--- /dev/null
+<?xml version="1.0" encoding="ISO-8859-1"?>
+<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
+<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
+ XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
+ This file is generated from xml source: DO NOT EDIT
+ XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
+ -->
+<title>mod_ldap - Serveur Apache HTTP</title>
+<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
+<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
+<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" />
+<link href="../images/favicon.ico" rel="shortcut icon" /></head>
+<body>
+<div id="page-header">
+<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
+<p class="apache">Serveur Apache HTTP Version 2.3</p>
+<img alt="" src="../images/feather.gif" /></div>
+<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
+<div id="path">
+<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.3</a> > <a href="./">Modules</a></div>
+<div id="page-content">
+<div id="preamble"><h1>Module Apache mod_ldap</h1>
+<div class="toplang">
+<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
+<a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
+</div>
+<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en
+cache du résultat à destination des autres modules LDAP</td></tr>
+<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ldap_module</td></tr>
+<tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>util_ldap.c</td></tr>
+<tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.0.41
+d'Apache</td></tr></table>
+<h3>Sommaire</h3>
+
+ <p>Ce module a été conçu dans le but d'améliorer les performances
+ des sites web s'appuyant sur des connexions en arrière-plan vers des
+ serveurs LDAP. Il ajoute aux fonctions fournies par les
+ bibliothèques standards LDAP la conservation des connexions LDAP
+ ainsi qu'un cache LDAP partagé en mémoire.</p>
+
+ <p>Pour activer ce module, le support LDAP doit être compilé dans
+ apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
+ au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit
+ Apache.</p>
+
+ <p>Le support SSL/TLS est conditionné par le kit de développement
+ LDAP qui a été lié à <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment où ces
+ lignes sont écrites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
+ supérieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
+ SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
+ Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
+ Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a href="http://www.iplanet.com/downloads/developer/">iPlanet
+ (Netscape)</a>. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de détails.</p>
+
+</div>
+<div id="quickview"><h3 class="directives">Directives</h3>
+<ul id="toc">
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li>
+</ul>
+<h3>Sujets</h3>
+<ul id="topics">
+<li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li>
+</ul></div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="section">
+<h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2>
+ <p>Ce qui suit est un exemple de configuration qui utilise
+ <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour améliorer les performances de
+ l'authentification HTTP de base fournie par
+ <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p>
+
+ <div class="example"><p><code>
+ # Active la conservation des connexions LDAP et le cache partagé en<br />
+ # mémoire. Active le gestionnaire de statut du cache LDAP.<br />
+ # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPSharedCacheSize 200000<br />
+ LDAPCacheEntries 1024<br />
+ LDAPCacheTTL 600<br />
+ LDAPOpCacheEntries 1024<br />
+ LDAPOpCacheTTL 600<br />
+ <br />
+ <Location /statut-ldap><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </span>
+ </Location>
+ </code></p></div>
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="section">
+<h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2>
+
+ <p>Les connexions LDAP sont conservées de requête en requête. Ceci
+ permet de rester connecté et identifié au serveur LDAP, ce dernier
+ étant ainsi prêt pour la prochaine requête, sans avoir à se
+ déconnecter, reconnecter et réidentifier. Le gain en performances
+ est similaire à celui des connexions persistantes (keepalives)
+ HTTP.</p>
+
+ <p>Sur un serveur très sollicité, il est possible que de nombreuses
+ requêtes tentent d'accéder simultanément à la même connexion au
+ serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
+ une deuxième en parallèle à la première, ce qui permet d'éviter que
+ le système de conservation des connexions ne devienne un goulot
+ d'étranglement.</p>
+
+ <p>Il n'est pas nécessaire d'activer explicitement la conservation
+ des connexions dans la configuration d'Apache. Tout module utilisant
+ le module ldap pour accéder aux services LDAP partagera le jeu de
+ connexions.</p>
+
+ <p>Les connexions LDAP peuvent garder la trace des données
+ d'identification du client ldap utilisées pour l'identification
+ auprès du serveur LDAP. Ces données peuvent être fournies aux
+ serveurs LDAP qui ne permettent pas les connexions anonymes au cours
+ lors des tentatives de sauts vers des serveurs alternatifs. Pour
+ contrôler cette fonctionnalité, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette
+ fonctionnalité est activée par défaut.</p>
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="section">
+<h2><a name="cache" id="cache">Cache LDAP</a></h2>
+
+ <p>Pour améliorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en
+ oeuvre une stratégie de mise en cache agressive visant à minimiser
+ le nombre de fois que le serveur LDAP doit être contacté. La mise en
+ cache peut facilement doubler et même tripler le débit d'Apache
+ lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
+ serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
+
+ <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache
+ LDAP : un <em>cache recherche/identification</em> durant la phase
+ de recherche/identification et deux <em>caches d'opérations</em>
+ durant la phase de comparaison. Chaque URL LDAP utilisée par le
+ serveur a son propre jeu d'instances dans ces trois caches.</p>
+
+ <h3><a name="search-bind" id="search-bind">Le cache
+ recherche/identification</a></h3>
+ <p>Les processus de recherche et d'identification sont les
+ opérations LDAP les plus consommatrices en temps, en particulier
+ si l'annuaire est de grande taille. Le cache de
+ recherche/identification met en cache toutes les recherches qui
+ ont abouti à une identification positive. Les résultats négatifs
+ (c'est à dire les recherches sans succès, ou les recherches qui
+ n'ont pas abouti à une identification positive) ne sont pas mis en
+ cache. La raison de cette décision réside dans le fait que les
+ connexions avec des données d'identification invalides ne
+ représentent qu'un faible pourcentage du nombre total de
+ connexions, et ainsi, le fait de ne pas mettre en cache les
+ données d'identification invalides réduira d'autant la taille du
+ cache.</p>
+
+ <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le
+ DN extrait, le mot de passe utilisé pour l'identification, ainsi
+ que l'heure de l'identification. Chaque fois qu'une nouvelle
+ connexion est initialisée avec le même nom d'utilisateur,
+ <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle
+ connexion avec le mot de passe enregistré dans le cache. Si les
+ mots de passe correspondent, et si l'entrée du cache n'est pas
+ trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase
+ de recherche/identification.</p>
+
+ <p>Le cache de recherche/identification est contrôlé par les
+ directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p>
+
+
+ <h3><a name="opcaches" id="opcaches">Les caches d'opérations</a></h3>
+ <p>Au cours des opérations de comparaison d'attributs et de noms
+ distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches
+ d'opérations pour mettre en cache les opérations de comparaison.
+ Le premier cache de comparaison sert à mettre en cache les
+ résultats de comparaisons effectuées pour vérifier l'appartenance
+ à un groupe LDAP. Le second cache de comparaison sert à mettre en
+ cache les résultats de comparaisons entre DNs.</p>
+
+ <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
+ toute comparaison de sous-groupes est mise en cache afin
+ d'accélérer les comparaisons de sous-groupes ultérieures.</p>
+
+ <p>Le comportement de ces deux caches est contrôlé par les
+ directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p>
+
+
+ <h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3>
+ <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> possède un gestionnaire de contenu
+ qui permet aux administrateurs de superviser les performances du
+ cache. Le nom du gestionnaire de contenu est
+ <code>ldap-status</code>, et on peut utiliser les directives
+ suivantes pour accéder aux informations du cache de
+ <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p>
+
+ <div class="example"><p><code>
+ <Location /serveur/infos-cache><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ </span>
+ </Location>
+ </code></p></div>
+
+ <p>En se connectant à l'URL
+ <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
+ obtenir un rapport sur le statut de chaque cache qu'utilise
+ <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la
+ mémoire partagée, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code>
+ possèdera son propre cache, et chaque fois que l'URL sera
+ rechargée, un résultat différent pourra être affiché, en fonction
+ de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la
+ requête.</p>
+
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="section">
+<h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2>
+
+ <p>La possibilité de créer des connexions SSL et TLS avec un serveur
+ LDAP est définie par les directives <code class="directive"><a href="# ldaptrustedglobalcert">
+ LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="# ldaptrustedclientcert">
+ LDAPTrustedClientCert</a></code> et <code class="directive"><a href="# ldaptrustedmode">
+ LDAPTrustedMode</a></code>. Ces directives permettent de spécifier
+ l'autorité de certification (CA), les certificats clients éventuels,
+ ainsi que le type de chiffrement à utiliser pour la connexion (none,
+ SSL ou TLS/STARTTLS).</p>
+
+ <div class="example"><p><code>
+ # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
+ # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
+ <br />
+ <Location /statut-ldap><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </span>
+ </Location>
+ </code></p></div>
+
+ <div class="example"><p><code>
+ # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
+ # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
+ <br />
+ <Location /statut-ldap><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br />
+ Require valid-user<br />
+ </span>
+ </Location>
+ </code></p></div>
+
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="section">
+<h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2>
+
+ <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
+ définir et gérer les certificats des clients et des autorités de
+ certification (CA).</p>
+
+ <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
+ section ATTENTIVEMENT de façon à bien comprendre les différences de
+ configurations entre les différents SDKs LDAP supportés.</p>
+
+ <h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3>
+ <p>Les certificat de CA sont enregistrés dans un fichier nommé
+ cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
+ certificat n'a pas été signé par une CA spécifiée dans ce
+ fichier. Si des certificats clients sont requis, un fichier
+ key3.db ainsi qu'un mot de passe optionnels peuvent être
+ spécifiés. On peut aussi spécifier le fichier secmod si
+ nécessaire. Ces fichiers sont du même format que celui utilisé
+ par les navigateurs web Netscape Communicator ou Mozilla. Le
+ moyen le plus simple pour obtenir ces fichiers consiste à les
+ extraire de l'installation de votre navigateur.</p>
+
+ <p>Les certificats clients sont spécifiés pour chaque connexion
+ en utilisant la directive LDAPTrustedClientCert et en se
+ référant au certificat "nickname". On peut éventuellement
+ spécifier un mot de passe pour déverrouiller la clé privée du
+ certificat.</p>
+
+ <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
+ de STARTTLS engendrera une erreur lors des tentatives de
+ contacter le serveur LDAP pendant l'exécution.</p>
+
+ <div class="example"><p><code>
+ # Spécifie un fichier de certificats de CA Netscape<br />
+ LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
+ # Spécifie un fichier key3db optionnel pour le support des
+ # certificats clients<br />
+ LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
+ # Spécifie le fichier secmod si nécessaire<br />
+ LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
+ <Location /statut-ldap><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ LDAPTrustedClientCert CERT_NICKNAME <nickname>
+ [mot de passe]<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </span>
+ </Location>
+ </code></p></div>
+
+
+
+ <h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3>
+
+ <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
+ que le SDK Novell fonctionne correctement. Ces certificats
+ peuvent être spécifiés sous forme de fichiers au format binaire
+ DER ou codés en Base64 (PEM).</p>
+
+ <p>Note: Les certificats clients sont spécifiés globalement
+ plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
+ de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
+ des certificats clients via la directive LDAPTrustedClientCert
+ engendrera une erreur qui sera journalisée, au moment de la
+ tentative de connexion avec le serveur LDAP.</p>
+
+ <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
+ paramètre de la directive LDAPTrustedMode. Si une URL de type
+ ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
+ cette directive.</p>
+
+ <div class="example"><p><code>
+ # Spécifie deux fichiers contenant des certificats de CA<br />
+ LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
+ LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
+ # Spécifie un fichier contenant des certificats clients
+ # ainsi qu'une clé<br />
+ LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
+ LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
+ passe]<br />
+ # N'utilisez pas cette directive, sous peine de provoquer
+ # une erreur<br />
+ #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
+ </code></p></div>
+
+
+
+ <h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3>
+
+ <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
+ que le SDK OpenLDAP fonctionne correctement. Ces certificats
+ peuvent être spécifiés sous forme de fichiers au format binaire
+ DER ou codés en Base64 (PEM).</p>
+
+ <p>Les certificats clients sont spécifiés pour chaque connexion
+ à l'aide de la directive LDAPTrustedClientCert.</p>
+
+ <p>La documentation du SDK prétend que SSL et STARTTLS sont
+ supportés ; cependant, STARTTLS semble ne pas fonctionner avec
+ toutes les versions du SDK. Le mode SSL/TLS peut être défini en
+ utilisant le paramètre de la directive LDAPTrustedMode. Si une
+ URL de type
+ ldaps:// est spécifiée, le mode SSL est forcé. La documentation
+ OpenLDAP indique que le support SSL (ldaps://) tend à être
+ remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
+
+ <div class="example"><p><code>
+ # Spécifie deux fichiers contenant des certificats de CA<br />
+ LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
+ LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
+ <Location /statut-ldap><br />
+ <span class="indent">
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
+ LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </span>
+ </Location>
+ </code></p></div>
+
+
+
+ <h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3>
+
+ <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
+ pas encore supporté. Si nécessaire, installez et utilisez plutôt
+ les bibliothèques OpenLDAP.</p>
+
+
+
+ <h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3>
+
+ <p>La configuration des certificats SSL/TLS pour les
+ bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
+ du registre système, et aucune directive de configuration n'est
+ requise.</p>
+
+ <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
+ type ldaps://, ou en définissant la directive LDAPTrustedMode à
+ cet effet.</p>
+
+ <p>Note: L'état du support des certificats clients n'est pas
+ encore connu pour ce SDK.</p>
+
+
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a> <a name="ldapcacheentries" id="ldapcacheentries">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entrées dans le cache LDAP
+primaire</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier la taille maximale du cache
+ LDAP primaire. Ce cache contient les résultats de
+ recherche/identification positifs. Définissez-la à 0 pour désactiver
+ la mise en cache des résultats de recherche/identification positifs.
+ La taille par défaut est de 1024 recherches en cache.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a> <a name="ldapcachettl" id="ldapcachettl">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache restent
+valides.</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier la durée (en secondes)
+ pendant laquelle une entrée du cache de recherche/identification
+ reste valide. La valeur par défaut est de 600 secondes (10
+ minutes).</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a> <a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente en secondes de la socket de
+connexion</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le délai d'attente (en
+ secondes) pendant lequel le
+ module tentera de se connecter au serveur LDAP. Si une tentative de
+ connexion n'a pas abouti au bout de ce délai, soit une erreur sera
+ renvoyée, soit le module tentera de se connecter à un serveur LDAP
+ secondaire s'il en a été spécifié un. La valeur par défaut est de 10
+ secondes.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a> <a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entrées utilisées pour mettre en cache les
+opérations de comparaison LDAP</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le nombre d'entrées que
+ <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les
+ opérations de comparaison LDAP. La valeur par défaut est de 1024
+ entrées. Si elle est définie à 0, la mise en cache des opérations de
+ comparaison LDAP est désactivée.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a> <a name="ldapopcachettl" id="ldapopcachettl">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache d'opérations
+restent valides</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier la durée (en secondes)
+ pendant laquelle les entrées du cache d'opérations restent valides.
+ La valeur par défaut est de 600 secondes.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a> <a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs
+alternatifs (referrals) avant l'abandon de la requête
+LDAP.</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferralHopLimit 5</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Si elle est activée par la directive <code>LDAPReferrals</code>,
+ cette directive permet de définir le nombre maximum de sauts vers
+ des serveurs alternatifs (referrals) avant l'abandon de la requête
+ LDAP.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a> <a name="ldapreferrals" id="ldapreferrals">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au
+cours des requêtes vers le serveur LDAP.</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferrals On</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
+ domaines et utilisent le système des redirections (referrals) pour
+ aiguiller un client lorsque les limites d'un domaine doivent être
+ franchies. En définissant <code>LDAPReferrals On</code>, les
+ redirections seront prises en compte (et bien entendu, en
+ définissant <code>LDAPReferrals Off</code>, les redirections seront
+ ignorées). La directive <code>LDAPReferralHopLimit</code> complète
+ cette directive en définissant le nombre maximum de redirections à
+ suivre avant l'abandon de la requête LDAP. Lorsque le traitement des
+ redirections est activé, les données d'identification du client
+ seront fournies, via un appel (callback) de réidentification, à tout
+ serveur LDAP qui en fera la demande.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a> <a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le fichier du cache en mémoire
+partagée</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin/nom-fichier</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le chemin et le nom du
+ fichier du cache en mémoire partagée. Si elle n'est pas définie, la
+ mémoire partagée anonyme sera utilisée si la plate-forme la
+ supporte.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a> <a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en mémoire partagée</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPSharedCacheSize 102400</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le nombre d'octets à allouer
+ pour le cache en mémoire partagée. La valeur par défaut est 100kb.
+ Si elle est définie à 0, le cache en mémoire partagée ne sera pas
+ utilisé.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a> <a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier contenant un certificat client ou
+un alias renvoyant vers un certificat client spécifique à une connexion.
+Tous les SDK LDAP ne supportent pas les certificats clients par
+connexion.</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var>
+<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le chemin et le nom de
+ fichier ou l'alias d'un certificat client par connexion utilisé lors
+ de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
+ Les sections directory ou location peuvent posséder leurs propres
+ configurations de certificats clients. Certains SDK LDAP (en
+ particulier Novell) ne supportent pas les certificats clients par
+ connexion, et renvoient une erreur lors de la connexion au serveur
+ LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
+ la directive LDAPTrustedGlobalCert pour les certificats clients sous
+ Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
+ de détails). Le paramètre type spécifie le type du certificat en
+ cours de définition, en fonction du SDK LDAP utilisé. Les types
+ supportés sont :</p>
+ <ul>
+ <li>CERT_DER - certificat client codé en binaire DER</li>
+ <li>CERT_BASE64 - certificat client codé en PEM</li>
+ <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
+ <li>KEY_DER - clé privée codée en binaire DER</li>
+ <li>KEY_BASE64 - clé privée codée en PEM</li>
+ </ul>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a> <a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier ou la base de données contenant
+les Autorités de Certification de confiance globales ou les certificats
+clients globaux</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var>
+<var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier le chemin et le nom du
+ fichier contenant les certificats des CA de confiance et/ou les
+ certificats clients du système global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>
+ utilisera pour établir une connexion SSL ou TLS avec un serveur
+ LDAP. Notez que toute information relative aux certificats spécifiée
+ en utilisant cette directive s'applique globalement à l'ensemble de
+ l'installation du serveur. Certains SDK LDAP (en particulier Novell)
+ nécessitent la définition globale de tous les certificats clients en
+ utilisant cette directive. La plupart des autres SDK nécessitent la
+ définition des certificats clients dans une section Directory ou
+ Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
+ définissez pas ces directives correctement, une erreur sera générée
+ lors des tentatives de contact avec un serveur LDAP, ou la connexion
+ échouera silencieusement (Voir plus haut le guide des certificats
+ SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
+ certificat en cours de définition, en fonction du SDK LDAP utilisé.
+ Les types supportés sont :</p>
+ <ul>
+ <li>CA_DER - certificat de CA codé en binaire DER</li>
+ <li>CA_BASE64 - certificat de CA codé en PEM</li>
+ <li>CA_CERT7_DB - fichier de base de données des certificats de CA
+ de Netscape cert7.db</li>
+ <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
+ <li>CERT_DER - certificat client codé en binaire DER</li>
+ <li>CERT_BASE64 - certificat client codé en PEM</li>
+ <li>CERT_KEY3_DB - fichier de base de données des certificats
+ clients de Netscape key3.db</li>
+ <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
+ <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
+ <li>KEY_DER - clé privée codée en binaire DER</li>
+ <li>KEY_BASE64 - clé privée codée en PEM</li>
+ <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
+ </ul>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a> <a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le mode (SSL ou TLS) à utiliser lors de la
+connexion à un serveur LDAP.</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Les modes suivants sont supportés :</p>
+ <ul>
+ <li>NONE - aucun chiffrement</li>
+ <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
+ <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
+ </ul>
+
+ <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
+ Un message d'erreur sera généré à l'exécution si un mode n'est pas
+ supporté, et la connexion au serveur LDAP échouera.
+ </p>
+
+ <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
+ SSL et la définition de LDAPTrustedMode est ignorée.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a> <a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la vérification du certificat du
+serveur</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr>
+</table>
+ <p>Cette directive permet de spécifier s'il faut forcer la
+ vérification d'un certificat de serveur lors de l'établissement
+ d'une connexion SSL avec un serveur LDAP.</p>
+
+</div>
+</div>
+<div class="bottomlang">
+<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> |
+<a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p>
+</div><div id="footer">
+<p class="apache">Copyright 2009 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
+<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div>
+</body></html>
\ No newline at end of file
--- /dev/null
+<?xml version="1.0"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 695883 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- Reviewed by : Vincent Deffontaines -->
+
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_ldap.xml.meta">
+
+<name>mod_ldap</name>
+<description>Conservation des connexions LDAP et services de mise en
+cache du résultat à destination des autres modules LDAP</description>
+<status>Extension</status>
+<sourcefile>util_ldap.c</sourcefile>
+<identifier>ldap_module</identifier>
+<compatibility>Disponible à partir de la version 2.0.41
+d'Apache</compatibility>
+
+<summary>
+ <p>Ce module a été conçu dans le but d'améliorer les performances
+ des sites web s'appuyant sur des connexions en arrière-plan vers des
+ serveurs LDAP. Il ajoute aux fonctions fournies par les
+ bibliothèques standards LDAP la conservation des connexions LDAP
+ ainsi qu'un cache LDAP partagé en mémoire.</p>
+
+ <p>Pour activer ce module, le support LDAP doit être compilé dans
+ apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
+ au script <program>configure</program> lorsqu'on construit
+ Apache.</p>
+
+ <p>Le support SSL/TLS est conditionné par le kit de développement
+ LDAP qui a été lié à <glossary>APR</glossary>. Au moment où ces
+ lignes sont écrites, APR-util supporte <a
+ href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
+ supérieure), <a
+ href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
+ SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
+ Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
+ Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a
+ href="http://www.iplanet.com/downloads/developer/">iPlanet
+ (Netscape)</a>. Voir le site web <a
+ href="http://apr.apache.org">APR</a> pour plus de détails.</p>
+
+</summary>
+
+<section id="exampleconfig"><title>Exemple de configuration</title>
+ <p>Ce qui suit est un exemple de configuration qui utilise
+ <module>mod_ldap</module> pour améliorer les performances de
+ l'authentification HTTP de base fournie par
+ <module>mod_authnz_ldap</module>.</p>
+
+ <example>
+ # Active la conservation des connexions LDAP et le cache partagé en<br />
+ # mémoire. Active le gestionnaire de statut du cache LDAP.<br />
+ # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPSharedCacheSize 200000<br />
+ LDAPCacheEntries 1024<br />
+ LDAPCacheTTL 600<br />
+ LDAPOpCacheEntries 1024<br />
+ LDAPOpCacheTTL 600<br />
+ <br />
+ <Location /statut-ldap><br />
+ <indent>
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </indent>
+ </Location>
+ </example>
+</section>
+
+<section id="pool"><title>Conservation des connexions LDAP</title>
+
+ <p>Les connexions LDAP sont conservées de requête en requête. Ceci
+ permet de rester connecté et identifié au serveur LDAP, ce dernier
+ étant ainsi prêt pour la prochaine requête, sans avoir à se
+ déconnecter, reconnecter et réidentifier. Le gain en performances
+ est similaire à celui des connexions persistantes (keepalives)
+ HTTP.</p>
+
+ <p>Sur un serveur très sollicité, il est possible que de nombreuses
+ requêtes tentent d'accéder simultanément à la même connexion au
+ serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
+ une deuxième en parallèle à la première, ce qui permet d'éviter que
+ le système de conservation des connexions ne devienne un goulot
+ d'étranglement.</p>
+
+ <p>Il n'est pas nécessaire d'activer explicitement la conservation
+ des connexions dans la configuration d'Apache. Tout module utilisant
+ le module ldap pour accéder aux services LDAP partagera le jeu de
+ connexions.</p>
+
+ <p>Les connexions LDAP peuvent garder la trace des données
+ d'identification du client ldap utilisées pour l'identification
+ auprès du serveur LDAP. Ces données peuvent être fournies aux
+ serveurs LDAP qui ne permettent pas les connexions anonymes au cours
+ lors des tentatives de sauts vers des serveurs alternatifs. Pour
+ contrôler cette fonctionnalité, voir les directives <directive
+ module="mod_ldap">LDAPReferrals</directive> et <directive
+ module="mod_ldap">LDAPReferralHopLimit</directive>. Cette
+ fonctionnalité est activée par défaut.</p>
+</section>
+
+<section id="cache"><title>Cache LDAP</title>
+
+ <p>Pour améliorer les performances, <module>mod_ldap</module> met en
+ oeuvre une stratégie de mise en cache agressive visant à minimiser
+ le nombre de fois que le serveur LDAP doit être contacté. La mise en
+ cache peut facilement doubler et même tripler le débit d'Apache
+ lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
+ serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
+
+ <p><module>mod_ldap</module> supporte deux types de mise en cache
+ LDAP : un <em>cache recherche/identification</em> durant la phase
+ de recherche/identification et deux <em>caches d'opérations</em>
+ durant la phase de comparaison. Chaque URL LDAP utilisée par le
+ serveur a son propre jeu d'instances dans ces trois caches.</p>
+
+ <section id="search-bind"><title>Le cache
+ recherche/identification</title>
+ <p>Les processus de recherche et d'identification sont les
+ opérations LDAP les plus consommatrices en temps, en particulier
+ si l'annuaire est de grande taille. Le cache de
+ recherche/identification met en cache toutes les recherches qui
+ ont abouti à une identification positive. Les résultats négatifs
+ (c'est à dire les recherches sans succès, ou les recherches qui
+ n'ont pas abouti à une identification positive) ne sont pas mis en
+ cache. La raison de cette décision réside dans le fait que les
+ connexions avec des données d'identification invalides ne
+ représentent qu'un faible pourcentage du nombre total de
+ connexions, et ainsi, le fait de ne pas mettre en cache les
+ données d'identification invalides réduira d'autant la taille du
+ cache.</p>
+
+ <p><module>mod_ldap</module> met en cache le nom d'utilisateur, le
+ DN extrait, le mot de passe utilisé pour l'identification, ainsi
+ que l'heure de l'identification. Chaque fois qu'une nouvelle
+ connexion est initialisée avec le même nom d'utilisateur,
+ <module>mod_ldap</module> compare le mot de passe de la nouvelle
+ connexion avec le mot de passe enregistré dans le cache. Si les
+ mots de passe correspondent, et si l'entrée du cache n'est pas
+ trop ancienne, <module>mod_ldap</module> court-circuite la phase
+ de recherche/identification.</p>
+
+ <p>Le cache de recherche/identification est contrôlé par les
+ directives <directive
+ module="mod_ldap">LDAPCacheEntries</directive> et <directive
+ module="mod_ldap">LDAPCacheTTL</directive>.</p>
+ </section>
+
+ <section id="opcaches"><title>Les caches d'opérations</title>
+ <p>Au cours des opérations de comparaison d'attributs et de noms
+ distinctifs (DN), <module>mod_ldap</module> utilise deux caches
+ d'opérations pour mettre en cache les opérations de comparaison.
+ Le premier cache de comparaison sert à mettre en cache les
+ résultats de comparaisons effectuées pour vérifier l'appartenance
+ à un groupe LDAP. Le second cache de comparaison sert à mettre en
+ cache les résultats de comparaisons entre DNs.</p>
+
+ <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
+ toute comparaison de sous-groupes est mise en cache afin
+ d'accélérer les comparaisons de sous-groupes ultérieures.</p>
+
+ <p>Le comportement de ces deux caches est contrôlé par les
+ directives <directive
+ module="mod_ldap">LDAPOpCacheEntries</directive> et <directive
+ module="mod_ldap">LDAPOpCacheTTL</directive>.</p>
+ </section>
+
+ <section id="monitoring"><title>Superviser le cache</title>
+ <p><module>mod_ldap</module> possède un gestionnaire de contenu
+ qui permet aux administrateurs de superviser les performances du
+ cache. Le nom du gestionnaire de contenu est
+ <code>ldap-status</code>, et on peut utiliser les directives
+ suivantes pour accéder aux informations du cache de
+ <module>mod_ldap</module> :</p>
+
+ <example>
+ <Location /serveur/infos-cache><br />
+ <indent>
+ SetHandler ldap-status<br />
+ </indent>
+ </Location>
+ </example>
+
+ <p>En se connectant à l'URL
+ <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
+ obtenir un rapport sur le statut de chaque cache qu'utilise
+ <module>mod_ldap</module>. Notez que si Apache ne supporte pas la
+ mémoire partagée, chaque instance de <program>httpd</program>
+ possèdera son propre cache, et chaque fois que l'URL sera
+ rechargée, un résultat différent pourra être affiché, en fonction
+ de l'instance de <program>httpd</program> qui traitera la
+ requête.</p>
+ </section>
+</section>
+
+<section id="usingssltls"><title>Utiliser SSL/TLS</title>
+
+ <p>La possibilité de créer des connexions SSL et TLS avec un serveur
+ LDAP est définie par les directives <directive module="mod_ldap">
+ LDAPTrustedGlobalCert</directive>, <directive module="mod_ldap">
+ LDAPTrustedClientCert</directive> et <directive module="mod_ldap">
+ LDAPTrustedMode</directive>. Ces directives permettent de spécifier
+ l'autorité de certification (CA), les certificats clients éventuels,
+ ainsi que le type de chiffrement à utiliser pour la connexion (none,
+ SSL ou TLS/STARTTLS).</p>
+
+ <example>
+ # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
+ # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
+ <br />
+ <Location /statut-ldap><br />
+ <indent>
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </indent>
+ </Location>
+ </example>
+
+ <example>
+ # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
+ # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br />
+ # Remplacez "votre-domaine.exemple.com" par le nom de votre<br />
+ # domaine.<br />
+ <br />
+ LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
+ <br />
+ <Location /statut-ldap><br />
+ <indent>
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br />
+ Require valid-user<br />
+ </indent>
+ </Location>
+ </example>
+
+</section>
+
+<section id="settingcerts"><title>Certificats SSL/TLS</title>
+
+ <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
+ définir et gérer les certificats des clients et des autorités de
+ certification (CA).</p>
+
+ <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
+ section ATTENTIVEMENT de façon à bien comprendre les différences de
+ configurations entre les différents SDKs LDAP supportés.</p>
+
+ <section id="settingcerts-netscape"><title>SDK Netscape/Mozilla/iPlanet</title>
+ <p>Les certificat de CA sont enregistrés dans un fichier nommé
+ cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
+ certificat n'a pas été signé par une CA spécifiée dans ce
+ fichier. Si des certificats clients sont requis, un fichier
+ key3.db ainsi qu'un mot de passe optionnels peuvent être
+ spécifiés. On peut aussi spécifier le fichier secmod si
+ nécessaire. Ces fichiers sont du même format que celui utilisé
+ par les navigateurs web Netscape Communicator ou Mozilla. Le
+ moyen le plus simple pour obtenir ces fichiers consiste à les
+ extraire de l'installation de votre navigateur.</p>
+
+ <p>Les certificats clients sont spécifiés pour chaque connexion
+ en utilisant la directive LDAPTrustedClientCert et en se
+ référant au certificat "nickname". On peut éventuellement
+ spécifier un mot de passe pour déverrouiller la clé privée du
+ certificat.</p>
+
+ <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
+ de STARTTLS engendrera une erreur lors des tentatives de
+ contacter le serveur LDAP pendant l'exécution.</p>
+
+ <example>
+ # Spécifie un fichier de certificats de CA Netscape<br />
+ LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
+ # Spécifie un fichier key3db optionnel pour le support des
+ # certificats clients<br />
+ LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
+ # Spécifie le fichier secmod si nécessaire<br />
+ LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
+ <Location /statut-ldap><br />
+ <indent>
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ LDAPTrustedClientCert CERT_NICKNAME <nickname>
+ [mot de passe]<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </indent>
+ </Location>
+ </example>
+
+ </section>
+
+ <section id="settingcerts-novell"><title>SDK Novell</title>
+
+ <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
+ que le SDK Novell fonctionne correctement. Ces certificats
+ peuvent être spécifiés sous forme de fichiers au format binaire
+ DER ou codés en Base64 (PEM).</p>
+
+ <p>Note: Les certificats clients sont spécifiés globalement
+ plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
+ de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
+ des certificats clients via la directive LDAPTrustedClientCert
+ engendrera une erreur qui sera journalisée, au moment de la
+ tentative de connexion avec le serveur LDAP.</p>
+
+ <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
+ paramètre de la directive LDAPTrustedMode. Si une URL de type
+ ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
+ cette directive.</p>
+
+ <example>
+ # Spécifie deux fichiers contenant des certificats de CA<br />
+ LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
+ LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
+ # Spécifie un fichier contenant des certificats clients
+ # ainsi qu'une clé<br />
+ LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
+ LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
+ passe]<br />
+ # N'utilisez pas cette directive, sous peine de provoquer
+ # une erreur<br />
+ #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
+ </example>
+
+ </section>
+
+ <section id="settingcerts-openldap"><title>SDK OpenLDAP</title>
+
+ <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
+ que le SDK OpenLDAP fonctionne correctement. Ces certificats
+ peuvent être spécifiés sous forme de fichiers au format binaire
+ DER ou codés en Base64 (PEM).</p>
+
+ <p>Les certificats clients sont spécifiés pour chaque connexion
+ à l'aide de la directive LDAPTrustedClientCert.</p>
+
+ <p>La documentation du SDK prétend que SSL et STARTTLS sont
+ supportés ; cependant, STARTTLS semble ne pas fonctionner avec
+ toutes les versions du SDK. Le mode SSL/TLS peut être défini en
+ utilisant le paramètre de la directive LDAPTrustedMode. Si une
+ URL de type
+ ldaps:// est spécifiée, le mode SSL est forcé. La documentation
+ OpenLDAP indique que le support SSL (ldaps://) tend à être
+ remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
+
+ <example>
+ # Spécifie deux fichiers contenant des certificats de CA<br />
+ LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
+ LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
+ <Location /statut-ldap><br />
+ <indent>
+ SetHandler ldap-status<br />
+ Order deny,allow<br />
+ Deny from all<br />
+ Allow from votre-domaine.exemple.com<br />
+ LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
+ LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
+ Satisfy any<br />
+ AuthType Basic<br />
+ AuthName "Protégé par LDAP"<br />
+ AuthBasicProvider ldap<br />
+ AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br />
+ Require valid-user<br />
+ </indent>
+ </Location>
+ </example>
+
+ </section>
+
+ <section id="settingcerts-solaris"><title>SDK Solaris</title>
+
+ <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
+ pas encore supporté. Si nécessaire, installez et utilisez plutôt
+ les bibliothèques OpenLDAP.</p>
+
+ </section>
+
+ <section id="settingcerts-microsoft"><title>SDK Microsoft</title>
+
+ <p>La configuration des certificats SSL/TLS pour les
+ bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
+ du registre système, et aucune directive de configuration n'est
+ requise.</p>
+
+ <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
+ type ldaps://, ou en définissant la directive LDAPTrustedMode à
+ cet effet.</p>
+
+ <p>Note: L'état du support des certificats clients n'est pas
+ encore connu pour ce SDK.</p>
+
+ </section>
+
+</section>
+
+<directivesynopsis>
+<name>LDAPSharedCacheSize</name>
+<description>Taille en octets du cache en mémoire partagée</description>
+<syntax>LDAPSharedCacheSize <var>octets</var></syntax>
+<default>LDAPSharedCacheSize 102400</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le nombre d'octets à allouer
+ pour le cache en mémoire partagée. La valeur par défaut est 100kb.
+ Si elle est définie à 0, le cache en mémoire partagée ne sera pas
+ utilisé.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPSharedCacheFile</name>
+<description>Définit le fichier du cache en mémoire
+partagée</description>
+<syntax>LDAPSharedCacheFile <var>chemin/nom-fichier</var></syntax>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le chemin et le nom du
+ fichier du cache en mémoire partagée. Si elle n'est pas définie, la
+ mémoire partagée anonyme sera utilisée si la plate-forme la
+ supporte.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPCacheEntries</name>
+<description>Nombre maximum d'entrées dans le cache LDAP
+primaire</description>
+<syntax>LDAPCacheEntries <var>nombre</var></syntax>
+<default>LDAPCacheEntries 1024</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier la taille maximale du cache
+ LDAP primaire. Ce cache contient les résultats de
+ recherche/identification positifs. Définissez-la à 0 pour désactiver
+ la mise en cache des résultats de recherche/identification positifs.
+ La taille par défaut est de 1024 recherches en cache.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPCacheTTL</name>
+<description>Durée pendant laquelle les entrées du cache restent
+valides.</description>
+<syntax>LDAPCacheTTL <var>secondes</var></syntax>
+<default>LDAPCacheTTL 600</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier la durée (en secondes)
+ pendant laquelle une entrée du cache de recherche/identification
+ reste valide. La valeur par défaut est de 600 secondes (10
+ minutes).</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPOpCacheEntries</name>
+<description>Nombre d'entrées utilisées pour mettre en cache les
+opérations de comparaison LDAP</description>
+<syntax>LDAPOpCacheEntries <var>nombre</var></syntax>
+<default>LDAPOpCacheEntries 1024</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le nombre d'entrées que
+ <module>mod_ldap</module> va utiliser pour mettre en cache les
+ opérations de comparaison LDAP. La valeur par défaut est de 1024
+ entrées. Si elle est définie à 0, la mise en cache des opérations de
+ comparaison LDAP est désactivée.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPOpCacheTTL</name>
+<description>Durée pendant laquelle les entrées du cache d'opérations
+restent valides</description>
+<syntax>LDAPOpCacheTTL <var>secondes</var></syntax>
+<default>LDAPOpCacheTTL 600</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier la durée (en secondes)
+ pendant laquelle les entrées du cache d'opérations restent valides.
+ La valeur par défaut est de 600 secondes.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPReferralHopLimit</name>
+<description>Le nombre maximum de redirections vers des serveurs
+alternatifs (referrals) avant l'abandon de la requête
+LDAP.</description>
+<syntax>LDAPReferralHopLimit <var>nombre</var></syntax>
+<default>LDAPReferralHopLimit 5</default>
+<contextlist><context>directory</context><context>.htaccess</context></contextlist>
+<override>AuthConfig</override>
+
+<usage>
+ <p>Si elle est activée par la directive <code>LDAPReferrals</code>,
+ cette directive permet de définir le nombre maximum de sauts vers
+ des serveurs alternatifs (referrals) avant l'abandon de la requête
+ LDAP.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPReferrals</name>
+<description>Active la redirection vers des serveurs alternatifs au
+cours des requêtes vers le serveur LDAP.</description>
+<syntax>LDAPReferrals <var>On|Off</var></syntax>
+<default>LDAPReferrals On</default>
+<contextlist><context>directory</context><context>.htaccess</context></contextlist>
+<override>AuthConfig</override>
+
+<usage>
+ <p>Certains serveurs LDAP partagent leur annuaire en plusieurs
+ domaines et utilisent le système des redirections (referrals) pour
+ aiguiller un client lorsque les limites d'un domaine doivent être
+ franchies. En définissant <code>LDAPReferrals On</code>, les
+ redirections seront prises en compte (et bien entendu, en
+ définissant <code>LDAPReferrals Off</code>, les redirections seront
+ ignorées). La directive <code>LDAPReferralHopLimit</code> complète
+ cette directive en définissant le nombre maximum de redirections à
+ suivre avant l'abandon de la requête LDAP. Lorsque le traitement des
+ redirections est activé, les données d'identification du client
+ seront fournies, via un appel (callback) de réidentification, à tout
+ serveur LDAP qui en fera la demande.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPTrustedGlobalCert</name>
+<description>Définit le nom de fichier ou la base de données contenant
+les Autorités de Certification de confiance globales ou les certificats
+clients globaux</description>
+<syntax>LDAPTrustedGlobalCert <var>type</var>
+<var>chemin/nom-fichier</var> <var>[mot de passe]</var></syntax>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le chemin et le nom du
+ fichier contenant les certificats des CA de confiance et/ou les
+ certificats clients du système global que <module>mod_ldap</module>
+ utilisera pour établir une connexion SSL ou TLS avec un serveur
+ LDAP. Notez que toute information relative aux certificats spécifiée
+ en utilisant cette directive s'applique globalement à l'ensemble de
+ l'installation du serveur. Certains SDK LDAP (en particulier Novell)
+ nécessitent la définition globale de tous les certificats clients en
+ utilisant cette directive. La plupart des autres SDK nécessitent la
+ définition des certificats clients dans une section Directory ou
+ Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
+ définissez pas ces directives correctement, une erreur sera générée
+ lors des tentatives de contact avec un serveur LDAP, ou la connexion
+ échouera silencieusement (Voir plus haut le guide des certificats
+ SSL/TLS pour plus de détails). Le paramètre type spécifie le type de
+ certificat en cours de définition, en fonction du SDK LDAP utilisé.
+ Les types supportés sont :</p>
+ <ul>
+ <li>CA_DER - certificat de CA codé en binaire DER</li>
+ <li>CA_BASE64 - certificat de CA codé en PEM</li>
+ <li>CA_CERT7_DB - fichier de base de données des certificats de CA
+ de Netscape cert7.db</li>
+ <li>CA_SECMOD - fichier de base de données secmod de Netscape</li>
+ <li>CERT_DER - certificat client codé en binaire DER</li>
+ <li>CERT_BASE64 - certificat client codé en PEM</li>
+ <li>CERT_KEY3_DB - fichier de base de données des certificats
+ clients de Netscape key3.db</li>
+ <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
+ <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
+ <li>KEY_DER - clé privée codée en binaire DER</li>
+ <li>KEY_BASE64 - clé privée codée en PEM</li>
+ <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
+ </ul>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPTrustedClientCert</name>
+<description>Définit le nom de fichier contenant un certificat client ou
+un alias renvoyant vers un certificat client spécifique à une connexion.
+Tous les SDK LDAP ne supportent pas les certificats clients par
+connexion.</description>
+<syntax>LDAPTrustedClientCert <var>type</var>
+<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></syntax>
+<contextlist><context>server config</context><context>virtual
+host</context><context>directory</context><context>.htaccess</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le chemin et le nom de
+ fichier ou l'alias d'un certificat client par connexion utilisé lors
+ de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP.
+ Les sections directory ou location peuvent posséder leurs propres
+ configurations de certificats clients. Certains SDK LDAP (en
+ particulier Novell) ne supportent pas les certificats clients par
+ connexion, et renvoient une erreur lors de la connexion au serveur
+ LDAP si vous tenter d'utiliser cette directive (Utilisez à la place
+ la directive LDAPTrustedGlobalCert pour les certificats clients sous
+ Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
+ de détails). Le paramètre type spécifie le type du certificat en
+ cours de définition, en fonction du SDK LDAP utilisé. Les types
+ supportés sont :</p>
+ <ul>
+ <li>CERT_DER - certificat client codé en binaire DER</li>
+ <li>CERT_BASE64 - certificat client codé en PEM</li>
+ <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
+ <li>KEY_DER - clé privée codée en binaire DER</li>
+ <li>KEY_BASE64 - clé privée codée en PEM</li>
+ </ul>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPTrustedMode</name>
+<description>Spécifie le mode (SSL ou TLS) à utiliser lors de la
+connexion à un serveur LDAP.</description>
+<syntax>LDAPTrustedMode <var>type</var></syntax>
+<contextlist><context>server config</context><context>virtual
+host</context></contextlist>
+
+<usage>
+ <p>Les modes suivants sont supportés :</p>
+ <ul>
+ <li>NONE - aucun chiffrement</li>
+ <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li>
+ <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li>
+ </ul>
+
+ <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP.
+ Un message d'erreur sera généré à l'exécution si un mode n'est pas
+ supporté, et la connexion au serveur LDAP échouera.
+ </p>
+
+ <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à
+ SSL et la définition de LDAPTrustedMode est ignorée.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPConnectionTimeout</name>
+<description>Spécifie le délai d'attente en secondes de la socket de
+connexion</description>
+<syntax>LDAPConnectionTimeout <var>secondes</var></syntax>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier le délai d'attente (en
+ secondes) pendant lequel le
+ module tentera de se connecter au serveur LDAP. Si une tentative de
+ connexion n'a pas abouti au bout de ce délai, soit une erreur sera
+ renvoyée, soit le module tentera de se connecter à un serveur LDAP
+ secondaire s'il en a été spécifié un. La valeur par défaut est de 10
+ secondes.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>LDAPVerifyServerCert</name>
+<description>Force la vérification du certificat du
+serveur</description>
+<syntax>LDAPVerifyServerCert <var>On|Off</var></syntax>
+<default>LDAPVerifyServerCert On</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de spécifier s'il faut forcer la
+ vérification d'un certificat de serveur lors de l'établissement
+ d'une connexion SSL avec un serveur LDAP.</p>
+</usage>
+</directivesynopsis>
+
+</modulesynopsis>
projects / apache / commitdiff