1 <?xml version="1.0" encoding="ISO-8859-1"?>
2 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
3 <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5 This file is generated from xml source: DO NOT EDIT
6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
8 <title>mod_ldap - Serveur Apache HTTP</title>
9 <link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
10 <link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
11 <link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
12 <script src="../style/scripts/prettify.js" type="text/javascript">
15 <link href="../images/favicon.ico" rel="shortcut icon" /></head>
17 <div id="page-header">
18 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
19 <p class="apache">Serveur Apache HTTP Version 2.5</p>
20 <img alt="" src="../images/feather.gif" /></div>
21 <div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
23 <a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.5</a> > <a href="./">Modules</a></div>
24 <div id="page-content">
25 <div id="preamble"><h1>Module Apache mod_ldap</h1>
27 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
28 <a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
30 <div class="outofdate">Cette traduction peut être périmée. Vérifiez la version
31 anglaise pour les changements récents.</div>
32 <table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en
33 cache du résultat à destination des autres modules LDAP</td></tr>
34 <tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
35 <tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ldap_module</td></tr>
36 <tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>util_ldap.c</td></tr>
37 <tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.0.41
38 d'Apache</td></tr></table>
41 <p>Ce module a été conçu dans le but d'améliorer les performances
42 des sites web s'appuyant sur des connexions en arrière-plan vers des
43 serveurs LDAP. Il ajoute aux fonctions fournies par les
44 bibliothèques standards LDAP la conservation des connexions LDAP
45 ainsi qu'un cache LDAP partagé en mémoire.</p>
47 <p>Pour activer ce module, le support LDAP doit être compilé dans
48 apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
49 au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit
52 <p>Le support SSL/TLS est conditionné par le kit de développement
53 LDAP qui a été lié à <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment où ces
54 lignes sont écrites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
55 supérieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
56 SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
57 Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
58 Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a href="http://www.iplanet.com/downloads/developer/">iPlanet
59 (Netscape)</a>. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de détails.</p>
62 <div id="quickview"><h3 class="directives">Directives</h3>
64 <li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li>
65 <li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li>
66 <li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectionpoolttl">LDAPConnectionPoolTTL</a></li>
67 <li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li>
68 <li><img alt="" src="../images/down.gif" /> <a href="#ldaplibrarydebug">LDAPLibraryDebug</a></li>
69 <li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li>
70 <li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li>
71 <li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li>
72 <li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li>
73 <li><img alt="" src="../images/down.gif" /> <a href="#ldapretries">LDAPRetries</a></li>
74 <li><img alt="" src="../images/down.gif" /> <a href="#ldapretrydelay">LDAPRetryDelay</a></li>
75 <li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li>
76 <li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li>
77 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptimeout">LDAPTimeout</a></li>
78 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li>
79 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li>
80 <li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li>
81 <li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li>
85 <li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li>
86 <li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li>
87 <li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li>
88 <li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li>
89 <li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li>
90 </ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
91 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
93 <h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2>
94 <p>Ce qui suit est un exemple de configuration qui utilise
95 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour améliorer les performances de
96 l'authentification HTTP de base fournie par
97 <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p>
99 <div class="example"><p><code>
100 # Active la conservation des connexions LDAP et le cache partagé en<br />
101 # mémoire. Active le gestionnaire de statut du cache LDAP.<br />
102 # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
103 # Remplacez "votre-domaine.example.com" par le nom de votre<br />
106 LDAPSharedCacheSize 500000<br />
107 LDAPCacheEntries 1024<br />
108 LDAPCacheTTL 600<br />
109 LDAPOpCacheEntries 1024<br />
110 LDAPOpCacheTTL 600<br />
112 <Location /statut-ldap><br />
113 <span class="indent">
114 SetHandler ldap-status<br />
116 Require host votre-domaine.example.com<br />
120 AuthName "Protégé par LDAP"<br />
121 AuthBasicProvider ldap<br />
122 AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one<br />
123 Require valid-user<br />
127 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
128 <div class="section">
129 <h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2>
131 <p>Les connexions LDAP sont conservées de requête en requête. Ceci
132 permet de rester connecté et identifié au serveur LDAP, ce dernier
133 étant ainsi prêt pour la prochaine requête, sans avoir à se
134 déconnecter, reconnecter et réidentifier. Le gain en performances
135 est similaire à celui des connexions persistantes (keepalives)
138 <p>Sur un serveur très sollicité, il est possible que de nombreuses
139 requêtes tentent d'accéder simultanément à la même connexion au
140 serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
141 une deuxième en parallèle à la première, ce qui permet d'éviter que
142 le système de conservation des connexions ne devienne un goulot
145 <p>Il n'est pas nécessaire d'activer explicitement la conservation
146 des connexions dans la configuration d'Apache. Tout module utilisant
147 le module ldap pour accéder aux services LDAP partagera le jeu de
150 <p>Les connexions LDAP peuvent garder la trace des données
151 d'identification du client ldap utilisées pour l'identification
152 auprès du serveur LDAP. Ces données peuvent être fournies aux
153 serveurs LDAP qui ne permettent pas les connexions anonymes au cours
154 lors des tentatives de sauts vers des serveurs alternatifs. Pour
155 contrôler cette fonctionnalité, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette
156 fonctionnalité est activée par défaut.</p>
157 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
158 <div class="section">
159 <h2><a name="cache" id="cache">Cache LDAP</a></h2>
161 <p>Pour améliorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en
162 oeuvre une stratégie de mise en cache agressive visant à minimiser
163 le nombre de fois que le serveur LDAP doit être contacté. La mise en
164 cache peut facilement doubler et même tripler le débit d'Apache
165 lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
166 serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
168 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache
169 LDAP : un <em>cache recherche/identification</em> durant la phase
170 de recherche/identification et deux <em>caches d'opérations</em>
171 durant la phase de comparaison. Chaque URL LDAP utilisée par le
172 serveur a son propre jeu d'instances dans ces trois caches.</p>
174 <h3><a name="search-bind" id="search-bind">Le cache
175 recherche/identification</a></h3>
176 <p>Les processus de recherche et d'identification sont les
177 opérations LDAP les plus consommatrices en temps, en particulier
178 si l'annuaire est de grande taille. Le cache de
179 recherche/identification met en cache toutes les recherches qui
180 ont abouti à une identification positive. Les résultats négatifs
181 (c'est à dire les recherches sans succès, ou les recherches qui
182 n'ont pas abouti à une identification positive) ne sont pas mis en
183 cache. La raison de cette décision réside dans le fait que les
184 connexions avec des données d'identification invalides ne
185 représentent qu'un faible pourcentage du nombre total de
186 connexions, et ainsi, le fait de ne pas mettre en cache les
187 données d'identification invalides réduira d'autant la taille du
190 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le
191 DN extrait, le mot de passe utilisé pour l'identification, ainsi
192 que l'heure de l'identification. Chaque fois qu'une nouvelle
193 connexion est initialisée avec le même nom d'utilisateur,
194 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle
195 connexion avec le mot de passe enregistré dans le cache. Si les
196 mots de passe correspondent, et si l'entrée du cache n'est pas
197 trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase
198 de recherche/identification.</p>
200 <p>Le cache de recherche/identification est contrôlé par les
201 directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p>
204 <h3><a name="opcaches" id="opcaches">Les caches d'opérations</a></h3>
205 <p>Au cours des opérations de comparaison d'attributs et de noms
206 distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches
207 d'opérations pour mettre en cache les opérations de comparaison.
208 Le premier cache de comparaison sert à mettre en cache les
209 résultats de comparaisons effectuées pour vérifier l'appartenance
210 à un groupe LDAP. Le second cache de comparaison sert à mettre en
211 cache les résultats de comparaisons entre DNs.</p>
213 <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
214 toute comparaison de sous-groupes est mise en cache afin
215 d'accélérer les comparaisons de sous-groupes ultérieures.</p>
217 <p>Le comportement de ces deux caches est contrôlé par les
218 directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p>
221 <h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3>
222 <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> possède un gestionnaire de contenu
223 qui permet aux administrateurs de superviser les performances du
224 cache. Le nom du gestionnaire de contenu est
225 <code>ldap-status</code>, et on peut utiliser les directives
226 suivantes pour accéder aux informations du cache de
227 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p>
229 <div class="example"><p><code>
230 <Location /serveur/infos-cache><br />
231 <span class="indent">
232 SetHandler ldap-status<br />
237 <p>En se connectant à l'URL
238 <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
239 obtenir un rapport sur le statut de chaque cache qu'utilise
240 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la
241 mémoire partagée, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code>
242 possèdera son propre cache, et chaque fois que l'URL sera
243 rechargée, un résultat différent pourra être affiché, en fonction
244 de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la
247 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
248 <div class="section">
249 <h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2>
251 <p>La possibilité de créer des connexions SSL et TLS avec un serveur
252 LDAP est définie par les directives <code class="directive"><a href="# ldaptrustedglobalcert">
253 LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="# ldaptrustedclientcert">
254 LDAPTrustedClientCert</a></code> et <code class="directive"><a href="# ldaptrustedmode">
255 LDAPTrustedMode</a></code>. Ces directives permettent de spécifier
256 l'autorité de certification (CA), les certificats clients éventuels,
257 ainsi que le type de chiffrement à utiliser pour la connexion (none,
258 SSL ou TLS/STARTTLS).</p>
260 <div class="example"><p><code>
261 # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
262 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
263 # Remplacez "votre-domaine.example.com" par le nom de votre<br />
266 LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
268 <Location /statut-ldap><br />
269 <span class="indent">
270 SetHandler ldap-status<br />
272 Require host votre-domaine.example.com<br />
276 AuthName "Protégé par LDAP"<br />
277 AuthBasicProvider ldap<br />
278 AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
279 Require valid-user<br />
284 <div class="example"><p><code>
285 # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
286 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
287 # Remplacez "votre-domaine.example.com" par le nom de votre<br />
290 LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
292 <Location /statut-ldap><br />
293 <span class="indent">
294 SetHandler ldap-status<br />
296 Require host votre-domaine.example.com<br />
300 AuthName "Protégé par LDAP"<br />
301 AuthBasicProvider ldap<br />
302 AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS<br />
303 Require valid-user<br />
308 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
309 <div class="section">
310 <h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2>
312 <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
313 définir et gérer les certificats des clients et des autorités de
314 certification (CA).</p>
316 <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
317 section ATTENTIVEMENT de façon à bien comprendre les différences de
318 configurations entre les différents SDKs LDAP supportés.</p>
320 <h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3>
321 <p>Les certificat de CA sont enregistrés dans un fichier nommé
322 cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
323 certificat n'a pas été signé par une CA spécifiée dans ce
324 fichier. Si des certificats clients sont requis, un fichier
325 key3.db ainsi qu'un mot de passe optionnels peuvent être
326 spécifiés. On peut aussi spécifier le fichier secmod si
327 nécessaire. Ces fichiers sont du même format que celui utilisé
328 par les navigateurs web Netscape Communicator ou Mozilla. Le
329 moyen le plus simple pour obtenir ces fichiers consiste à les
330 extraire de l'installation de votre navigateur.</p>
332 <p>Les certificats clients sont spécifiés pour chaque connexion
333 en utilisant la directive LDAPTrustedClientCert et en se
334 référant au certificat "nickname". On peut éventuellement
335 spécifier un mot de passe pour déverrouiller la clé privée du
338 <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
339 de STARTTLS engendrera une erreur lors des tentatives de
340 contacter le serveur LDAP pendant l'exécution.</p>
342 <div class="example"><p><code>
343 # Spécifie un fichier de certificats de CA Netscape<br />
344 LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
345 # Spécifie un fichier key3db optionnel pour le support des
346 # certificats clients<br />
347 LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
348 # Spécifie le fichier secmod si nécessaire<br />
349 LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
350 <Location /statut-ldap><br />
351 <span class="indent">
352 SetHandler ldap-status<br />
354 Require host votre-domaine.example.com<br />
358 AuthName "Protégé par LDAP"<br />
359 AuthBasicProvider ldap<br />
360 LDAPTrustedClientCert CERT_NICKNAME <nickname>
362 AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
363 Require valid-user<br />
370 <h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3>
372 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
373 que le SDK Novell fonctionne correctement. Ces certificats
374 peuvent être spécifiés sous forme de fichiers au format binaire
375 DER ou codés en Base64 (PEM).</p>
377 <p>Note: Les certificats clients sont spécifiés globalement
378 plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
379 de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
380 des certificats clients via la directive LDAPTrustedClientCert
381 engendrera une erreur qui sera journalisée, au moment de la
382 tentative de connexion avec le serveur LDAP.</p>
384 <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
385 paramètre de la directive LDAPTrustedMode. Si une URL de type
386 ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
389 <div class="example"><p><code>
390 # Spécifie deux fichiers contenant des certificats de CA<br />
391 LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
392 LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
393 # Spécifie un fichier contenant des certificats clients
394 # ainsi qu'une clé<br />
395 LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
396 LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
398 # N'utilisez pas cette directive, sous peine de provoquer
400 #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
405 <h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3>
407 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
408 que le SDK OpenLDAP fonctionne correctement. Ces certificats
409 peuvent être spécifiés sous forme de fichiers au format binaire
410 DER ou codés en Base64 (PEM).</p>
412 <p>Les certificats clients sont spécifiés pour chaque connexion
413 à l'aide de la directive LDAPTrustedClientCert.</p>
415 <p>La documentation du SDK prétend que SSL et STARTTLS sont
416 supportés ; cependant, STARTTLS semble ne pas fonctionner avec
417 toutes les versions du SDK. Le mode SSL/TLS peut être défini en
418 utilisant le paramètre de la directive LDAPTrustedMode. Si une
420 ldaps:// est spécifiée, le mode SSL est forcé. La documentation
421 OpenLDAP indique que le support SSL (ldaps://) tend à être
422 remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
424 <div class="example"><p><code>
425 # Spécifie deux fichiers contenant des certificats de CA<br />
426 LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
427 LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
428 <Location /statut-ldap><br />
429 <span class="indent">
430 SetHandler ldap-status<br />
432 Require host votre-domaine.example.com<br />
434 LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
435 LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
438 AuthName "Protégé par LDAP"<br />
439 AuthBasicProvider ldap<br />
440 AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
441 Require valid-user<br />
448 <h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3>
450 <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
451 pas encore supporté. Si nécessaire, installez et utilisez plutôt
452 les bibliothèques OpenLDAP.</p>
456 <h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3>
458 <p>La configuration des certificats SSL/TLS pour les
459 bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
460 du registre système, et aucune directive de configuration n'est
463 <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
464 type ldaps://, ou en définissant la directive LDAPTrustedMode à
467 <p>Note: L'état du support des certificats clients n'est pas
468 encore connu pour ce SDK.</p>
473 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
474 <div class="directive-section"><h2><a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a> <a name="ldapcacheentries" id="ldapcacheentries">Directive</a></h2>
475 <table class="directive">
476 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entrées dans le cache LDAP
478 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr>
479 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr>
480 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
481 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
482 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
484 <p>Cette directive permet de spécifier la taille maximale du cache
485 LDAP primaire. Ce cache contient les résultats de
486 recherche/identification positifs. Définissez-la à 0 pour désactiver
487 la mise en cache des résultats de recherche/identification positifs.
488 La taille par défaut est de 1024 recherches en cache.</p>
491 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
492 <div class="directive-section"><h2><a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a> <a name="ldapcachettl" id="ldapcachettl">Directive</a></h2>
493 <table class="directive">
494 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache restent
496 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr>
497 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr>
498 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
499 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
500 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
502 <p>Cette directive permet de spécifier la durée (en secondes)
503 pendant laquelle une entrée du cache de recherche/identification
504 reste valide. La valeur par défaut est de 600 secondes (10
508 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
509 <div class="directive-section"><h2><a name="LDAPConnectionPoolTTL" id="LDAPConnectionPoolTTL">LDAPConnectionPoolTTL</a> <a name="ldapconnectionpoolttl" id="ldapconnectionpoolttl">Directive</a></h2>
510 <table class="directive">
511 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Désactive les connexions d'arrière-plan qui sont restées
512 inactives trop longtemps au sein du jeu de connexions.</td></tr>
513 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionPoolTTL <var>n</var></code></td></tr>
514 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPConnectionPoolTTL -1</code></td></tr>
515 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
516 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
517 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
518 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.3.12 du serveur HTTP
521 <p>Cette directive permet de spécifier la durée maximale, en
522 secondes, pendant laquelle une connexion LDAP du jeu de connexions
523 peut demeurer inactive, mais rester quand-même disponible pour une
524 utilisation éventuelle. Le jeu de connexions est nettoyé au fur et à
525 mesure des besoins, de manière non asynchrone.</p>
527 <p>Si cette directive est définie à 0, les connexions ne sont jamais
528 sauvegardées dans le jeu de connexions d'arrière-plan. Avec la
529 valeur par défaut -1, ou toute autre valeur négative, les connexions
530 peuvent être réutilisées sans limite de durée.</p>
532 <div class="note"><p>Cette durée de vie s'exprime par défaut en secondes, mais
533 il est possible d'utiliser d'autres unités en ajoutant un suffixe :
534 millisecondes (ms), minutes (min), ou heures (h).
538 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
539 <div class="directive-section"><h2><a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a> <a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a></h2>
540 <table class="directive">
541 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente en secondes de la socket de
543 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr>
544 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
545 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
546 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
548 <p>Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou
549 LDAP_OPT_CONNECT_TIMEOUT) dans la bibliothèque client LDAP
550 sous-jacente, si elle est disponible. Cette valeur représente la
551 durée pendant laquelle la bibliothèque client LDAP va attendre que
552 le processus de connexion TCP au serveur LDAP soit achevé.</p>
554 <p>Si la connexion n'a pas réussi avant ce délai, une erreur sera
555 renvoyée, ou la bibliothèque client LDAP tentera de se connecter à
556 un second serveur LDAP, s'il en a été défini un (via une liste de
557 noms d'hôtes séparés par des espaces dans la directive <code class="directive"><a href="../mod/mod_authnz_ldap.html#authldapurl">AuthLDAPURL</a></code>).</p>
559 <p>La valeur par défaut est 10 secondes, si la bibliothèque client
560 LDAP liée avec le serveur supporte l'option
561 LDAP_OPT_NETWORK_TIMEOUT.</p>
563 <div class="note">LDAPConnectionTimeout n'est disponible que si la bibliothèque client
564 LDAP liée avec le serveur supporte l'option
565 LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le
566 comportement final est entièrement dicté par la bibliothèque client
571 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
572 <div class="directive-section"><h2><a name="LDAPLibraryDebug" id="LDAPLibraryDebug">LDAPLibraryDebug</a> <a name="ldaplibrarydebug" id="ldaplibrarydebug">Directive</a></h2>
573 <table class="directive">
574 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active le débogage dans le SDK LDAP</td></tr>
575 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPLibraryDebug <var>7</var></code></td></tr>
576 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>disabled</code></td></tr>
577 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
578 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
579 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
581 <p>Active les options de débogage LDAP spécifiques au SDK, qui
582 entraînent en général une journalisation d'informations verbeuses du
583 SDK LDAP dans le journal principal des erreurs d'Apache. Les
584 messages de traces en provenance du SDK LDAP fournissent des
585 informations très détaillées qui peuvent s'avérer utiles lors du
586 débogage des problèmes de connexion avec des serveurs LDAP
589 <p>Cette option n'est configurable que lorsque le serveur HTTP
590 Apache est lié avec un SDK LDAP qui implémente
591 <code>LDAP_OPT_DEBUG</code> ou <code>LDAP_OPT_DEBUG_LEVEL</code>,
592 comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory
593 Server (une valeur de 65535 est verbeuse).</p>
595 <div class="warning">
596 <p>Les informations journalisées peuvent contenir des données
597 d'authentification en clair utilisées ou validées lors de
598 l'authentification LDAP ; vous devez donc prendre soin de protéger
599 et de purger le journal des erreurs lorsque cette directive est
605 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
606 <div class="directive-section"><h2><a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a> <a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a></h2>
607 <table class="directive">
608 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entrées utilisées pour mettre en cache les
609 opérations de comparaison LDAP</td></tr>
610 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr>
611 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr>
612 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
613 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
614 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
616 <p>Cette directive permet de spécifier le nombre d'entrées que
617 <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les
618 opérations de comparaison LDAP. La valeur par défaut est de 1024
619 entrées. Si elle est définie à 0, la mise en cache des opérations de
620 comparaison LDAP est désactivée.</p>
623 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
624 <div class="directive-section"><h2><a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a> <a name="ldapopcachettl" id="ldapopcachettl">Directive</a></h2>
625 <table class="directive">
626 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache d'opérations
627 restent valides</td></tr>
628 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr>
629 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr>
630 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
631 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
632 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
634 <p>Cette directive permet de spécifier la durée (en secondes)
635 pendant laquelle les entrées du cache d'opérations restent valides.
636 La valeur par défaut est de 600 secondes.</p>
639 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
640 <div class="directive-section"><h2><a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a> <a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a></h2>
641 <table class="directive">
642 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs
643 alternatifs (referrals) avant l'abandon de la requête
645 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr>
646 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>Dépend du SDK, en général entre 5 et 10</code></td></tr>
647 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
648 <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
649 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
650 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
652 <p>Si elle est activée par la directive <code>LDAPReferrals</code>,
653 cette directive permet de définir le nombre maximum de sauts vers
654 des serveurs alternatifs (referrals) avant l'abandon de la requête
657 <div class="warning">
658 <p>L'ajustement de ce paramètre n'est pas commun à tous les SDKs LDAP.</p>
662 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
663 <div class="directive-section"><h2><a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a> <a name="ldapreferrals" id="ldapreferrals">Directive</a></h2>
664 <table class="directive">
665 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au
666 cours des requêtes vers le serveur LDAP.</td></tr>
667 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off</var></code></td></tr>
668 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferrals On</code></td></tr>
669 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
670 <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
671 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
672 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
674 <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
675 domaines et utilisent le système des redirections (referrals) pour
676 aiguiller un client lorsque les limites d'un domaine doivent être
677 franchies. En définissant <code>LDAPReferrals On</code>, les
678 redirections seront prises en compte (et bien entendu, en
679 définissant <code>LDAPReferrals Off</code>, les redirections seront
680 ignorées). La directive <code>LDAPReferralHopLimit</code> complète
681 cette directive en définissant le nombre maximum de redirections à
682 suivre avant l'abandon de la requête LDAP. Lorsque le traitement des
683 redirections est activé, les données d'identification du client
684 seront fournies, via un appel (callback) de réidentification, à tout
685 serveur LDAP qui en fera la demande.</p>
688 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
689 <div class="directive-section"><h2><a name="LDAPRetries" id="LDAPRetries">LDAPRetries</a> <a name="ldapretries" id="ldapretries">Directive</a></h2>
690 <table class="directive">
691 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nombre maximum de tentatives de connexions au
692 serveur LDAP.</td></tr>
693 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetries <var>nombre d'essais</var></code></td></tr>
694 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPRetries 3</code></td></tr>
695 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
696 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
697 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
699 <p>Suite à des échecs de connexion au serveur LDAP, le serveur
700 tentera de se connecter autant de fois qu'indiqué par la directive
701 <code class="directive">LDAPRetries</code>. Si cette directive est définie à
702 0, le serveur ne tentera pas d'autre connexion après un échec.</p>
703 <p>Il est possible d'effectuer une autre tentative de connexion en
704 cas d'erreurs LDAP du type délai dépassé ou connexion refusée. </p>
707 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
708 <div class="directive-section"><h2><a name="LDAPRetryDelay" id="LDAPRetryDelay">LDAPRetryDelay</a> <a name="ldapretrydelay" id="ldapretrydelay">Directive</a></h2>
709 <table class="directive">
710 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le temps d'attente avant un autre essai de connexion au
711 serveur LDAP.</td></tr>
712 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPRetryDelay <var>secondes</var></code></td></tr>
713 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPRetryDelay 0</code></td></tr>
714 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
715 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
716 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
718 <p>Si la directive <code class="directive">LDAPRetryDelay</code> est définie
719 à une valeur différente de 0, le serveur attendra pendant la durée
720 spécifiée pour envoyer à nouveau sa requête LDAP. Une valeur de 0
721 implique une absence de délai pour les essais successifs.</p>
723 <p>Il est possible d'effectuer une autre tentative de connexion en
724 cas d'erreurs LDAP du type délai dépassé ou connexion refusée. </p>
727 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
728 <div class="directive-section"><h2><a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a> <a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a></h2>
729 <table class="directive">
730 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le fichier du cache en mémoire
732 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin/nom-fichier</var></code></td></tr>
733 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
734 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
735 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
737 <p>Cette directive permet de spécifier le chemin et le nom du
738 fichier du cache en mémoire partagée. Si elle n'est pas définie, la
739 mémoire partagée anonyme sera utilisée si la plate-forme la
743 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
744 <div class="directive-section"><h2><a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a> <a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a></h2>
745 <table class="directive">
746 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en mémoire partagée</td></tr>
747 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr>
748 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPSharedCacheSize 500000</code></td></tr>
749 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
750 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
751 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
753 <p>Cette directive permet de spécifier le nombre d'octets à allouer
754 pour le cache en mémoire partagée. La valeur par
756 Si elle est définie à 0, le cache en mémoire partagée ne sera pas
757 utilisé et chaque processus HTTPD va créer son propre cache.</p>
760 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
761 <div class="directive-section"><h2><a name="LDAPTimeout" id="LDAPTimeout">LDAPTimeout</a> <a name="ldaptimeout" id="ldaptimeout">Directive</a></h2>
762 <table class="directive">
763 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente pour les opérations de
764 recherche et d'identification LDAP en secondes</td></tr>
765 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTimeout <var>secondes</var></code></td></tr>
766 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPTimeout 60</code></td></tr>
767 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
768 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
769 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
770 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.3.5 du serveur HTTP
773 <p>Cette directive permet de spécifier le délai d'attente pour les
774 opérations de recherche et d'identification, ainsi que l'option
775 LDAP_OPT_TIMEOUT dans la bibliothèque LDAP client sous-jacente,
776 lorsqu'elle est disponible.</p>
778 <p>Lorsque le délai est atteint, httpd va refaire un essai dans le
779 cas où une connexion existante a été silencieusement fermée par un
780 pare-feu. Les performances seront cependant bien meilleures si le
781 pare-feu est configuré pour envoyer des paquets TCP RST au lieu de
782 rejeter silencieusement les paquets.</p>
785 <p>Les délais pour les opérations de comparaison LDAP nécessitent un
786 SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP >= 2.4.4.</p>
791 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
792 <div class="directive-section"><h2><a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a> <a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a></h2>
793 <table class="directive">
794 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier contenant un certificat client ou
795 un alias renvoyant vers un certificat client spécifique à une connexion.
796 Tous les SDK LDAP ne supportent pas les certificats clients par
798 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var>
799 <var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr>
800 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
801 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
802 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
804 <p>Cette directive permet de spécifier le chemin et le nom de
805 fichier ou l'alias d'un certificat client par connexion utilisé lors
806 de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
807 Les sections directory ou location peuvent posséder leurs propres
808 configurations de certificats clients. Certains SDK LDAP (en
809 particulier Novell) ne supportent pas les certificats clients par
810 connexion, et renvoient une erreur lors de la connexion au serveur
811 LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
812 la directive LDAPTrustedGlobalCert pour les certificats clients sous
813 Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
814 de détails). Le paramètre type spécifie le type du certificat en
815 cours de définition, en fonction du SDK LDAP utilisé. Les types
818 <li>CA_DER - certificat de CA codé en binaire DER</li>
819 <li>CA_BASE64 - certificat de CA codé en PEM</li>
820 <li>CERT_DER - certificat client codé en binaire DER</li>
821 <li>CERT_BASE64 - certificat client codé en PEM</li>
822 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
823 <li>KEY_DER - clé privée codée en binaire DER</li>
824 <li>KEY_BASE64 - clé privée codée en PEM</li>
828 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
829 <div class="directive-section"><h2><a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a> <a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a></h2>
830 <table class="directive">
831 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier ou la base de données contenant
832 les Autorités de Certification de confiance globales ou les certificats
833 clients globaux</td></tr>
834 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var>
835 <var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr>
836 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
837 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
838 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
840 <p>Cette directive permet de spécifier le chemin et le nom du
841 fichier contenant les certificats des CA de confiance et/ou les
842 certificats clients du système global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>
843 utilisera pour établir une connexion SSL ou TLS avec un serveur
844 LDAP. Notez que toute information relative aux certificats spécifiée
845 en utilisant cette directive s'applique globalement à l'ensemble de
846 l'installation du serveur. Certains SDK LDAP (en particulier Novell)
847 nécessitent la définition globale de tous les certificats clients en
848 utilisant cette directive. La plupart des autres SDK nécessitent la
849 définition des certificats clients dans une section Directory ou
850 Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
851 définissez pas ces directives correctement, une erreur sera générée
852 lors des tentatives de contact avec un serveur LDAP, ou la connexion
853 échouera silencieusement (Voir plus haut le guide des certificats
854 SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
855 certificat en cours de définition, en fonction du SDK LDAP utilisé.
856 Les types supportés sont :</p>
858 <li>CA_DER - certificat de CA codé en binaire DER</li>
859 <li>CA_BASE64 - certificat de CA codé en PEM</li>
860 <li>CA_CERT7_DB - fichier de base de données des certificats de CA
861 de Netscape cert7.db</li>
862 <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
863 <li>CERT_DER - certificat client codé en binaire DER</li>
864 <li>CERT_BASE64 - certificat client codé en PEM</li>
865 <li>CERT_KEY3_DB - fichier de base de données des certificats
866 clients de Netscape key3.db</li>
867 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
868 <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
869 <li>KEY_DER - clé privée codée en binaire DER</li>
870 <li>KEY_BASE64 - clé privée codée en PEM</li>
871 <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
875 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
876 <div class="directive-section"><h2><a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a> <a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a></h2>
877 <table class="directive">
878 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le mode (SSL ou TLS) à utiliser lors de la
879 connexion à un serveur LDAP.</td></tr>
880 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr>
881 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
882 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
883 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
885 <p>Les modes suivants sont supportés :</p>
887 <li>NONE - aucun chiffrement</li>
888 <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
889 <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
892 <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
893 Un message d'erreur sera généré à l'exécution si un mode n'est pas
894 supporté, et la connexion au serveur LDAP échouera.
897 <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
898 SSL et la définition de LDAPTrustedMode est ignorée.</p>
901 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
902 <div class="directive-section"><h2><a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a> <a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a></h2>
903 <table class="directive">
904 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la vérification du certificat du
906 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr>
907 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr>
908 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
909 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
910 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
912 <p>Cette directive permet de spécifier s'il faut forcer la
913 vérification d'un certificat de serveur lors de l'établissement
914 d'une connexion SSL avec un serveur LDAP.</p>
918 <div class="bottomlang">
919 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
920 <a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
921 </div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>This section is experimental!</strong><br />Comments placed here should not be expected
922 to last beyond the testing phase of this system, nor do we in any way guarantee that we'll read them.</div>
923 <script type="text/javascript"><!--//--><![CDATA[//><!--
925 var disqus_shortname = 'httpd';
926 var disqus_identifier = window.location.href.replace(/(current|trunk)/, "2.4").replace(/\/[a-z]{2}\//, "/").replace(window.location.protocol, "http:") + '.' + lang;
927 if (disqus_identifier.indexOf("httpd.apache.org") == -1) {
928 document.write('<div id="disqus_thread">\n</div>');
930 var dsq = document.createElement('script'); dsq.type = 'text/javascript'; dsq.async = true;
931 dsq.src = window.location.protocol + '//' + disqus_shortname + '.disqus.com/embed.js';
932 (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq);
935 document.write("Comments have been disabled for offline viewing.");
937 //--><!]]></script></div><div id="footer">
938 <p class="apache">Copyright 2012 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
939 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
940 if (typeof(prettyPrint) !== undefined) {