2 <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
3 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
4 <!-- English Revision : 695883 -->
5 <!-- French translation : Lucien GENTIS -->
6 <!-- Reviewed by : Vincent Deffontaines -->
10 Licensed to the Apache Software Foundation (ASF) under one or more
11 contributor license agreements. See the NOTICE file distributed with
12 this work for additional information regarding copyright ownership.
13 The ASF licenses this file to You under the Apache License, Version 2.0
14 (the "License"); you may not use this file except in compliance with
15 the License. You may obtain a copy of the License at
17 http://www.apache.org/licenses/LICENSE-2.0
19 Unless required by applicable law or agreed to in writing, software
20 distributed under the License is distributed on an "AS IS" BASIS,
21 WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
22 See the License for the specific language governing permissions and
23 limitations under the License.
26 <modulesynopsis metafile="mod_ldap.xml.meta">
29 <description>Conservation des connexions LDAP et services de mise en
30 cache du résultat à destination des autres modules LDAP</description>
31 <status>Extension</status>
32 <sourcefile>util_ldap.c</sourcefile>
33 <identifier>ldap_module</identifier>
34 <compatibility>Disponible à partir de la version 2.0.41
35 d'Apache</compatibility>
38 <p>Ce module a été conçu dans le but d'améliorer les performances
39 des sites web s'appuyant sur des connexions en arrière-plan vers des
40 serveurs LDAP. Il ajoute aux fonctions fournies par les
41 bibliothèques standards LDAP la conservation des connexions LDAP
42 ainsi qu'un cache LDAP partagé en mémoire.</p>
44 <p>Pour activer ce module, le support LDAP doit être compilé dans
45 apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
46 au script <program>configure</program> lorsqu'on construit
49 <p>Le support SSL/TLS est conditionné par le kit de développement
50 LDAP qui a été lié à <glossary>APR</glossary>. Au moment où ces
51 lignes sont écrites, APR-util supporte <a
52 href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
53 supérieure), <a
54 href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
55 SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
56 Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
57 Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a
58 href="http://www.iplanet.com/downloads/developer/">iPlanet
59 (Netscape)</a>. Voir le site web <a
60 href="http://apr.apache.org">APR</a> pour plus de détails.</p>
64 <section id="exampleconfig"><title>Exemple de configuration</title>
65 <p>Ce qui suit est un exemple de configuration qui utilise
66 <module>mod_ldap</module> pour améliorer les performances de
67 l'authentification HTTP de base fournie par
68 <module>mod_authnz_ldap</module>.</p>
71 # Active la conservation des connexions LDAP et le cache partagé en<br />
72 # mémoire. Active le gestionnaire de statut du cache LDAP.<br />
73 # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
74 # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
77 LDAPSharedCacheSize 200000<br />
78 LDAPCacheEntries 1024<br />
79 LDAPCacheTTL 600<br />
80 LDAPOpCacheEntries 1024<br />
81 LDAPOpCacheTTL 600<br />
83 <Location /statut-ldap><br />
85 SetHandler ldap-status<br />
86 Order deny,allow<br />
88 Allow from votre-domaine.exemple.com<br />
91 AuthName "Protégé par LDAP"<br />
92 AuthBasicProvider ldap<br />
93 AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br />
94 Require valid-user<br />
100 <section id="pool"><title>Conservation des connexions LDAP</title>
102 <p>Les connexions LDAP sont conservées de requête en requête. Ceci
103 permet de rester connecté et identifié au serveur LDAP, ce dernier
104 étant ainsi prêt pour la prochaine requête, sans avoir à se
105 déconnecter, reconnecter et réidentifier. Le gain en performances
106 est similaire à celui des connexions persistantes (keepalives)
109 <p>Sur un serveur très sollicité, il est possible que de nombreuses
110 requêtes tentent d'accéder simultanément à la même connexion au
111 serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
112 une deuxième en parallèle à la première, ce qui permet d'éviter que
113 le système de conservation des connexions ne devienne un goulot
114 d'étranglement.</p>
116 <p>Il n'est pas nécessaire d'activer explicitement la conservation
117 des connexions dans la configuration d'Apache. Tout module utilisant
118 le module ldap pour accéder aux services LDAP partagera le jeu de
121 <p>Les connexions LDAP peuvent garder la trace des données
122 d'identification du client ldap utilisées pour l'identification
123 auprès du serveur LDAP. Ces données peuvent être fournies aux
124 serveurs LDAP qui ne permettent pas les connexions anonymes au cours
125 lors des tentatives de sauts vers des serveurs alternatifs. Pour
126 contrôler cette fonctionnalité, voir les directives <directive
127 module="mod_ldap">LDAPReferrals</directive> et <directive
128 module="mod_ldap">LDAPReferralHopLimit</directive>. Cette
129 fonctionnalité est activée par défaut.</p>
132 <section id="cache"><title>Cache LDAP</title>
134 <p>Pour améliorer les performances, <module>mod_ldap</module> met en
135 oeuvre une stratégie de mise en cache agressive visant à minimiser
136 le nombre de fois que le serveur LDAP doit être contacté. La mise en
137 cache peut facilement doubler et même tripler le débit d'Apache
138 lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
139 serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
141 <p><module>mod_ldap</module> supporte deux types de mise en cache
142 LDAP : un <em>cache recherche/identification</em> durant la phase
143 de recherche/identification et deux <em>caches d'opérations</em>
144 durant la phase de comparaison. Chaque URL LDAP utilisée par le
145 serveur a son propre jeu d'instances dans ces trois caches.</p>
147 <section id="search-bind"><title>Le cache
148 recherche/identification</title>
149 <p>Les processus de recherche et d'identification sont les
150 opérations LDAP les plus consommatrices en temps, en particulier
151 si l'annuaire est de grande taille. Le cache de
152 recherche/identification met en cache toutes les recherches qui
153 ont abouti à une identification positive. Les résultats négatifs
154 (c'est à dire les recherches sans succès, ou les recherches qui
155 n'ont pas abouti à une identification positive) ne sont pas mis en
156 cache. La raison de cette décision réside dans le fait que les
157 connexions avec des données d'identification invalides ne
158 représentent qu'un faible pourcentage du nombre total de
159 connexions, et ainsi, le fait de ne pas mettre en cache les
160 données d'identification invalides réduira d'autant la taille du
163 <p><module>mod_ldap</module> met en cache le nom d'utilisateur, le
164 DN extrait, le mot de passe utilisé pour l'identification, ainsi
165 que l'heure de l'identification. Chaque fois qu'une nouvelle
166 connexion est initialisée avec le même nom d'utilisateur,
167 <module>mod_ldap</module> compare le mot de passe de la nouvelle
168 connexion avec le mot de passe enregistré dans le cache. Si les
169 mots de passe correspondent, et si l'entrée du cache n'est pas
170 trop ancienne, <module>mod_ldap</module> court-circuite la phase
171 de recherche/identification.</p>
173 <p>Le cache de recherche/identification est contrôlé par les
174 directives <directive
175 module="mod_ldap">LDAPCacheEntries</directive> et <directive
176 module="mod_ldap">LDAPCacheTTL</directive>.</p>
179 <section id="opcaches"><title>Les caches d'opérations</title>
180 <p>Au cours des opérations de comparaison d'attributs et de noms
181 distinctifs (DN), <module>mod_ldap</module> utilise deux caches
182 d'opérations pour mettre en cache les opérations de comparaison.
183 Le premier cache de comparaison sert à mettre en cache les
184 résultats de comparaisons effectuées pour vérifier l'appartenance
185 à un groupe LDAP. Le second cache de comparaison sert à mettre en
186 cache les résultats de comparaisons entre DNs.</p>
188 <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
189 toute comparaison de sous-groupes est mise en cache afin
190 d'accélérer les comparaisons de sous-groupes ultérieures.</p>
192 <p>Le comportement de ces deux caches est contrôlé par les
193 directives <directive
194 module="mod_ldap">LDAPOpCacheEntries</directive> et <directive
195 module="mod_ldap">LDAPOpCacheTTL</directive>.</p>
198 <section id="monitoring"><title>Superviser le cache</title>
199 <p><module>mod_ldap</module> possède un gestionnaire de contenu
200 qui permet aux administrateurs de superviser les performances du
201 cache. Le nom du gestionnaire de contenu est
202 <code>ldap-status</code>, et on peut utiliser les directives
203 suivantes pour accéder aux informations du cache de
204 <module>mod_ldap</module> :</p>
207 <Location /serveur/infos-cache><br />
209 SetHandler ldap-status<br />
214 <p>En se connectant à l'URL
215 <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
216 obtenir un rapport sur le statut de chaque cache qu'utilise
217 <module>mod_ldap</module>. Notez que si Apache ne supporte pas la
218 mémoire partagée, chaque instance de <program>httpd</program>
219 possèdera son propre cache, et chaque fois que l'URL sera
220 rechargée, un résultat différent pourra être affiché, en fonction
221 de l'instance de <program>httpd</program> qui traitera la
226 <section id="usingssltls"><title>Utiliser SSL/TLS</title>
228 <p>La possibilité de créer des connexions SSL et TLS avec un serveur
229 LDAP est définie par les directives <directive module="mod_ldap">
230 LDAPTrustedGlobalCert</directive>, <directive module="mod_ldap">
231 LDAPTrustedClientCert</directive> et <directive module="mod_ldap">
232 LDAPTrustedMode</directive>. Ces directives permettent de spécifier
233 l'autorité de certification (CA), les certificats clients éventuels,
234 ainsi que le type de chiffrement à utiliser pour la connexion (none,
235 SSL ou TLS/STARTTLS).</p>
238 # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
239 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
240 # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
243 LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
245 <Location /statut-ldap><br />
247 SetHandler ldap-status<br />
248 Order deny,allow<br />
250 Allow from votre-domaine.exemple.com<br />
253 AuthName "Protégé par LDAP"<br />
254 AuthBasicProvider ldap<br />
255 AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
256 Require valid-user<br />
262 # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
263 # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
264 # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
267 LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
269 <Location /statut-ldap><br />
271 SetHandler ldap-status<br />
272 Order deny,allow<br />
274 Allow from votre-domaine.exemple.com<br />
277 AuthName "Protégé par LDAP"<br />
278 AuthBasicProvider ldap<br />
279 AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br />
280 Require valid-user<br />
287 <section id="settingcerts"><title>Certificats SSL/TLS</title>
289 <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
290 définir et gérer les certificats des clients et des autorités de
291 certification (CA).</p>
293 <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
294 section ATTENTIVEMENT de façon à bien comprendre les différences de
295 configurations entre les différents SDKs LDAP supportés.</p>
297 <section id="settingcerts-netscape"><title>SDK Netscape/Mozilla/iPlanet</title>
298 <p>Les certificat de CA sont enregistrés dans un fichier nommé
299 cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
300 certificat n'a pas été signé par une CA spécifiée dans ce
301 fichier. Si des certificats clients sont requis, un fichier
302 key3.db ainsi qu'un mot de passe optionnels peuvent être
303 spécifiés. On peut aussi spécifier le fichier secmod si
304 nécessaire. Ces fichiers sont du même format que celui utilisé
305 par les navigateurs web Netscape Communicator ou Mozilla. Le
306 moyen le plus simple pour obtenir ces fichiers consiste à les
307 extraire de l'installation de votre navigateur.</p>
309 <p>Les certificats clients sont spécifiés pour chaque connexion
310 en utilisant la directive LDAPTrustedClientCert et en se
311 référant au certificat "nickname". On peut éventuellement
312 spécifier un mot de passe pour déverrouiller la clé privée du
315 <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
316 de STARTTLS engendrera une erreur lors des tentatives de
317 contacter le serveur LDAP pendant l'exécution.</p>
320 # Spécifie un fichier de certificats de CA Netscape<br />
321 LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
322 # Spécifie un fichier key3db optionnel pour le support des
323 # certificats clients<br />
324 LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
325 # Spécifie le fichier secmod si nécessaire<br />
326 LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
327 <Location /statut-ldap><br />
329 SetHandler ldap-status<br />
330 Order deny,allow<br />
332 Allow from votre-domaine.exemple.com<br />
335 AuthName "Protégé par LDAP"<br />
336 AuthBasicProvider ldap<br />
337 LDAPTrustedClientCert CERT_NICKNAME <nickname>
339 AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
340 Require valid-user<br />
347 <section id="settingcerts-novell"><title>SDK Novell</title>
349 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
350 que le SDK Novell fonctionne correctement. Ces certificats
351 peuvent être spécifiés sous forme de fichiers au format binaire
352 DER ou codés en Base64 (PEM).</p>
354 <p>Note: Les certificats clients sont spécifiés globalement
355 plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
356 de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
357 des certificats clients via la directive LDAPTrustedClientCert
358 engendrera une erreur qui sera journalisée, au moment de la
359 tentative de connexion avec le serveur LDAP.</p>
361 <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
362 paramètre de la directive LDAPTrustedMode. Si une URL de type
363 ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
367 # Spécifie deux fichiers contenant des certificats de CA<br />
368 LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
369 LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
370 # Spécifie un fichier contenant des certificats clients
371 # ainsi qu'une clé<br />
372 LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
373 LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
375 # N'utilisez pas cette directive, sous peine de provoquer
377 #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
382 <section id="settingcerts-openldap"><title>SDK OpenLDAP</title>
384 <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
385 que le SDK OpenLDAP fonctionne correctement. Ces certificats
386 peuvent être spécifiés sous forme de fichiers au format binaire
387 DER ou codés en Base64 (PEM).</p>
389 <p>Les certificats clients sont spécifiés pour chaque connexion
390 à l'aide de la directive LDAPTrustedClientCert.</p>
392 <p>La documentation du SDK prétend que SSL et STARTTLS sont
393 supportés ; cependant, STARTTLS semble ne pas fonctionner avec
394 toutes les versions du SDK. Le mode SSL/TLS peut être défini en
395 utilisant le paramètre de la directive LDAPTrustedMode. Si une
397 ldaps:// est spécifiée, le mode SSL est forcé. La documentation
398 OpenLDAP indique que le support SSL (ldaps://) tend à être
399 remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
402 # Spécifie deux fichiers contenant des certificats de CA<br />
403 LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
404 LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
405 <Location /statut-ldap><br />
407 SetHandler ldap-status<br />
408 Order deny,allow<br />
410 Allow from votre-domaine.exemple.com<br />
411 LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
412 LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
415 AuthName "Protégé par LDAP"<br />
416 AuthBasicProvider ldap<br />
417 AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
418 Require valid-user<br />
425 <section id="settingcerts-solaris"><title>SDK Solaris</title>
427 <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
428 pas encore supporté. Si nécessaire, installez et utilisez plutôt
429 les bibliothèques OpenLDAP.</p>
433 <section id="settingcerts-microsoft"><title>SDK Microsoft</title>
435 <p>La configuration des certificats SSL/TLS pour les
436 bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
437 du registre système, et aucune directive de configuration n'est
440 <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
441 type ldaps://, ou en définissant la directive LDAPTrustedMode à
444 <p>Note: L'état du support des certificats clients n'est pas
445 encore connu pour ce SDK.</p>
452 <name>LDAPSharedCacheSize</name>
453 <description>Taille en octets du cache en mémoire partagée</description>
454 <syntax>LDAPSharedCacheSize <var>octets</var></syntax>
455 <default>LDAPSharedCacheSize 102400</default>
456 <contextlist><context>server config</context></contextlist>
459 <p>Cette directive permet de spécifier le nombre d'octets à allouer
460 pour le cache en mémoire partagée. La valeur par défaut est 100kb.
461 Si elle est définie à 0, le cache en mémoire partagée ne sera pas
467 <name>LDAPSharedCacheFile</name>
468 <description>Définit le fichier du cache en mémoire
469 partagée</description>
470 <syntax>LDAPSharedCacheFile <var>chemin/nom-fichier</var></syntax>
471 <contextlist><context>server config</context></contextlist>
474 <p>Cette directive permet de spécifier le chemin et le nom du
475 fichier du cache en mémoire partagée. Si elle n'est pas définie, la
476 mémoire partagée anonyme sera utilisée si la plate-forme la
482 <name>LDAPCacheEntries</name>
483 <description>Nombre maximum d'entrées dans le cache LDAP
484 primaire</description>
485 <syntax>LDAPCacheEntries <var>nombre</var></syntax>
486 <default>LDAPCacheEntries 1024</default>
487 <contextlist><context>server config</context></contextlist>
490 <p>Cette directive permet de spécifier la taille maximale du cache
491 LDAP primaire. Ce cache contient les résultats de
492 recherche/identification positifs. Définissez-la à 0 pour désactiver
493 la mise en cache des résultats de recherche/identification positifs.
494 La taille par défaut est de 1024 recherches en cache.</p>
499 <name>LDAPCacheTTL</name>
500 <description>Durée pendant laquelle les entrées du cache restent
501 valides.</description>
502 <syntax>LDAPCacheTTL <var>secondes</var></syntax>
503 <default>LDAPCacheTTL 600</default>
504 <contextlist><context>server config</context></contextlist>
507 <p>Cette directive permet de spécifier la durée (en secondes)
508 pendant laquelle une entrée du cache de recherche/identification
509 reste valide. La valeur par défaut est de 600 secondes (10
515 <name>LDAPOpCacheEntries</name>
516 <description>Nombre d'entrées utilisées pour mettre en cache les
517 opérations de comparaison LDAP</description>
518 <syntax>LDAPOpCacheEntries <var>nombre</var></syntax>
519 <default>LDAPOpCacheEntries 1024</default>
520 <contextlist><context>server config</context></contextlist>
523 <p>Cette directive permet de spécifier le nombre d'entrées que
524 <module>mod_ldap</module> va utiliser pour mettre en cache les
525 opérations de comparaison LDAP. La valeur par défaut est de 1024
526 entrées. Si elle est définie à 0, la mise en cache des opérations de
527 comparaison LDAP est désactivée.</p>
532 <name>LDAPOpCacheTTL</name>
533 <description>Durée pendant laquelle les entrées du cache d'opérations
534 restent valides</description>
535 <syntax>LDAPOpCacheTTL <var>secondes</var></syntax>
536 <default>LDAPOpCacheTTL 600</default>
537 <contextlist><context>server config</context></contextlist>
540 <p>Cette directive permet de spécifier la durée (en secondes)
541 pendant laquelle les entrées du cache d'opérations restent valides.
542 La valeur par défaut est de 600 secondes.</p>
547 <name>LDAPReferralHopLimit</name>
548 <description>Le nombre maximum de redirections vers des serveurs
549 alternatifs (referrals) avant l'abandon de la requête
551 <syntax>LDAPReferralHopLimit <var>nombre</var></syntax>
552 <default>LDAPReferralHopLimit 5</default>
553 <contextlist><context>directory</context><context>.htaccess</context></contextlist>
554 <override>AuthConfig</override>
557 <p>Si elle est activée par la directive <code>LDAPReferrals</code>,
558 cette directive permet de définir le nombre maximum de sauts vers
559 des serveurs alternatifs (referrals) avant l'abandon de la requête
565 <name>LDAPReferrals</name>
566 <description>Active la redirection vers des serveurs alternatifs au
567 cours des requêtes vers le serveur LDAP.</description>
568 <syntax>LDAPReferrals <var>On|Off</var></syntax>
569 <default>LDAPReferrals On</default>
570 <contextlist><context>directory</context><context>.htaccess</context></contextlist>
571 <override>AuthConfig</override>
574 <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
575 domaines et utilisent le système des redirections (referrals) pour
576 aiguiller un client lorsque les limites d'un domaine doivent être
577 franchies. En définissant <code>LDAPReferrals On</code>, les
578 redirections seront prises en compte (et bien entendu, en
579 définissant <code>LDAPReferrals Off</code>, les redirections seront
580 ignorées). La directive <code>LDAPReferralHopLimit</code> complète
581 cette directive en définissant le nombre maximum de redirections à
582 suivre avant l'abandon de la requête LDAP. Lorsque le traitement des
583 redirections est activé, les données d'identification du client
584 seront fournies, via un appel (callback) de réidentification, à tout
585 serveur LDAP qui en fera la demande.</p>
590 <name>LDAPTrustedGlobalCert</name>
591 <description>Définit le nom de fichier ou la base de données contenant
592 les Autorités de Certification de confiance globales ou les certificats
593 clients globaux</description>
594 <syntax>LDAPTrustedGlobalCert <var>type</var>
595 <var>chemin/nom-fichier</var> <var>[mot de passe]</var></syntax>
596 <contextlist><context>server config</context></contextlist>
599 <p>Cette directive permet de spécifier le chemin et le nom du
600 fichier contenant les certificats des CA de confiance et/ou les
601 certificats clients du système global que <module>mod_ldap</module>
602 utilisera pour établir une connexion SSL ou TLS avec un serveur
603 LDAP. Notez que toute information relative aux certificats spécifiée
604 en utilisant cette directive s'applique globalement à l'ensemble de
605 l'installation du serveur. Certains SDK LDAP (en particulier Novell)
606 nécessitent la définition globale de tous les certificats clients en
607 utilisant cette directive. La plupart des autres SDK nécessitent la
608 définition des certificats clients dans une section Directory ou
609 Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
610 définissez pas ces directives correctement, une erreur sera générée
611 lors des tentatives de contact avec un serveur LDAP, ou la connexion
612 échouera silencieusement (Voir plus haut le guide des certificats
613 SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
614 certificat en cours de définition, en fonction du SDK LDAP utilisé.
615 Les types supportés sont :</p>
617 <li>CA_DER - certificat de CA codé en binaire DER</li>
618 <li>CA_BASE64 - certificat de CA codé en PEM</li>
619 <li>CA_CERT7_DB - fichier de base de données des certificats de CA
620 de Netscape cert7.db</li>
621 <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
622 <li>CERT_DER - certificat client codé en binaire DER</li>
623 <li>CERT_BASE64 - certificat client codé en PEM</li>
624 <li>CERT_KEY3_DB - fichier de base de données des certificats
625 clients de Netscape key3.db</li>
626 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
627 <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
628 <li>KEY_DER - clé privée codée en binaire DER</li>
629 <li>KEY_BASE64 - clé privée codée en PEM</li>
630 <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
636 <name>LDAPTrustedClientCert</name>
637 <description>Définit le nom de fichier contenant un certificat client ou
638 un alias renvoyant vers un certificat client spécifique à une connexion.
639 Tous les SDK LDAP ne supportent pas les certificats clients par
640 connexion.</description>
641 <syntax>LDAPTrustedClientCert <var>type</var>
642 <var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></syntax>
643 <contextlist><context>server config</context><context>virtual
644 host</context><context>directory</context><context>.htaccess</context></contextlist>
647 <p>Cette directive permet de spécifier le chemin et le nom de
648 fichier ou l'alias d'un certificat client par connexion utilisé lors
649 de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
650 Les sections directory ou location peuvent posséder leurs propres
651 configurations de certificats clients. Certains SDK LDAP (en
652 particulier Novell) ne supportent pas les certificats clients par
653 connexion, et renvoient une erreur lors de la connexion au serveur
654 LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
655 la directive LDAPTrustedGlobalCert pour les certificats clients sous
656 Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
657 de détails). Le paramètre type spécifie le type du certificat en
658 cours de définition, en fonction du SDK LDAP utilisé. Les types
659 supportés sont :</p>
661 <li>CERT_DER - certificat client codé en binaire DER</li>
662 <li>CERT_BASE64 - certificat client codé en PEM</li>
663 <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
664 <li>KEY_DER - clé privée codée en binaire DER</li>
665 <li>KEY_BASE64 - clé privée codée en PEM</li>
671 <name>LDAPTrustedMode</name>
672 <description>Spécifie le mode (SSL ou TLS) à utiliser lors de la
673 connexion à un serveur LDAP.</description>
674 <syntax>LDAPTrustedMode <var>type</var></syntax>
675 <contextlist><context>server config</context><context>virtual
676 host</context></contextlist>
679 <p>Les modes suivants sont supportés :</p>
681 <li>NONE - aucun chiffrement</li>
682 <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
683 <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
686 <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
687 Un message d'erreur sera généré à l'exécution si un mode n'est pas
688 supporté, et la connexion au serveur LDAP échouera.
691 <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
692 SSL et la définition de LDAPTrustedMode est ignorée.</p>
697 <name>LDAPConnectionTimeout</name>
698 <description>Spécifie le délai d'attente en secondes de la socket de
699 connexion</description>
700 <syntax>LDAPConnectionTimeout <var>secondes</var></syntax>
701 <contextlist><context>server config</context></contextlist>
704 <p>Cette directive permet de spécifier le délai d'attente (en
705 secondes) pendant lequel le
706 module tentera de se connecter au serveur LDAP. Si une tentative de
707 connexion n'a pas abouti au bout de ce délai, soit une erreur sera
708 renvoyée, soit le module tentera de se connecter à un serveur LDAP
709 secondaire s'il en a été spécifié un. La valeur par défaut est de 10
715 <name>LDAPVerifyServerCert</name>
716 <description>Force la vérification du certificat du
717 serveur</description>
718 <syntax>LDAPVerifyServerCert <var>On|Off</var></syntax>
719 <default>LDAPVerifyServerCert On</default>
720 <contextlist><context>server config</context></contextlist>
723 <p>Cette directive permet de spécifier s'il faut forcer la
724 vérification d'un certificat de serveur lors de l'établissement
725 d'une connexion SSL avec un serveur LDAP.</p>