mod_ldap.xml.fr revision 0567f5109ab8fca175d5b7c7dab793bd2ea7ade0
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<?xml version="1.0"?>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<!DOCTYPE modulesynopsis SYSTEM "/style/modulesynopsis.dtd">
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<?xml-stylesheet type="text/xsl" href="/style/manual.fr.xsl"?>
5f5d1b4cc970b7f06ff8ef6526128e9a27303d88nd<!-- English Revision: 1202456:1299883 (outdated) -->
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<!-- French translation : Lucien GENTIS -->
1aa933455fcd538b1ee573f4566e1a78a89fce77nd<!-- Reviewed by : Vincent Deffontaines -->
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding<!--
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding Licensed to the Apache Software Foundation (ASF) under one or more
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding contributor license agreements. See the NOTICE file distributed with
db479b48bd4d75423ed4a45e15b75089d1a8ad72fielding this work for additional information regarding copyright ownership.
1aa933455fcd538b1ee573f4566e1a78a89fce77nd The ASF licenses this file to You under the Apache License, Version 2.0
1aa933455fcd538b1ee573f4566e1a78a89fce77nd (the "License"); you may not use this file except in compliance with
1aa933455fcd538b1ee573f4566e1a78a89fce77nd the License. You may obtain a copy of the License at
1aa933455fcd538b1ee573f4566e1a78a89fce77nd
1aa933455fcd538b1ee573f4566e1a78a89fce77nd http://www.apache.org/licenses/LICENSE-2.0
1aa933455fcd538b1ee573f4566e1a78a89fce77nd
1aa933455fcd538b1ee573f4566e1a78a89fce77nd Unless required by applicable law or agreed to in writing, software
1aa933455fcd538b1ee573f4566e1a78a89fce77nd distributed under the License is distributed on an "AS IS" BASIS,
1aa933455fcd538b1ee573f4566e1a78a89fce77nd WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
1aa933455fcd538b1ee573f4566e1a78a89fce77nd See the License for the specific language governing permissions and
7db9f691a00ead175b03335457ca296a33ddf31bnd limitations under the License.
3577f1d38e53397f6b431c02011f875316b2f070nd-->
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<modulesynopsis metafile="mod_ldap.xml.meta">
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<name>mod_ldap</name>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun<description>Conservation des connexions LDAP et services de mise en
4ab980a06412fd86f52a6d054fb7e26de155c530erikabelecache du r&eacute;sultat &agrave; destination des autres modules LDAP</description>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<status>Extension</status>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun<sourcefile>util_ldap.c</sourcefile>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive<identifier>ldap_module</identifier>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive<compatibility>Disponible &agrave; partir de la version 2.0.41
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slived'Apache</compatibility>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive<summary>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive <p>Ce module a &eacute;t&eacute; con&ccedil;u dans le but d'am&eacute;liorer les performances
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive des sites web s'appuyant sur des connexions en arri&egrave;re-plan vers des
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive serveurs LDAP. Il ajoute aux fonctions fournies par les
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive biblioth&egrave;ques standards LDAP la conservation des connexions LDAP
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive ainsi qu'un cache LDAP partag&eacute; en m&eacute;moire.</p>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive <p>Pour activer ce module, le support LDAP doit &ecirc;tre compil&eacute; dans
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive au script <program>configure</program> lorsqu'on construit
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive Apache.</p>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive <p>Le support SSL/TLS est conditionn&eacute; par le kit de d&eacute;veloppement
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive LDAP qui a &eacute;t&eacute; li&eacute; &agrave; <glossary>APR</glossary>. Au moment o&ugrave; ces
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive lignes sont &eacute;crites, APR-util supporte <a
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive sup&eacute;rieure), <a
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive Mozilla LDAP SDK</a>, le SDK LDAP propre &agrave; Solaris (bas&eacute; sur
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive Mozilla), le SDK LDAP propre &agrave; Microsoft, ou le SDK <a
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive href="http://www.iplanet.com/downloads/developer/">iPlanet
06d77ae37da42a6f8bbea25b7d7f8b6629245629slive (Netscape)</a>. Voir le site web <a
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive href="http://apr.apache.org">APR</a> pour plus de d&eacute;tails.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive</summary>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive<section id="exampleconfig"><title>Exemple de configuration</title>
c6f41bc69d643835804e7e831776d3d46c6f5962slive <p>Ce qui suit est un exemple de configuration qui utilise
c6f41bc69d643835804e7e831776d3d46c6f5962slive <module>mod_ldap</module> pour am&eacute;liorer les performances de
c6f41bc69d643835804e7e831776d3d46c6f5962slive l'authentification HTTP de base fournie par
c6f41bc69d643835804e7e831776d3d46c6f5962slive <module>mod_authnz_ldap</module>.</p>
d7604f90897d9b08b227c127ff5392393178911crpluem
d7604f90897d9b08b227c127ff5392393178911crpluem <example>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive # Active la conservation des connexions LDAP et le cache partag&eacute; en<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive # m&eacute;moire. Active le gestionnaire de statut du cache LDAP.<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive # N&eacute;cessite le chargement de mod_ldap et de mod_authnz_ldap.<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive # Remplacez "votre-domaine.example.com" par le nom de votre<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive # domaine.<br />
263168fdb45221efa79580de89bdde883b7561f7sf <br />
263168fdb45221efa79580de89bdde883b7561f7sf LDAPSharedCacheSize 500000<br />
263168fdb45221efa79580de89bdde883b7561f7sf LDAPCacheEntries 1024<br />
263168fdb45221efa79580de89bdde883b7561f7sf LDAPCacheTTL 600<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive LDAPOpCacheEntries 1024<br />
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive LDAPOpCacheTTL 600<br />
d7604f90897d9b08b227c127ff5392393178911crpluem <br />
d7604f90897d9b08b227c127ff5392393178911crpluem &lt;Location /statut-ldap&gt;<br />
d7604f90897d9b08b227c127ff5392393178911crpluem <indent>
d7604f90897d9b08b227c127ff5392393178911crpluem SetHandler ldap-status<br />
d7604f90897d9b08b227c127ff5392393178911crpluem
d7604f90897d9b08b227c127ff5392393178911crpluem Require host votre-domaine.example.com<br />
d7604f90897d9b08b227c127ff5392393178911crpluem
d7604f90897d9b08b227c127ff5392393178911crpluem Satisfy any<br />
d7604f90897d9b08b227c127ff5392393178911crpluem AuthType Basic<br />
d7604f90897d9b08b227c127ff5392393178911crpluem AuthName "Prot&eacute;g&eacute; par LDAP"<br />
d7604f90897d9b08b227c127ff5392393178911crpluem AuthBasicProvider ldap<br />
d7604f90897d9b08b227c127ff5392393178911crpluem AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one<br />
d7604f90897d9b08b227c127ff5392393178911crpluem Require valid-user<br />
c6f41bc69d643835804e7e831776d3d46c6f5962slive </indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;/Location&gt;
c6f41bc69d643835804e7e831776d3d46c6f5962slive </example>
c6f41bc69d643835804e7e831776d3d46c6f5962slive</section>
06d77ae37da42a6f8bbea25b7d7f8b6629245629slive
c6f41bc69d643835804e7e831776d3d46c6f5962slive<section id="pool"><title>Conservation des connexions LDAP</title>
c6f41bc69d643835804e7e831776d3d46c6f5962slive
c6f41bc69d643835804e7e831776d3d46c6f5962slive <p>Les connexions LDAP sont conserv&eacute;es de requ&ecirc;te en requ&ecirc;te. Ceci
c6f41bc69d643835804e7e831776d3d46c6f5962slive permet de rester connect&eacute; et identifi&eacute; au serveur LDAP, ce dernier
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive &eacute;tant ainsi pr&ecirc;t pour la prochaine requ&ecirc;te, sans avoir &agrave; se
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive d&eacute;connecter, reconnecter et r&eacute;identifier. Le gain en performances
c6f41bc69d643835804e7e831776d3d46c6f5962slive est similaire &agrave; celui des connexions persistantes (keepalives)
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive HTTP.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive <p>Sur un serveur tr&egrave;s sollicit&eacute;, il est possible que de nombreuses
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive requ&ecirc;tes tentent d'acc&eacute;der simultan&eacute;ment &agrave; la m&ecirc;me connexion au
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive serveur LDAP. Lorsqu'une connexion LDAP est utilis&eacute;e, Apache en cr&eacute;e
3fa816e4832a1c70600bdfd6fc5ef60e9f1c18bbsf une deuxi&egrave;me en parall&egrave;le &agrave; la premi&egrave;re, ce qui permet d'&eacute;viter que
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive le syst&egrave;me de conservation des connexions ne devienne un goulot
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive d'&eacute;tranglement.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive <p>Il n'est pas n&eacute;cessaire d'activer explicitement la conservation
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive des connexions dans la configuration d'Apache. Tout module utilisant
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive le module ldap pour acc&eacute;der aux services LDAP partagera le jeu de
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive connexions.</p>
67f57b90aea98fc792b6c6e67bd27ee35f7d026bigalic
d7604f90897d9b08b227c127ff5392393178911crpluem <p>Les connexions LDAP peuvent garder la trace des donn&eacute;es
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive d'identification du client ldap utilis&eacute;es pour l'identification
67f57b90aea98fc792b6c6e67bd27ee35f7d026bigalic aupr&egrave;s du serveur LDAP. Ces donn&eacute;es peuvent &ecirc;tre fournies aux
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun serveurs LDAP qui ne permettent pas les connexions anonymes au cours
67f57b90aea98fc792b6c6e67bd27ee35f7d026bigalic lors des tentatives de sauts vers des serveurs alternatifs. Pour
67f57b90aea98fc792b6c6e67bd27ee35f7d026bigalic contr&ocirc;ler cette fonctionnalit&eacute;, voir les directives <directive
67f57b90aea98fc792b6c6e67bd27ee35f7d026bigalic module="mod_ldap">LDAPReferrals</directive> et <directive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive module="mod_ldap">LDAPReferralHopLimit</directive>. Cette
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive fonctionnalit&eacute; est activ&eacute;e par d&eacute;faut.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive</section>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive<section id="cache"><title>Cache LDAP</title>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Pour am&eacute;liorer les performances, <module>mod_ldap</module> met en
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive oeuvre une strat&eacute;gie de mise en cache agressive visant &agrave; minimiser
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive le nombre de fois que le serveur LDAP doit &ecirc;tre contact&eacute;. La mise en
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive cache peut facilement doubler et m&ecirc;me tripler le d&eacute;bit d'Apache
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun lorsqu'il sert des pages prot&eacute;g&eacute;es par mod_authnz_ldap. De plus, le
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive serveur LDAP verra lui-m&ecirc;me sa charge sensiblement diminu&eacute;e.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p><module>mod_ldap</module> supporte deux types de mise en cache
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAP : un <em>cache recherche/identification</em> durant la phase
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun de recherche/identification et deux <em>caches d'op&eacute;rations</em>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun durant la phase de comparaison. Chaque URL LDAP utilis&eacute;e par le
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun serveur a son propre jeu d'instances dans ces trois caches.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="search-bind"><title>Le cache
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun recherche/identification</title>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Les processus de recherche et d'identification sont les
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun op&eacute;rations LDAP les plus consommatrices en temps, en particulier
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun si l'annuaire est de grande taille. Le cache de
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun recherche/identification met en cache toutes les recherches qui
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun ont abouti &agrave; une identification positive. Les r&eacute;sultats n&eacute;gatifs
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele (c'est &agrave; dire les recherches sans succ&egrave;s, ou les recherches qui
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele n'ont pas abouti &agrave; une identification positive) ne sont pas mis en
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele cache. La raison de cette d&eacute;cision r&eacute;side dans le fait que les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele connexions avec des donn&eacute;es d'identification invalides ne
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele repr&eacute;sentent qu'un faible pourcentage du nombre total de
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele connexions, et ainsi, le fait de ne pas mettre en cache les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele donn&eacute;es d'identification invalides r&eacute;duira d'autant la taille du
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele cache.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p><module>mod_ldap</module> met en cache le nom d'utilisateur, le
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun DN extrait, le mot de passe utilis&eacute; pour l'identification, ainsi
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun que l'heure de l'identification. Chaque fois qu'une nouvelle
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun connexion est initialis&eacute;e avec le m&ecirc;me nom d'utilisateur,
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <module>mod_ldap</module> compare le mot de passe de la nouvelle
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele connexion avec le mot de passe enregistr&eacute; dans le cache. Si les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele mots de passe correspondent, et si l'entr&eacute;e du cache n'est pas
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele trop ancienne, <module>mod_ldap</module> court-circuite la phase
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele de recherche/identification.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Le cache de recherche/identification est contr&ocirc;l&eacute; par les
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun directives <directive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun module="mod_ldap">LDAPCacheEntries</directive> et <directive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun module="mod_ldap">LDAPCacheTTL</directive>.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </section>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="opcaches"><title>Les caches d'op&eacute;rations</title>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Au cours des op&eacute;rations de comparaison d'attributs et de noms
a1ef40892ffa2b44fc249423c5b6c42a74a84c68nd distinctifs (DN), <module>mod_ldap</module> utilise deux caches
a1ef40892ffa2b44fc249423c5b6c42a74a84c68nd d'op&eacute;rations pour mettre en cache les op&eacute;rations de comparaison.
a1ef40892ffa2b44fc249423c5b6c42a74a84c68nd Le premier cache de comparaison sert &agrave; mettre en cache les
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun r&eacute;sultats de comparaisons effectu&eacute;es pour v&eacute;rifier l'appartenance
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &agrave; un groupe LDAP. Le second cache de comparaison sert &agrave; mettre en
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun cache les r&eacute;sultats de comparaisons entre DNs.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Notez que, lorsque l'appartenance &agrave; un groupe est v&eacute;rifi&eacute;e,
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele toute comparaison de sous-groupes est mise en cache afin
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun d'acc&eacute;l&eacute;rer les comparaisons de sous-groupes ult&eacute;rieures.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Le comportement de ces deux caches est contr&ocirc;l&eacute; par les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele directives <directive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun module="mod_ldap">LDAPOpCacheEntries</directive> et <directive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun module="mod_ldap">LDAPOpCacheTTL</directive>.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </section>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="monitoring"><title>Superviser le cache</title>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p><module>mod_ldap</module> poss&egrave;de un gestionnaire de contenu
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun qui permet aux administrateurs de superviser les performances du
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun cache. Le nom du gestionnaire de contenu est
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <code>ldap-status</code>, et on peut utiliser les directives
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun suivantes pour acc&eacute;der aux informations du cache de
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <module>mod_ldap</module> :</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;Location /serveur/infos-cache&gt;<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun SetHandler ldap-status<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </indent>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele &lt;/Location&gt;
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>En se connectant &agrave; l'URL
10a304fc5348d394375b98ae10ca9b137fd10cafkess <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun obtenir un rapport sur le statut de chaque cache qu'utilise
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <module>mod_ldap</module>. Notez que si Apache ne supporte pas la
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun m&eacute;moire partag&eacute;e, chaque instance de <program>httpd</program>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun poss&egrave;dera son propre cache, et chaque fois que l'URL sera
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun recharg&eacute;e, un r&eacute;sultat diff&eacute;rent pourra &ecirc;tre affich&eacute;, en fonction
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun de l'instance de <program>httpd</program> qui traitera la
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun requ&ecirc;te.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele</section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun<section id="usingssltls"><title>Utiliser SSL/TLS</title>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>La possibilit&eacute; de cr&eacute;er des connexions SSL et TLS avec un serveur
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAP est d&eacute;finie par les directives <directive module="mod_ldap">
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert</directive>, <directive module="mod_ldap">
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedClientCert</directive> et <directive module="mod_ldap">
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedMode</directive>. Ces directives permettent de sp&eacute;cifier
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele l'autorit&eacute; de certification (CA), les certificats clients &eacute;ventuels,
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun ainsi que le type de chiffrement &agrave; utiliser pour la connexion (none,
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele SSL ou TLS/STARTTLS).</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # Etablissement d'une connexion SSL LDAP sur le port 636.<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # N&eacute;cessite le chargement de mod_ldap et mod_authnz_ldap.<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # Remplacez "votre-domaine.example.com" par le nom de votre<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # domaine.<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;Location /statut-ldap&gt;<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <indent>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele SetHandler ldap-status<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require host votre-domaine.example.com<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
8ba6e8ba8d8ad4d8228872d5526fa7295ff43149poirier Satisfy any<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthType Basic<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthName "Prot&eacute;g&eacute; par LDAP"<br />
a3388213b2b4d46b356be205e38204e67b4304d8rbowen AuthBasicProvider ldap<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require valid-user<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;/Location&gt;
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </example>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <example>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Etablissement d'une connexion TLS LDAP sur le port 389.<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # N&eacute;cessite le chargement de mod_ldap et mod_authnz_ldap.<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Remplacez "votre-domaine.example.com" par le nom de votre<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # domaine.<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;Location /statut-ldap&gt;<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun SetHandler ldap-status<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require host votre-domaine.example.com<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Satisfy any<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthType Basic<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthName "Prot&eacute;g&eacute; par LDAP"<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthBasicProvider ldap<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele Require valid-user<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;/Location&gt;
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
a3388213b2b4d46b356be205e38204e67b4304d8rbowen</section>
a3388213b2b4d46b356be205e38204e67b4304d8rbowen
a3388213b2b4d46b356be205e38204e67b4304d8rbowen<section id="settingcerts"><title>Certificats SSL/TLS</title>
a3388213b2b4d46b356be205e38204e67b4304d8rbowen
a3388213b2b4d46b356be205e38204e67b4304d8rbowen <p>Les diff&eacute;rents SDKs LDAP disposent de nombreuses m&eacute;thodes pour
a3388213b2b4d46b356be205e38204e67b4304d8rbowen d&eacute;finir et g&eacute;rer les certificats des clients et des autorit&eacute;s de
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun certification (CA).</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun section ATTENTIVEMENT de fa&ccedil;on &agrave; bien comprendre les diff&eacute;rences de
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun configurations entre les diff&eacute;rents SDKs LDAP support&eacute;s.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
a3388213b2b4d46b356be205e38204e67b4304d8rbowen <section id="settingcerts-netscape"><title>SDK Netscape/Mozilla/iPlanet</title>
a3388213b2b4d46b356be205e38204e67b4304d8rbowen <p>Les certificat de CA sont enregistr&eacute;s dans un fichier nomm&eacute;
df321386f1d9ed17a3e5e6468807996a12890d50gryzor cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
df321386f1d9ed17a3e5e6468807996a12890d50gryzor certificat n'a pas &eacute;t&eacute; sign&eacute; par une CA sp&eacute;cifi&eacute;e dans ce
df321386f1d9ed17a3e5e6468807996a12890d50gryzor fichier. Si des certificats clients sont requis, un fichier
df321386f1d9ed17a3e5e6468807996a12890d50gryzor key3.db ainsi qu'un mot de passe optionnels peuvent &ecirc;tre
df321386f1d9ed17a3e5e6468807996a12890d50gryzor sp&eacute;cifi&eacute;s. On peut aussi sp&eacute;cifier le fichier secmod si
df321386f1d9ed17a3e5e6468807996a12890d50gryzor n&eacute;cessaire. Ces fichiers sont du m&ecirc;me format que celui utilis&eacute;
df321386f1d9ed17a3e5e6468807996a12890d50gryzor par les navigateurs web Netscape Communicator ou Mozilla. Le
df321386f1d9ed17a3e5e6468807996a12890d50gryzor moyen le plus simple pour obtenir ces fichiers consiste &agrave; les
df321386f1d9ed17a3e5e6468807996a12890d50gryzor extraire de l'installation de votre navigateur.</p>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor
df321386f1d9ed17a3e5e6468807996a12890d50gryzor <p>Les certificats clients sont sp&eacute;cifi&eacute;s pour chaque connexion
df321386f1d9ed17a3e5e6468807996a12890d50gryzor en utilisant la directive LDAPTrustedClientCert et en se
df321386f1d9ed17a3e5e6468807996a12890d50gryzor r&eacute;f&eacute;rant au certificat "nickname". On peut &eacute;ventuellement
df321386f1d9ed17a3e5e6468807996a12890d50gryzor sp&eacute;cifier un mot de passe pour d&eacute;verrouiller la cl&eacute; priv&eacute;e du
df321386f1d9ed17a3e5e6468807996a12890d50gryzor certificat.</p>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor
df321386f1d9ed17a3e5e6468807996a12890d50gryzor <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
df321386f1d9ed17a3e5e6468807996a12890d50gryzor de STARTTLS engendrera une erreur lors des tentatives de
df321386f1d9ed17a3e5e6468807996a12890d50gryzor contacter le serveur LDAP pendant l'ex&eacute;cution.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <example>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Sp&eacute;cifie un fichier de certificats de CA Netscape<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Sp&eacute;cifie un fichier key3db optionnel pour le support des
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # certificats clients<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # Sp&eacute;cifie le fichier secmod si n&eacute;cessaire<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;Location /statut-ldap&gt;<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun SetHandler ldap-status<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele Require host votre-domaine.example.com<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele Satisfy any<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthType Basic<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthName "Prot&eacute;g&eacute; par LDAP"<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun AuthBasicProvider ldap<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedClientCert CERT_NICKNAME &lt;nickname&gt;
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun [mot de passe]<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require valid-user<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;/Location&gt;
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </section>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="settingcerts-novell"><title>SDK Novell</title>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Un ou plusieurs certificats de CA doivent &ecirc;tre sp&eacute;cifi&eacute;s pour
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele que le SDK Novell fonctionne correctement. Ces certificats
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun peuvent &ecirc;tre sp&eacute;cifi&eacute;s sous forme de fichiers au format binaire
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele DER ou cod&eacute;s en Base64 (PEM).</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Note: Les certificats clients sont sp&eacute;cifi&eacute;s globalement
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele plut&ocirc;t qu'&agrave; chaque connexion, et doivent &ecirc;tre sp&eacute;cifi&eacute;s &agrave; l'aide
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun de la directive LDAPTrustedGlobalCert comme ci-dessous. D&eacute;finir
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun des certificats clients via la directive LDAPTrustedClientCert
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun engendrera une erreur qui sera journalis&eacute;e, au moment de la
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele tentative de connexion avec le serveur LDAP.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Le SDK supporte SSL et STARTTLS, le choix &eacute;tant d&eacute;fini par le
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele param&egrave;tre de la directive LDAPTrustedMode. Si une URL de type
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele ldaps:// est sp&eacute;cifi&eacute;e, le mode SSL est forc&eacute;, et l'emporte sur
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele cette directive.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <example>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # Sp&eacute;cifie deux fichiers contenant des certificats de CA<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Sp&eacute;cifie un fichier contenant des certificats clients
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun # ainsi qu'une cl&eacute;<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele passe]<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # N'utilisez pas cette directive, sous peine de provoquer
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # une erreur<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </example>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="settingcerts-openldap"><title>SDK OpenLDAP</title>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>Un ou plusieurs certificats de CA doivent &ecirc;tre sp&eacute;cifi&eacute;s pour
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun que le SDK OpenLDAP fonctionne correctement. Ces certificats
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele peuvent &ecirc;tre sp&eacute;cifi&eacute;s sous forme de fichiers au format binaire
10a304fc5348d394375b98ae10ca9b137fd10cafkess DER ou cod&eacute;s en Base64 (PEM).</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Les certificats clients sont sp&eacute;cifi&eacute;s pour chaque connexion
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &agrave; l'aide de la directive LDAPTrustedClientCert.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
13dd6a45ad3051c84a03bfbc88f0e314a5322ed6rbowen <p>La documentation du SDK pr&eacute;tend que SSL et STARTTLS sont
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun support&eacute;s ; cependant, STARTTLS semble ne pas fonctionner avec
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele toutes les versions du SDK. Le mode SSL/TLS peut &ecirc;tre d&eacute;fini en
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun utilisant le param&egrave;tre de la directive LDAPTrustedMode. Si une
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele URL de type
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele ldaps:// est sp&eacute;cifi&eacute;e, le mode SSL est forc&eacute;. La documentation
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele OpenLDAP indique que le support SSL (ldaps://) tend &agrave; &ecirc;tre
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun remplac&eacute; par TLS, bien que le mode SSL fonctionne toujours.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <example>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele # Sp&eacute;cifie deux fichiers contenant des certificats de CA<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;Location /statut-ldap&gt;<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun SetHandler ldap-status<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require host votre-domaine.example.com<br />
2c44e52ec852d7d8392068fd13a1d8d8a4e830c1kess
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Satisfy any<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthType Basic<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthName "Prot&eacute;g&eacute; par LDAP"<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthBasicProvider ldap<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one<br />
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun Require valid-user<br />
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </indent>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun &lt;/Location&gt;
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </example>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <section id="settingcerts-solaris"><title>SDK Solaris</title>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>SSL/TLS pour les biblioth&egrave;ques LDAP propres &agrave; Solaris n'est
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun pas encore support&eacute;. Si n&eacute;cessaire, installez et utilisez plut&ocirc;t
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun les biblioth&egrave;ques OpenLDAP.</p>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele </section>
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <section id="settingcerts-microsoft"><title>SDK Microsoft</title>
e8811b6d38f756b325446ded5d96857d13856511takashi
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>La configuration des certificats SSL/TLS pour les
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun biblioth&egrave;ques LDAP propres &agrave; Microsoft s'effectue &agrave; l'int&eacute;rieur
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun du registre syst&egrave;me, et aucune directive de configuration n'est
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun requise.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun <p>SSL et TLS sont tous deux support&eacute;s en utilisant des URLs de
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele type ldaps://, ou en d&eacute;finissant la directive LDAPTrustedMode &agrave;
d4e64150011f0e4a1f1ad316b2723fdde2febe2aigalic cet effet.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Note: L'&eacute;tat du support des certificats clients n'est pas
0ed10f46135a337e6779d6895d80b43a3471dc70pquerna encore connu pour ce SDK.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun </section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
ad93f15b0bef55041347cdbad447d94296eb89f2nilgun</section>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele
<directivesynopsis>
<name>LDAPSharedCacheSize</name>
<description>Taille en octets du cache en m&eacute;moire partag&eacute;e</description>
<syntax>LDAPSharedCacheSize <var>octets</var></syntax>
<default>LDAPSharedCacheSize 500000</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier le nombre d'octets &agrave; allouer
pour le cache en m&eacute;moire partag&eacute;e. La valeur par
d&eacute;faut est 500kb.
Si elle est d&eacute;finie &agrave; 0, le cache en m&eacute;moire partag&eacute;e ne sera pas
utilis&eacute; et chaque processus HTTPD va cr&eacute;er son propre cache.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPSharedCacheFile</name>
<description>D&eacute;finit le fichier du cache en m&eacute;moire
partag&eacute;e</description>
<syntax>LDAPSharedCacheFile <var>chemin/nom-fichier</var></syntax>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier le chemin et le nom du
fichier du cache en m&eacute;moire partag&eacute;e. Si elle n'est pas d&eacute;finie, la
m&eacute;moire partag&eacute;e anonyme sera utilis&eacute;e si la plate-forme la
supporte.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPCacheEntries</name>
<description>Nombre maximum d'entr&eacute;es dans le cache LDAP
primaire</description>
<syntax>LDAPCacheEntries <var>nombre</var></syntax>
<default>LDAPCacheEntries 1024</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier la taille maximale du cache
LDAP primaire. Ce cache contient les r&eacute;sultats de
recherche/identification positifs. D&eacute;finissez-la &agrave; 0 pour d&eacute;sactiver
la mise en cache des r&eacute;sultats de recherche/identification positifs.
La taille par d&eacute;faut est de 1024 recherches en cache.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPCacheTTL</name>
<description>Dur&eacute;e pendant laquelle les entr&eacute;es du cache restent
valides.</description>
<syntax>LDAPCacheTTL <var>secondes</var></syntax>
<default>LDAPCacheTTL 600</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier la dur&eacute;e (en secondes)
pendant laquelle une entr&eacute;e du cache de recherche/identification
reste valide. La valeur par d&eacute;faut est de 600 secondes (10
minutes).</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPOpCacheEntries</name>
<description>Nombre d'entr&eacute;es utilis&eacute;es pour mettre en cache les
op&eacute;rations de comparaison LDAP</description>
<syntax>LDAPOpCacheEntries <var>nombre</var></syntax>
<default>LDAPOpCacheEntries 1024</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier le nombre d'entr&eacute;es que
<module>mod_ldap</module> va utiliser pour mettre en cache les
op&eacute;rations de comparaison LDAP. La valeur par d&eacute;faut est de 1024
entr&eacute;es. Si elle est d&eacute;finie &agrave; 0, la mise en cache des op&eacute;rations de
comparaison LDAP est d&eacute;sactiv&eacute;e.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPOpCacheTTL</name>
<description>Dur&eacute;e pendant laquelle les entr&eacute;es du cache d'op&eacute;rations
restent valides</description>
<syntax>LDAPOpCacheTTL <var>secondes</var></syntax>
<default>LDAPOpCacheTTL 600</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier la dur&eacute;e (en secondes)
pendant laquelle les entr&eacute;es du cache d'op&eacute;rations restent valides.
La valeur par d&eacute;faut est de 600 secondes.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPReferralHopLimit</name>
<description>Le nombre maximum de redirections vers des serveurs
alternatifs (referrals) avant l'abandon de la requ&ecirc;te
LDAP.</description>
<syntax>LDAPReferralHopLimit <var>nombre</var></syntax>
<default>D&eacute;pend du SDK, en g&eacute;n&eacute;ral entre 5 et 10</default>
<contextlist><context>directory</context><context>.htaccess</context></contextlist>
<override>AuthConfig</override>
<usage>
<p>Si elle est activ&eacute;e par la directive <code>LDAPReferrals</code>,
cette directive permet de d&eacute;finir le nombre maximum de sauts vers
des serveurs alternatifs (referrals) avant l'abandon de la requ&ecirc;te
LDAP.</p>
<note type="warning">
<p>L'ajustement de ce param&egrave;tre n'est pas commun &agrave; tous les SDKs LDAP.</p>
</note>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPReferrals</name>
<description>Active la redirection vers des serveurs alternatifs au
cours des requ&ecirc;tes vers le serveur LDAP.</description>
<syntax>LDAPReferrals <var>On|Off</var></syntax>
<default>LDAPReferrals On</default>
<contextlist><context>directory</context><context>.htaccess</context></contextlist>
<override>AuthConfig</override>
<usage>
<p>Certains serveurs LDAP partagent leur annuaire en plusieurs
domaines et utilisent le syst&egrave;me des redirections (referrals) pour
aiguiller un client lorsque les limites d'un domaine doivent &ecirc;tre
franchies. En d&eacute;finissant <code>LDAPReferrals On</code>, les
redirections seront prises en compte (et bien entendu, en
d&eacute;finissant <code>LDAPReferrals Off</code>, les redirections seront
ignor&eacute;es). La directive <code>LDAPReferralHopLimit</code> compl&egrave;te
cette directive en d&eacute;finissant le nombre maximum de redirections &agrave;
suivre avant l'abandon de la requ&ecirc;te LDAP. Lorsque le traitement des
redirections est activ&eacute;, les donn&eacute;es d'identification du client
seront fournies, via un appel (callback) de r&eacute;identification, &agrave; tout
serveur LDAP qui en fera la demande.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPTrustedGlobalCert</name>
<description>D&eacute;finit le nom de fichier ou la base de donn&eacute;es contenant
les Autorit&eacute;s de Certification de confiance globales ou les certificats
clients globaux</description>
<syntax>LDAPTrustedGlobalCert <var>type</var>
<var>chemin/nom-fichier</var> <var>[mot de passe]</var></syntax>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier le chemin et le nom du
fichier contenant les certificats des CA de confiance et/ou les
certificats clients du syst&egrave;me global que <module>mod_ldap</module>
utilisera pour &eacute;tablir une connexion SSL ou TLS avec un serveur
LDAP. Notez que toute information relative aux certificats sp&eacute;cifi&eacute;e
en utilisant cette directive s'applique globalement &agrave; l'ensemble de
l'installation du serveur. Certains SDK LDAP (en particulier Novell)
n&eacute;cessitent la d&eacute;finition globale de tous les certificats clients en
utilisant cette directive. La plupart des autres SDK n&eacute;cessitent la
d&eacute;finition des certificats clients dans une section Directory ou
Location en utilisant la directive LDAPTrustedClientCert. Si vous ne
d&eacute;finissez pas ces directives correctement, une erreur sera g&eacute;n&eacute;r&eacute;e
lors des tentatives de contact avec un serveur LDAP, ou la connexion
&eacute;chouera silencieusement (Voir plus haut le guide des certificats
SSL/TLS pour plus de d&eacute;tails). Le param&egrave;tre type sp&eacute;cifie le type de
certificat en cours de d&eacute;finition, en fonction du SDK LDAP utilis&eacute;.
Les types support&eacute;s sont :</p>
<ul>
<li>CA_DER - certificat de CA cod&eacute; en binaire DER</li>
<li>CA_BASE64 - certificat de CA cod&eacute; en PEM</li>
<li>CA_CERT7_DB - fichier de base de donn&eacute;es des certificats de CA
de Netscape cert7.db</li>
<li>CA_SECMOD - fichier de base de donn&eacute;es secmod de Netscape</li>
<li>CERT_DER - certificat client cod&eacute; en binaire DER</li>
<li>CERT_BASE64 - certificat client cod&eacute; en PEM</li>
<li>CERT_KEY3_DB - fichier de base de donn&eacute;es des certificats
clients de Netscape key3.db</li>
<li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
<li>CERT_PFX - certificat client cod&eacute; en PKCS#12 (SDK Novell)</li>
<li>KEY_DER - cl&eacute; priv&eacute;e cod&eacute;e en binaire DER</li>
<li>KEY_BASE64 - cl&eacute; priv&eacute;e cod&eacute;e en PEM</li>
<li>KEY_PFX - cl&eacute; priv&eacute;e cod&eacute;e en PKCS#12 (SDK Novell)</li>
</ul>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPTrustedClientCert</name>
<description>D&eacute;finit le nom de fichier contenant un certificat client ou
un alias renvoyant vers un certificat client sp&eacute;cifique &agrave; une connexion.
Tous les SDK LDAP ne supportent pas les certificats clients par
connexion.</description>
<syntax>LDAPTrustedClientCert <var>type</var>
<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></syntax>
<contextlist><context>server config</context><context>virtual
host</context><context>directory</context><context>.htaccess</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier le chemin et le nom de
fichier ou l'alias d'un certificat client par connexion utilis&eacute; lors
de l'&eacute;tablissement d'une connexion SSL ou TLS avec un serveur LDAP.
Les sections directory ou location peuvent poss&eacute;der leurs propres
configurations de certificats clients. Certains SDK LDAP (en
particulier Novell) ne supportent pas les certificats clients par
connexion, et renvoient une erreur lors de la connexion au serveur
LDAP si vous tenter d'utiliser cette directive (Utilisez &agrave; la place
la directive LDAPTrustedGlobalCert pour les certificats clients sous
Novell - Voir plus haut le guide des certificats SSL/TLS pour plus
de d&eacute;tails). Le param&egrave;tre type sp&eacute;cifie le type du certificat en
cours de d&eacute;finition, en fonction du SDK LDAP utilis&eacute;. Les types
support&eacute;s sont :</p>
<ul>
<li>CA_DER - certificat de CA cod&eacute; en binaire DER</li>
<li>CA_BASE64 - certificat de CA cod&eacute; en PEM</li>
<li>CERT_DER - certificat client cod&eacute; en binaire DER</li>
<li>CERT_BASE64 - certificat client cod&eacute; en PEM</li>
<li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
<li>KEY_DER - cl&eacute; priv&eacute;e cod&eacute;e en binaire DER</li>
<li>KEY_BASE64 - cl&eacute; priv&eacute;e cod&eacute;e en PEM</li>
</ul>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPTrustedMode</name>
<description>Sp&eacute;cifie le mode (SSL ou TLS) &agrave; utiliser lors de la
connexion &agrave; un serveur LDAP.</description>
<syntax>LDAPTrustedMode <var>type</var></syntax>
<contextlist><context>server config</context><context>virtual
host</context></contextlist>
<usage>
<p>Les modes suivants sont support&eacute;s :</p>
<ul>
<li>NONE - aucun chiffrement</li>
<li>SSL - chiffrement ldaps:// sur le port par d&eacute;faut 636</li>
<li>TLS - chiffrement STARTTLS sur le port par d&eacute;faut 389</li>
</ul>
<p>Les modes ci-dessus ne sont pas support&eacute;s par tous les SDK LDAP.
Un message d'erreur sera g&eacute;n&eacute;r&eacute; &agrave; l'ex&eacute;cution si un mode n'est pas
support&eacute;, et la connexion au serveur LDAP &eacute;chouera.
</p>
<p>Si une URL de type ldaps:// est sp&eacute;cifi&eacute;e, le mode est forc&eacute; &agrave;
SSL et la d&eacute;finition de LDAPTrustedMode est ignor&eacute;e.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPConnectionTimeout</name>
<description>Sp&eacute;cifie le d&eacute;lai d'attente en secondes de la socket de
connexion</description>
<syntax>LDAPConnectionTimeout <var>secondes</var></syntax>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive configure l'option LDAP_OPT_NETWORK_TIMEOUT (ou
LDAP_OPT_CONNECT_TIMEOUT) dans la biblioth&egrave;que client LDAP
sous-jacente, si elle est disponible. Cette valeur repr&eacute;sente la
dur&eacute;e pendant laquelle la biblioth&egrave;que client LDAP va attendre que
le processus de connexion TCP au serveur LDAP soit achev&eacute;.</p>
<p>Si la connexion n'a pas r&eacute;ussi avant ce d&eacute;lai, une erreur sera
renvoy&eacute;e, ou la biblioth&egrave;que client LDAP tentera de se connecter &agrave;
un second serveur LDAP, s'il en a &eacute;t&eacute; d&eacute;fini un (via une liste de
noms d'h&ocirc;tes s&eacute;par&eacute;s par des espaces dans la directive <directive
module="mod_ldap">AuthLDAPURL</directive>).</p>
<p>La valeur par d&eacute;faut est 10 secondes, si la biblioth&egrave;que client
LDAP li&eacute;e avec le serveur supporte l'option
LDAP_OPT_NETWORK_TIMEOUT.</p>
<note>LDAPConnectionTimeout n'est disponible que si la biblioth&egrave;que client
LDAP li&eacute;e avec le serveur supporte l'option
LDAP_OPT_NETWORK_TIMEOUT (ou LDAP_OPT_CONNECT_TIMEOUT), et le
comportement final est enti&egrave;rement dict&eacute; par la biblioth&egrave;que client
LDAP.
</note>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPTimeout</name>
<description>Sp&eacute;cifie le d&eacute;lai d'attente pour les op&eacute;rations de
recherche et d'identification LDAP en secondes</description>
<syntax>LDAPTimeout <var>secondes</var></syntax>
<default>LDAPTimeout 60</default>
<contextlist><context>server config</context></contextlist>
<compatibility>Disponible &agrave; partir de la version 2.3.5 du serveur HTTP
Apache</compatibility>
<usage>
<p>Cette directive permet de sp&eacute;cifier le d&eacute;lai d'attente pour les
op&eacute;rations de recherche et d'identification, ainsi que l'option
LDAP_OPT_TIMEOUT dans la biblioth&egrave;que LDAP client sous-jacente,
lorsqu'elle est disponible.</p>
<p>Lorsque le d&eacute;lai est atteint, httpd va refaire un essai dans le
cas o&ugrave; une connexion existante a &eacute;t&eacute; silencieusement ferm&eacute;e par un
pare-feu. Les performances seront cependant bien meilleures si le
pare-feu est configur&eacute; pour envoyer des paquets TCP RST au lieu de
rejeter silencieusement les paquets.</p>
<note>
<p>Les d&eacute;lais pour les op&eacute;rations de comparaison LDAP n&eacute;cessitent un
SDK avec LDAP_OPT_TIMEOUT, comme OpenLDAP &gt;= 2.4.4.</p>
</note>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPVerifyServerCert</name>
<description>Force la v&eacute;rification du certificat du
serveur</description>
<syntax>LDAPVerifyServerCert <var>On|Off</var></syntax>
<default>LDAPVerifyServerCert On</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Cette directive permet de sp&eacute;cifier s'il faut forcer la
v&eacute;rification d'un certificat de serveur lors de l'&eacute;tablissement
d'une connexion SSL avec un serveur LDAP.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPConnectionPoolTTL</name>
<description>D&eacute;sactive les connexions d'arri&egrave;re-plan qui sont rest&eacute;es
inactives trop longtemps au sein du jeu de connexions.</description>
<syntax>LDAPConnectionPoolTTL <var>n</var></syntax>
<default>LDAPConnectionPoolTTL -1</default>
<contextlist><context>server config</context><context>virtual host</context></contextlist>
<compatibility>Disponible &agrave; partir de la version 2.3.12 du serveur HTTP
Apache</compatibility>
<usage>
<p>Cette directive permet de sp&eacute;cifier la dur&eacute;e maximale, en
secondes, pendant laquelle une connexion LDAP du jeu de connexions
peut demeurer inactive, mais rester quand-m&ecirc;me disponible pour une
utilisation &eacute;ventuelle. Le jeu de connexions est nettoy&eacute; au fur et &agrave;
mesure des besoins, de mani&egrave;re non asynchrone.</p>
<p>Si cette directive est d&eacute;finie &agrave; 0, les connexions ne sont jamais
sauvegard&eacute;es dans le jeu de connexions d'arri&egrave;re-plan. Avec la
valeur par d&eacute;faut -1, ou toute autre valeur n&eacute;gative, les connexions
peuvent &ecirc;tre r&eacute;utilis&eacute;es sans limite de dur&eacute;e.</p>
<note><p>Cette dur&eacute;e de vie s'exprime par d&eacute;faut en secondes, mais
il est possible d'utiliser d'autres unit&eacute;s en ajoutant un suffixe :
millisecondes (ms), minutes (min), ou heures (h).
</p></note>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>LDAPLibraryDebug</name>
<description>Active le d&eacute;bogage dans le SDK LDAP</description>
<syntax>LDAPLibraryDebug <var>7</var></syntax>
<default>disabled</default>
<contextlist><context>server config</context></contextlist>
<usage>
<p>Active les options de d&eacute;bogage LDAP sp&eacute;cifiques au SDK, qui
entra&icirc;nent en g&eacute;n&eacute;ral une journalisation d'informations verbeuses du
SDK LDAP dans le journal principal des erreurs d'Apache. Les
messages de traces en provenance du SDK LDAP fournissent des
informations tr&egrave;s d&eacute;taill&eacute;es qui peuvent s'av&eacute;rer utiles lors du
d&eacute;bogage des probl&egrave;mes de connexion avec des serveurs LDAP
d'arri&egrave;re-plan.</p>
<p>Cette option n'est configurable que lorsque le serveur HTTP
Apache est li&eacute; avec un SDK LDAP qui impl&eacute;mente
<code>LDAP_OPT_DEBUG</code> ou <code>LDAP_OPT_DEBUG_LEVEL</code>,
comme OpenLDAP (une valeur de 7 est verbeuse) ou Tivoli Directory
Server (une valeur de 65535 est verbeuse).</p>
<note type="warning">
<p>Les informations journalis&eacute;es peuvent contenir des donn&eacute;es
d'authentification en clair utilis&eacute;es ou valid&eacute;es lors de
l'authentification LDAP ; vous devez donc prendre soin de prot&eacute;ger
et de purger le journal des erreurs lorsque cette directive est
utilis&eacute;e.</p>
</note>
</usage>
</directivesynopsis>
</modulesynopsis>