search-bind" id="search-bind">Le cache
    recherche/identification</a></h3>
      <p>Les processus de recherche et d'identification sont les
      opérations LDAP les plus consommatrices en temps, en particulier
      si l'annuaire est de grande taille. Le cache de
      recherche/identification met en cache toutes les recherches qui
      ont abouti à une identification positive. Les résultats négatifs
      (c'est à dire les recherches sans succès, ou les recherches qui
      n'ont pas abouti à une identification positive) ne sont pas mis en
      cache. La raison de cette décision réside dans le fait que les
      connexions avec des données d'identification invalides ne
      représentent qu'un faible pourcentage du nombre total de
      connexions, et ainsi, le fait de ne pas mettre en cache les
      données d'identification invalides réduira d'autant la taille du
      cache.</p>

      <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le
      DN extrait, le mot de passe utilisé pour l'identification, ainsi
      que l'heure de l'identification. Chaque fois qu'une nouvelle
      connexion est initialisée avec le même nom d'utilisateur,
      <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle
      connexion avec le mot de passe enregistré dans le cache. Si les
      mots de passe correspondent, et si l'entrée du cache n'est pas
      trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase
      de recherche/identification.</p>

      <p>Le cache de recherche/identification est contrôlé par les
      directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p>
    

    <h3><a name="opcaches" id="opcaches">Les caches d'opérations</a></h3>
      <p>Au cours des opérations de comparaison d'attributs et de noms
      distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches
      d'opérations pour mettre en cache les opérations de comparaison.
      Le premier cache de comparaison sert à mettre en cache les
      résultats de comparaisons effectuées pour vérifier l'appartenance
      à un groupe LDAP. Le second cache de comparaison sert à mettre en
      cache les résultats de comparaisons entre DNs.</p>

      <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
      toute comparaison de sous-groupes est mise en cache afin
      d'accélérer les comparaisons de sous-groupes ultérieures.</p>

      <p>Le comportement de ces deux caches est contrôlé par les
      directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p>
    

    <h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3>
      <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> possède un gestionnaire de contenu
      qui permet aux administrateurs de superviser les performances du
      cache. Le nom du gestionnaire de contenu est
      <code>ldap-status</code>, et on peut utiliser les directives
      suivantes pour accéder aux informations du cache de
      <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p>

      <div class="example"><p><code>
        &lt;Location /serveur/infos-cache&gt;<br />
        <span class="indent">
          SetHandler ldap-status<br />
        </span>
        &lt;/Location&gt;
      </code></p></div>

      <p>En se connectant à l'URL
      <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
      obtenir un rapport sur le statut de chaque cache qu'utilise
      <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la
      mémoire partagée, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code>
      possèdera son propre cache, et chaque fois que l'URL sera
      rechargée, un résultat différent pourra être affiché, en fonction
      de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la
      requête.</p>
    
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2>

    <p>La possibilité de créer des connexions SSL et TLS avec un serveur
    LDAP est définie par les directives <code class="directive"><a href="#&#10;    ldaptrustedglobalcert">
    LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="#&#10;    ldaptrustedclientcert">
    LDAPTrustedClientCert</a></code> et <code class="directive"><a href="#&#10;    ldaptrustedmode">
    LDAPTrustedMode</a></code>. Ces directives permettent de spécifier
    l'autorité de certification (CA), les certificats clients éventuels,
    ainsi que le type de chiffrement à utiliser pour la connexion (none,
    SSL ou TLS/STARTTLS).</p>

    <div class="example"><p><code>
      # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
      # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
      # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
      # domaine.<br />
      <br />
      LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
      <br />
      &lt;Location /statut-ldap&gt;<br />
      <span class="indent">
        SetHandler ldap-status<br />
        Order deny,allow<br />
        Deny from all<br />
        Allow from votre-domaine.exemple.com<br />
        Satisfy any<br />
        AuthType Basic<br />
        AuthName "Protégé par LDAP"<br />
        AuthBasicProvider ldap<br />
        AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
        Require valid-user<br />
      </span>
      &lt;/Location&gt;
    </code></p></div>

    <div class="example"><p><code>
      # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
      # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
      # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
      # domaine.<br />
      <br />
      LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
      <br />
      &lt;Location /statut-ldap&gt;<br />
      <span class="indent">
        SetHandler ldap-status<br />
        Order deny,allow<br />
        Deny from all<br />
        Allow from votre-domaine.exemple.com<br />
        Satisfy any<br />
        AuthType Basic<br />
        AuthName "Protégé par LDAP"<br />
        AuthBasicProvider ldap<br />
        AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br />
        Require valid-user<br />
      </span>
      &lt;/Location&gt;
    </code></p></div>

</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2>

    <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
    définir et gérer les certificats des clients et des autorités de
    certification (CA).</p>

    <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
    section ATTENTIVEMENT de façon à bien comprendre les différences de
    configurations entre les différents SDKs LDAP supportés.</p>

    <h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3>
        <p>Les certificat de CA sont enregistrés dans un fichier nommé
        cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
        certificat n'a pas été signé par une CA spécifiée dans ce
        fichier. Si des certificats clients sont requis, un fichier
        key3.db ainsi qu'un mot de passe optionnels peuvent être
        spécifiés. On peut aussi spécifier le fichier secmod si
        nécessaire. Ces fichiers sont du même format que celui utilisé
        par les navigateurs web Netscape Communicator ou Mozilla. Le
        moyen le plus simple pour obtenir ces fichiers consiste à les
        extraire de l'installation de votre navigateur.</p>

        <p>Les certificats clients sont spécifiés pour chaque connexion
        en utilisant la directive LDAPTrustedClientCert et en se
        référant au certificat "nickname". On peut éventuellement
        spécifier un mot de passe pour déverrouiller la clé privée du
        certificat.</p>

        <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
        de STARTTLS engendrera une erreur lors des tentatives de
        contacter le serveur LDAP pendant l'exécution.</p>

        <div class="example"><p><code>
            # Spécifie un fichier de certificats de CA Netscape<br />
            LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
            # Spécifie un fichier key3db optionnel pour le support des
            # certificats clients<br />
            LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
            # Spécifie le fichier secmod si nécessaire<br />
            LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
            &lt;Location /statut-ldap&gt;<br />
            <span class="indent">
                SetHandler ldap-status<br />
                Order deny,allow<br />
                Deny from all<br />
                Allow from votre-domaine.exemple.com<br />
                Satisfy any<br />
                AuthType Basic<br />
                AuthName "Protégé par LDAP"<br />
                AuthBasicProvider ldap<br />
                LDAPTrustedClientCert CERT_NICKNAME &lt;nickname&gt;
                [mot de passe]<br />
                AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
                Require valid-user<br />
            </span>
            &lt;/Location&gt;
        </code></p></div>

    

    <h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3>

        <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
        que le SDK Novell fonctionne correctement. Ces certificats
        peuvent être spécifiés sous forme de fichiers au format binaire
        DER ou codés en Base64 (PEM).</p>

        <p>Note: Les certificats clients sont spécifiés globalement
        plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
        de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
        des certificats clients via la directive LDAPTrustedClientCert
        engendrera une erreur qui sera journalisée, au moment de la
        tentative de connexion avec le serveur LDAP.</p>

        <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
        paramètre de la directive LDAPTrustedMode. Si une URL de type
        ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
        cette directive.</p>

        <div class="example"><p><code>
             # Spécifie deux fichiers contenant des certificats de CA<br />
             LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
             LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
             # Spécifie un fichier contenant des certificats clients
             # ainsi qu'une clé<br />
             LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
             LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
             passe]<br />
             # N'utilisez pas cette directive, sous peine de provoquer
             # une erreur<br />
             #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
        </code></p></div>

    

    <h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3>

        <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
        que le SDK OpenLDAP fonctionne correctement. Ces certificats
        peuvent être spécifiés sous forme de fichiers au format binaire
        DER ou codés en Base64 (PEM).</p>

        <p>Les certificats clients sont spécifiés pour chaque connexion
        à l'aide de la directive LDAPTrustedClientCert.</p>

        <p>La documentation du SDK prétend que SSL et STARTTLS sont
        supportés ; cependant, STARTTLS semble ne pas fonctionner avec
        toutes les versions du SDK. Le mode SSL/TLS peut être défini en
        utilisant le paramètre de la directive LDAPTrustedMode. Si une
        URL de type
        ldaps:// est spécifiée, le mode SSL est forcé. La documentation
        OpenLDAP indique que le support SSL (ldaps://) tend à être
        remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>

        <div class="example"><p><code>
             # Spécifie deux fichiers contenant des certificats de CA<br />
             LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
             LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
            &lt;Location /statut-ldap&gt;<br />
            <span class="indent">
                SetHandler ldap-status<br />
                Order deny,allow<br />
                Deny from all<br />
                Allow from votre-domaine.exemple.com<br />
                LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
                LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
                Satisfy any<br />
                AuthType Basic<br />
                AuthName "Protégé par LDAP"<br />
                AuthBasicProvider ldap<br />
                AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
                Require valid-user<br />
            </span>
            &lt;/Location&gt;
        </code></p></div>

    

    <h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3>

        <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
        pas encore supporté. Si nécessaire, installez et utilisez plutôt
        les bibliothèques OpenLDAP.</p>

    

    <h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3>

        <p>La configuration des certificats SSL/TLS pour les
        bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
        du registre système, et aucune directive de configuration n'est
        requise.</p>

        <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
        type ldaps://, ou en définissant la directive LDAPTrustedMode à
        cet effet.</p>

        <p>Note: L'état du support des certificats clients n'est pas
        encore connu pour ce SDK.</p>

    

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a> <a name="ldapcacheentries" id="ldapcacheentries">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entrées dans le cache LDAP
primaire</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier la taille maximale du cache
    LDAP primaire. Ce cache contient les résultats de
    recherche/identification positifs. Définissez-la à 0 pour désactiver
    la mise en cache des résultats de recherche/identification positifs.
    La taille par défaut est de 1024 recherches en cache.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a> <a name="ldapcachettl" id="ldapcachettl">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache restent
valides.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier la durée (en secondes)
    pendant laquelle une entrée du cache de recherche/identification
    reste valide. La valeur par défaut est de 600 secondes (10
    minutes).</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a> <a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente en secondes de la socket de
connexion</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le délai d'attente (en
    secondes) pendant lequel le
    module tentera de se connecter au serveur LDAP. Si une tentative de
    connexion n'a pas abouti au bout de ce délai, soit une erreur sera
    renvoyée, soit le module tentera de se connecter à un serveur LDAP
    secondaire s'il en a été spécifié un. La valeur par défaut est de 10
    secondes.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a> <a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entrées utilisées pour mettre en cache les
opérations de comparaison LDAP</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le nombre d'entrées que
    <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les
    opérations de comparaison LDAP. La valeur par défaut est de 1024
    entrées. Si elle est définie à 0, la mise en cache des opérations de
    comparaison LDAP est désactivée.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a> <a name="ldapopcachettl" id="ldapopcachettl">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache d'opérations
restent valides</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier la durée (en secondes)
    pendant laquelle les entrées du cache d'opérations restent valides.
    La valeur par défaut est de 600 secondes.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a> <a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs
alternatifs (referrals) avant l'abandon de la requête
LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferralHopLimit 5</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Si elle est activée par la directive <code>LDAPReferrals</code>,
    cette directive permet de définir le nombre maximum de sauts vers
    des serveurs alternatifs (referrals) avant l'abandon de la requête
    LDAP.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a> <a name="ldapreferrals" id="ldapreferrals">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au
cours des requêtes vers le serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferrals On</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
    domaines et utilisent le système des redirections (referrals) pour
    aiguiller un client lorsque les limites d'un domaine doivent être
    franchies. En définissant <code>LDAPReferrals On</code>, les
    redirections seront prises en compte (et bien entendu, en
    définissant <code>LDAPReferrals Off</code>, les redirections seront
    ignorées). La directive <code>LDAPReferralHopLimit</code> complète
    cette directive en définissant le nombre maximum de redirections à
    suivre avant l'abandon de la requête LDAP. Lorsque le traitement des
    redirections est activé, les données d'identification du client
    seront fournies, via un appel (callback) de réidentification, à tout
    serveur LDAP qui en fera la demande.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a> <a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le fichier du cache en mémoire
partagée</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin/nom-fichier</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le chemin et le nom du
    fichier du cache en mémoire partagée. Si elle n'est pas définie, la
    mémoire partagée anonyme sera utilisée si la plate-forme la
    supporte.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a> <a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en mémoire partagée</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPSharedCacheSize 500000</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le nombre d'octets à allouer
    pour le cache en mémoire partagée. La valeur par
    défaut est 500kb.
    Si elle est définie à 0, le cache en mémoire partagée ne sera pas
    utilisé.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a> <a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier contenant un certificat client ou
un alias renvoyant vers un certificat client spécifique à une connexion.
Tous les SDK LDAP ne supportent pas les certificats clients par
connexion.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var>
<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le chemin et le nom de
    fichier ou l'alias d'un certificat client par connexion utilisé lors
    de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
    Les sections directory ou location peuvent posséder leurs propres
    configurations de certificats clients. Certains SDK LDAP (en
    particulier Novell) ne supportent pas les certificats clients par
    connexion, et renvoient une erreur lors de la connexion au serveur
    LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
    la directive LDAPTrustedGlobalCert pour les certificats clients sous
    Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
    de détails). Le paramètre type spécifie le type du certificat en
    cours de définition, en fonction du SDK LDAP utilisé. Les types
    supportés sont :</p>
    <ul>
      <li>CERT_DER - certificat client codé en binaire DER</li>
      <li>CERT_BASE64 - certificat client codé en PEM</li>
      <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
      <li>KEY_DER - clé privée codée en binaire DER</li>
      <li>KEY_BASE64 - clé privée codée en PEM</li>
    </ul>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a> <a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier ou la base de données contenant
les Autorités de Certification de confiance globales ou les certificats
clients globaux</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var>
<var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier le chemin et le nom du
    fichier contenant les certificats des CA de confiance et/ou les
    certificats clients du système global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>
    utilisera pour établir une connexion SSL ou TLS avec un serveur
    LDAP. Notez que toute information relative aux certificats spécifiée
    en utilisant cette directive s'applique globalement à l'ensemble de
    l'installation du serveur. Certains SDK LDAP (en particulier Novell)
    nécessitent la définition globale de tous les certificats clients en
    utilisant cette directive. La plupart des autres SDK nécessitent la
    définition des certificats clients dans une section Directory ou
    Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
    définissez pas ces directives correctement, une erreur sera générée
    lors des tentatives de contact avec un serveur LDAP, ou la connexion
    échouera silencieusement (Voir plus haut le guide des certificats
    SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
    certificat en cours de définition, en fonction du SDK LDAP utilisé.
    Les types supportés sont :</p>
    <ul>
      <li>CA_DER - certificat de CA codé en binaire DER</li>
      <li>CA_BASE64 - certificat de CA codé en PEM</li>
      <li>CA_CERT7_DB - fichier de base de données des certificats de CA
      de Netscape cert7.db</li>
      <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
      <li>CERT_DER - certificat client codé en binaire DER</li>
      <li>CERT_BASE64 - certificat client codé en PEM</li>
      <li>CERT_KEY3_DB - fichier de base de données des certificats
      clients de Netscape key3.db</li>
      <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
      <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
      <li>KEY_DER - clé privée codée en binaire DER</li>
      <li>KEY_BASE64 - clé privée codée en PEM</li>
      <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
    </ul>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a> <a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le mode (SSL ou TLS) à utiliser lors de la
connexion à un serveur LDAP.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Les modes suivants sont supportés :</p>
    <ul>
      <li>NONE - aucun chiffrement</li>
      <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
      <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
    </ul>

    <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
    Un message d'erreur sera généré à l'exécution si un mode n'est pas
    supporté, et la connexion au serveur LDAP échouera.
    </p>

    <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
    SSL et la définition de LDAPTrustedMode est ignorée.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a> <a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la vérification du certificat du
serveur</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
</table>
    <p>Cette directive permet de spécifier s'il faut forcer la
    vérification d'un certificat de serveur lors de l'établissement
    d'une connexion SSL avec un serveur LDAP.</p>

</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ldap.html" title="Français">&nbsp;fr&nbsp;</a></p>
</div><div id="footer">
<p class="apache">Copyright 2009 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div>
</body></html>