mod_ldap.xml.fr revision e04d06603a7abd1090421cbc961685d5468f1039
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<!DOCTYPE modulesynopsis SYSTEM "/style/modulesynopsis.dtd">
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<?xml-stylesheet type="text/xsl" href="/style/manual.fr.xsl"?>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<!-- English Revision: 1358946:1380533 (outdated) -->
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<!-- French translation : Lucien GENTIS -->
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<!-- Reviewed by : Vincent Deffontaines -->
5a58787efeb02a1c3f06569d019ad81fd2efa06end Licensed to the Apache Software Foundation (ASF) under one or more
5a58787efeb02a1c3f06569d019ad81fd2efa06end contributor license agreements. See the NOTICE file distributed with
5a58787efeb02a1c3f06569d019ad81fd2efa06end this work for additional information regarding copyright ownership.
5a58787efeb02a1c3f06569d019ad81fd2efa06end The ASF licenses this file to You under the Apache License, Version 2.0
5a58787efeb02a1c3f06569d019ad81fd2efa06end (the "License"); you may not use this file except in compliance with
3f08db06526d6901aa08c110b5bc7dde6bc39905nd the License. You may obtain a copy of the License at
3f08db06526d6901aa08c110b5bc7dde6bc39905nd Unless required by applicable law or agreed to in writing, software
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd distributed under the License is distributed on an "AS IS" BASIS,
a78048ccbdb6256da15e6b0e7e95355e480c2301nd WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
5e740829c3448285963d3882530669f0112cf690gryzor See the License for the specific language governing permissions and
aee1f193a276866212922ae5072e3014db28582frpluem limitations under the License.
5a58787efeb02a1c3f06569d019ad81fd2efa06end<description>Conservation des connexions LDAP et services de mise en
5a58787efeb02a1c3f06569d019ad81fd2efa06endcache du résultat à destination des autres modules LDAP</description>
5a58787efeb02a1c3f06569d019ad81fd2efa06end<compatibility>Disponible à partir de la version 2.0.41
5a58787efeb02a1c3f06569d019ad81fd2efa06endd'Apache</compatibility>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor <p>Ce module a été conçu dans le but d'améliorer les performances
5a58787efeb02a1c3f06569d019ad81fd2efa06end des sites web s'appuyant sur des connexions en arrière-plan vers des
5a58787efeb02a1c3f06569d019ad81fd2efa06end serveurs LDAP. Il ajoute aux fonctions fournies par les
5a58787efeb02a1c3f06569d019ad81fd2efa06end bibliothèques standards LDAP la conservation des connexions LDAP
5a58787efeb02a1c3f06569d019ad81fd2efa06end ainsi qu'un cache LDAP partagé en mémoire.</p>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <p>Pour activer ce module, le support LDAP doit être compilé dans
5a58787efeb02a1c3f06569d019ad81fd2efa06end apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive au script <program>configure</program> lorsqu'on construit
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive Apache.</p>
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive <p>Le support SSL/TLS est conditionné par le kit de développement
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive LDAP qui a été lié à <glossary>APR</glossary>. Au moment où ces
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive lignes sont écrites, APR-util supporte <a
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive supérieure), <a
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html">
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://www.iplanet.com/downloads/developer/">iPlanet
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive href="http://apr.apache.org">APR</a> pour plus de détails.</p>
5a58787efeb02a1c3f06569d019ad81fd2efa06end<section id="exampleconfig"><title>Exemple de configuration</title>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <p>Ce qui suit est un exemple de configuration qui utilise
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive <module>mod_ldap</module> pour améliorer les performances de
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive l'authentification HTTP de base fournie par
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive# Active la conservation des connexions LDAP et le cache partagé en
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive# mémoire. Active le gestionnaire de statut du cache LDAP.
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive# Nécessite le chargement de mod_ldap et de mod_authnz_ldap.
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive# Remplacez "votre-domaine.example.com" par le nom de votre
c6f41bc69d643835804e7e831776d3d46c6f5962sliveLDAPSharedCacheSize 500000
c6f41bc69d643835804e7e831776d3d46c6f5962sliveLDAPCacheEntries 1024
c6f41bc69d643835804e7e831776d3d46c6f5962sliveLDAPCacheTTL 600
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluemLDAPOpCacheEntries 1024
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluemLDAPOpCacheTTL 600
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive<Location /ldap-status>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive SetHandler ldap-status
263168fdb45221efa79580de89bdde883b7561f7sf Satisfy any
263168fdb45221efa79580de89bdde883b7561f7sf AuthType Basic
263168fdb45221efa79580de89bdde883b7561f7sf AuthName "LDAP Protected"
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive AuthBasicProvider ldap
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem Require valid-user
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem</Location>
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem </highlight>
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem<section id="pool"><title>Conservation des connexions LDAP</title>
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem <p>Les connexions LDAP sont conservées de requête en requête. Ceci
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem permet de rester connecté et identifié au serveur LDAP, ce dernier
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem étant ainsi prêt pour la prochaine requête, sans avoir à se
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem déconnecter, reconnecter et réidentifier. Le gain en performances
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem est similaire à celui des connexions persistantes (keepalives)
aee1f193a276866212922ae5072e3014db28582frpluem <p>Sur un serveur très sollicité, il est possible que de nombreuses
c6f41bc69d643835804e7e831776d3d46c6f5962slive requêtes tentent d'accéder simultanément à la même connexion au
c6f41bc69d643835804e7e831776d3d46c6f5962slive serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée
06d77ae37da42a6f8bbea25b7d7f8b6629245629slive une deuxième en parallèle à la première, ce qui permet d'éviter que
c6f41bc69d643835804e7e831776d3d46c6f5962slive le système de conservation des connexions ne devienne un goulot
c6f41bc69d643835804e7e831776d3d46c6f5962slive d'étranglement.</p>
c6f41bc69d643835804e7e831776d3d46c6f5962slive <p>Il n'est pas nécessaire d'activer explicitement la conservation
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive des connexions dans la configuration d'Apache. Tout module utilisant
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive le module ldap pour accéder aux services LDAP partagera le jeu de
c6f41bc69d643835804e7e831776d3d46c6f5962slive connexions.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive <p>Les connexions LDAP peuvent garder la trace des données
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive d'identification du client ldap utilisées pour l'identification
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive auprès du serveur LDAP. Ces données peuvent être fournies aux
ffb01336be79c64046b636e59fa8ddca8ec029edsf serveurs LDAP qui ne permettent pas les connexions anonymes au cours
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive lors des tentatives de sauts vers des serveurs alternatifs. Pour
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive contrôler cette fonctionnalité, voir les directives <directive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive module="mod_ldap">LDAPReferrals</directive> et <directive
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive module="mod_ldap">LDAPReferralHopLimit</directive>. Cette
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive fonctionnalité est activée par défaut.</p>
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem <p>Pour améliorer les performances, <module>mod_ldap</module> met en
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem oeuvre une stratégie de mise en cache agressive visant à minimiser
aee1f193a276866212922ae5072e3014db28582frpluem le nombre de fois que le serveur LDAP doit être contacté. La mise en
bf380c59be3f235bde21f1c00098e09e3cf7e7aerpluem cache peut facilement doubler et même tripler le débit d'Apache
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive serveur LDAP verra lui-même sa charge sensiblement diminuée.</p>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive <p><module>mod_ldap</module> supporte deux types de mise en cache
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive LDAP : un <em>cache recherche/identification</em> durant la phase
aee1f193a276866212922ae5072e3014db28582frpluem de recherche/identification et deux <em>caches d'opérations</em>
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive durant la phase de comparaison. Chaque URL LDAP utilisée par le
aa8cf57195dfb7fa3d0baedf81f8be377946cea8slive serveur a son propre jeu d'instances dans ces trois caches.</p>
aee1f193a276866212922ae5072e3014db28582frpluem <p>Les processus de recherche et d'identification sont les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele opérations LDAP les plus consommatrices en temps, en particulier
aee1f193a276866212922ae5072e3014db28582frpluem si l'annuaire est de grande taille. Le cache de
aee1f193a276866212922ae5072e3014db28582frpluem recherche/identification met en cache toutes les recherches qui
aee1f193a276866212922ae5072e3014db28582frpluem ont abouti à une identification positive. Les résultats négatifs
aee1f193a276866212922ae5072e3014db28582frpluem (c'est à dire les recherches sans succès, ou les recherches qui
aee1f193a276866212922ae5072e3014db28582frpluem n'ont pas abouti à une identification positive) ne sont pas mis en
aee1f193a276866212922ae5072e3014db28582frpluem cache. La raison de cette décision réside dans le fait que les
aee1f193a276866212922ae5072e3014db28582frpluem connexions avec des données d'identification invalides ne
aee1f193a276866212922ae5072e3014db28582frpluem représentent qu'un faible pourcentage du nombre total de
aee1f193a276866212922ae5072e3014db28582frpluem connexions, et ainsi, le fait de ne pas mettre en cache les
aee1f193a276866212922ae5072e3014db28582frpluem données d'identification invalides réduira d'autant la taille du
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <p><module>mod_ldap</module> met en cache le nom d'utilisateur, le
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele DN extrait, le mot de passe utilisé pour l'identification, ainsi
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele que l'heure de l'identification. Chaque fois qu'une nouvelle
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele connexion est initialisée avec le même nom d'utilisateur,
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <module>mod_ldap</module> compare le mot de passe de la nouvelle
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele connexion avec le mot de passe enregistré dans le cache. Si les
aee1f193a276866212922ae5072e3014db28582frpluem mots de passe correspondent, et si l'entrée du cache n'est pas
aee1f193a276866212922ae5072e3014db28582frpluem trop ancienne, <module>mod_ldap</module> court-circuite la phase
aee1f193a276866212922ae5072e3014db28582frpluem <p>Le cache de recherche/identification est contrôlé par les
aee1f193a276866212922ae5072e3014db28582frpluem directives <directive
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele module="mod_ldap">LDAPCacheEntries</directive> et <directive
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <section id="opcaches"><title>Les caches d'opérations</title>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <p>Au cours des opérations de comparaison d'attributs et de noms
aee1f193a276866212922ae5072e3014db28582frpluem distinctifs (DN), <module>mod_ldap</module> utilise deux caches
aee1f193a276866212922ae5072e3014db28582frpluem d'opérations pour mettre en cache les opérations de comparaison.
aee1f193a276866212922ae5072e3014db28582frpluem Le premier cache de comparaison sert à mettre en cache les
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele résultats de comparaisons effectuées pour vérifier l'appartenance
aee1f193a276866212922ae5072e3014db28582frpluem à un groupe LDAP. Le second cache de comparaison sert à mettre en
aee1f193a276866212922ae5072e3014db28582frpluem cache les résultats de comparaisons entre DNs.</p>
9bcfc3697a91b5215893a7d0206865b13fc72148nd <p>Notez que, lorsque l'appartenance à un groupe est vérifiée,
9bcfc3697a91b5215893a7d0206865b13fc72148nd toute comparaison de sous-groupes est mise en cache afin
9bcfc3697a91b5215893a7d0206865b13fc72148nd d'accélérer les comparaisons de sous-groupes ultérieures.</p>
aee1f193a276866212922ae5072e3014db28582frpluem <p>Le comportement de ces deux caches est contrôlé par les
aee1f193a276866212922ae5072e3014db28582frpluem directives <directive
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele module="mod_ldap">LDAPOpCacheEntries</directive> et <directive
5a58787efeb02a1c3f06569d019ad81fd2efa06end </section>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <section id="monitoring"><title>Superviser le cache</title>
aee1f193a276866212922ae5072e3014db28582frpluem <p><module>mod_ldap</module> possède un gestionnaire de contenu
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele qui permet aux administrateurs de superviser les performances du
aee1f193a276866212922ae5072e3014db28582frpluem cache. Le nom du gestionnaire de contenu est
aee1f193a276866212922ae5072e3014db28582frpluem <code>ldap-status</code>, et on peut utiliser les directives
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele suivantes pour accéder aux informations du cache de
aee1f193a276866212922ae5072e3014db28582frpluem SetHandler ldap-status
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele</Location>
aee1f193a276866212922ae5072e3014db28582frpluem </highlight>
aee1f193a276866212922ae5072e3014db28582frpluem <p>En se connectant à l'URL
aee1f193a276866212922ae5072e3014db28582frpluem <code>http://nom-serveur/infos-cache</code>, l'administrateur peut
aee1f193a276866212922ae5072e3014db28582frpluem obtenir un rapport sur le statut de chaque cache qu'utilise
aee1f193a276866212922ae5072e3014db28582frpluem <module>mod_ldap</module>. Notez que si Apache ne supporte pas la
aee1f193a276866212922ae5072e3014db28582frpluem mémoire partagée, chaque instance de <program>httpd</program>
aee1f193a276866212922ae5072e3014db28582frpluem possèdera son propre cache, et chaque fois que l'URL sera
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele rechargée, un résultat différent pourra être affiché, en fonction
aee1f193a276866212922ae5072e3014db28582frpluem de l'instance de <program>httpd</program> qui traitera la
aee1f193a276866212922ae5072e3014db28582frpluem requête.</p>
aee1f193a276866212922ae5072e3014db28582frpluem<section id="usingssltls"><title>Utiliser SSL/TLS</title>
aee1f193a276866212922ae5072e3014db28582frpluem <p>La possibilité de créer des connexions SSL et TLS avec un serveur
aee1f193a276866212922ae5072e3014db28582frpluem LDAP est définie par les directives <directive module="mod_ldap">
aee1f193a276866212922ae5072e3014db28582frpluem LDAPTrustedGlobalCert</directive>, <directive module="mod_ldap">
aee1f193a276866212922ae5072e3014db28582frpluem LDAPTrustedClientCert</directive> et <directive module="mod_ldap">
aee1f193a276866212922ae5072e3014db28582frpluem LDAPTrustedMode</directive>. Ces directives permettent de spécifier
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele l'autorité de certification (CA), les certificats clients éventuels,
aee1f193a276866212922ae5072e3014db28582frpluem ainsi que le type de chiffrement à utiliser pour la connexion (none,
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Etablissement d'une connexion SSL LDAP sur le port 636.
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Nécessite le chargement de mod_ldap et mod_authnz_ldap.
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Remplacez "votre-domaine.example.com" par le nom de votre
aee1f193a276866212922ae5072e3014db28582frpluem<Location /ldap-status>
aee1f193a276866212922ae5072e3014db28582frpluem SetHandler ldap-status
aee1f193a276866212922ae5072e3014db28582frpluem Satisfy any
aee1f193a276866212922ae5072e3014db28582frpluem AuthType Basic
aee1f193a276866212922ae5072e3014db28582frpluem AuthName "LDAP Protected"
aee1f193a276866212922ae5072e3014db28582frpluem AuthBasicProvider ldap
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
aee1f193a276866212922ae5072e3014db28582frpluem Require valid-user
aee1f193a276866212922ae5072e3014db28582frpluem</Location>
aee1f193a276866212922ae5072e3014db28582frpluem </highlight>
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Etablissement d'une connexion TLS LDAP sur le port 389.
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Nécessite le chargement de mod_ldap et mod_authnz_ldap.
5a58787efeb02a1c3f06569d019ad81fd2efa06end# Remplacez "votre-domaine.example.com" par le nom de votre
5d7e5de2da57434c8e68c8fa49cbf6d70ee0f817slive<Location /ldap-status>
aee1f193a276866212922ae5072e3014db28582frpluem SetHandler ldap-status
aee1f193a276866212922ae5072e3014db28582frpluem Satisfy any
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthType Basic
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthName "LDAP Protected"
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele AuthBasicProvider ldap
aee1f193a276866212922ae5072e3014db28582frpluem AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one TLS
5a58787efeb02a1c3f06569d019ad81fd2efa06end Require valid-user
5a58787efeb02a1c3f06569d019ad81fd2efa06end</Location>
5a58787efeb02a1c3f06569d019ad81fd2efa06end </highlight>
aee1f193a276866212922ae5072e3014db28582frpluem<section id="settingcerts"><title>Certificats SSL/TLS</title>
aee1f193a276866212922ae5072e3014db28582frpluem <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour
aee1f193a276866212922ae5072e3014db28582frpluem définir et gérer les certificats des clients et des autorités de
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele certification (CA).</p>
aee1f193a276866212922ae5072e3014db28582frpluem <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele section ATTENTIVEMENT de façon à bien comprendre les différences de
aee1f193a276866212922ae5072e3014db28582frpluem configurations entre les différents SDKs LDAP supportés.</p>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <section id="settingcerts-netscape"><title>SDK Netscape/Mozilla/iPlanet</title>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <p>Les certificat de CA sont enregistrés dans un fichier nommé
a3388213b2b4d46b356be205e38204e67b4304d8rbowen cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le
a3388213b2b4d46b356be205e38204e67b4304d8rbowen certificat n'a pas été signé par une CA spécifiée dans ce
a3388213b2b4d46b356be205e38204e67b4304d8rbowen fichier. Si des certificats clients sont requis, un fichier
aee1f193a276866212922ae5072e3014db28582frpluem key3.db ainsi qu'un mot de passe optionnels peuvent être
aee1f193a276866212922ae5072e3014db28582frpluem spécifiés. On peut aussi spécifier le fichier secmod si
aee1f193a276866212922ae5072e3014db28582frpluem nécessaire. Ces fichiers sont du même format que celui utilisé
aee1f193a276866212922ae5072e3014db28582frpluem par les navigateurs web Netscape Communicator ou Mozilla. Le
aee1f193a276866212922ae5072e3014db28582frpluem moyen le plus simple pour obtenir ces fichiers consiste à les
aee1f193a276866212922ae5072e3014db28582frpluem extraire de l'installation de votre navigateur.</p>
a3388213b2b4d46b356be205e38204e67b4304d8rbowen <p>Les certificats clients sont spécifiés pour chaque connexion
5a58787efeb02a1c3f06569d019ad81fd2efa06end en utilisant la directive LDAPTrustedClientCert et en se
5a58787efeb02a1c3f06569d019ad81fd2efa06end référant au certificat "nickname". On peut éventuellement
df321386f1d9ed17a3e5e6468807996a12890d50gryzor spécifier un mot de passe pour déverrouiller la clé privée du
df321386f1d9ed17a3e5e6468807996a12890d50gryzor certificat.</p>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation
df321386f1d9ed17a3e5e6468807996a12890d50gryzor de STARTTLS engendrera une erreur lors des tentatives de
df321386f1d9ed17a3e5e6468807996a12890d50gryzor contacter le serveur LDAP pendant l'exécution.</p>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor# Spécifie un fichier de certificats de CA Netscape
df321386f1d9ed17a3e5e6468807996a12890d50gryzor# Spécifie un fichier key3db optionnel pour le support des
df321386f1d9ed17a3e5e6468807996a12890d50gryzor# certificats clients
df321386f1d9ed17a3e5e6468807996a12890d50gryzor# Spécifie le fichier secmod si nécessaire
df321386f1d9ed17a3e5e6468807996a12890d50gryzor<Location /ldap-status>
df321386f1d9ed17a3e5e6468807996a12890d50gryzor SetHandler ldap-status
aee1f193a276866212922ae5072e3014db28582frpluem AuthType Basic
aee1f193a276866212922ae5072e3014db28582frpluem AuthName "LDAP Protected"
aee1f193a276866212922ae5072e3014db28582frpluem AuthBasicProvider ldap
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele LDAPTrustedClientCert CERT_NICKNAME <nickname> [password]
aee1f193a276866212922ae5072e3014db28582frpluem AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele Require valid-user
aee1f193a276866212922ae5072e3014db28582frpluem</Location>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele </highlight>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <section id="settingcerts-novell"><title>SDK Novell</title>
aee1f193a276866212922ae5072e3014db28582frpluem <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele que le SDK Novell fonctionne correctement. Ces certificats
aee1f193a276866212922ae5072e3014db28582frpluem peuvent être spécifiés sous forme de fichiers au format binaire
5a58787efeb02a1c3f06569d019ad81fd2efa06end DER ou codés en Base64 (PEM).</p>
5a58787efeb02a1c3f06569d019ad81fd2efa06end <p>Note: Les certificats clients sont spécifiés globalement
aee1f193a276866212922ae5072e3014db28582frpluem plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir
aee1f193a276866212922ae5072e3014db28582frpluem des certificats clients via la directive LDAPTrustedClientCert
aee1f193a276866212922ae5072e3014db28582frpluem engendrera une erreur qui sera journalisée, au moment de la
aee1f193a276866212922ae5072e3014db28582frpluem tentative de connexion avec le serveur LDAP.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
aee1f193a276866212922ae5072e3014db28582frpluem paramètre de la directive LDAPTrustedMode. Si une URL de type
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur
aee1f193a276866212922ae5072e3014db28582frpluem cette directive.</p>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele# Spécifie deux fichiers contenant des certificats de CA
aee1f193a276866212922ae5072e3014db28582frpluem# Spécifie un fichier contenant des certificats clients
aee1f193a276866212922ae5072e3014db28582frpluem# ainsi qu'une clé
aee1f193a276866212922ae5072e3014db28582frpluemLDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [password]
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele# N'utilisez pas cette directive, sous peine de provoquer
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele#LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele </highlight>
aee1f193a276866212922ae5072e3014db28582frpluem <section id="settingcerts-openldap"><title>SDK OpenLDAP</title>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
aee1f193a276866212922ae5072e3014db28582frpluem que le SDK OpenLDAP fonctionne correctement. Ces certificats
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele peuvent être spécifiés sous forme de fichiers au format binaire
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele DER ou codés en Base64 (PEM).</p>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <p>Les certificats clients sont spécifiés pour chaque connexion
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele à l'aide de la directive LDAPTrustedClientCert.</p>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <p>La documentation du SDK prétend que SSL et STARTTLS sont
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele supportés ; cependant, STARTTLS semble ne pas fonctionner avec
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele toutes les versions du SDK. Le mode SSL/TLS peut être défini en
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele utilisant le paramètre de la directive LDAPTrustedMode. Si une
aee1f193a276866212922ae5072e3014db28582frpluem URL de type
aee1f193a276866212922ae5072e3014db28582frpluem ldaps:// est spécifiée, le mode SSL est forcé. La documentation
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele OpenLDAP indique que le support SSL (ldaps://) tend à être
10a304fc5348d394375b98ae10ca9b137fd10cafkess remplacé par TLS, bien que le mode SSL fonctionne toujours.</p>
aee1f193a276866212922ae5072e3014db28582frpluem# Spécifie deux fichiers contenant des certificats de CA
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele<Location /ldap-status>
aee1f193a276866212922ae5072e3014db28582frpluem SetHandler ldap-status
5a58787efeb02a1c3f06569d019ad81fd2efa06end # CA certs respecified due to per-directory client certs
aee1f193a276866212922ae5072e3014db28582frpluem AuthType Basic
aee1f193a276866212922ae5072e3014db28582frpluem AuthName "LDAP Protected"
aee1f193a276866212922ae5072e3014db28582frpluem AuthBasicProvider ldap
aee1f193a276866212922ae5072e3014db28582frpluem AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
aee1f193a276866212922ae5072e3014db28582frpluem Require valid-user
22cebd88e14c30aedd5dd95323ba66e4887dc94bkess</Location>
aee1f193a276866212922ae5072e3014db28582frpluem </highlight>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <section id="settingcerts-solaris"><title>SDK Solaris</title>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est
aee1f193a276866212922ae5072e3014db28582frpluem pas encore supporté. Si nécessaire, installez et utilisez plutôt
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele les bibliothèques OpenLDAP.</p>
aee1f193a276866212922ae5072e3014db28582frpluem <section id="settingcerts-microsoft"><title>SDK Microsoft</title>
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele du registre système, et aucune directive de configuration n'est
aee1f193a276866212922ae5072e3014db28582frpluem requise.</p>
aee1f193a276866212922ae5072e3014db28582frpluem <p>SSL et TLS sont tous deux supportés en utilisant des URLs de
4ab980a06412fd86f52a6d054fb7e26de155c530erikabele type ldaps://, ou en définissant la directive LDAPTrustedMode à
aee1f193a276866212922ae5072e3014db28582frpluem cet effet.</p>
82178a3043043b8813c0d7288a06ca1b7d110d4atakashi <p>Note: L'état du support des certificats clients n'est pas
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele encore connu pour ce SDK.</p>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<directivesynopsis>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<description>Taille en octets du cache en mémoire partagée</description>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<syntax>LDAPSharedCacheSize <var>octets</var></syntax>
ea49840bfe8467a7d7bd4db27b1d4880a85511aberikabele<contextlist><context>server config</context></contextlist>
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd <p>Cette directive permet de spécifier le nombre d'octets à allouer
a78048ccbdb6256da15e6b0e7e95355e480c2301nd pour le cache en mémoire partagée. La valeur par
5e740829c3448285963d3882530669f0112cf690gryzor défaut est 500kb.
aee1f193a276866212922ae5072e3014db28582frpluem Si elle est définie à 0, le cache en mémoire partagée ne sera pas
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung utilisé et chaque processus HTTPD va créer son propre cache.</p>
9c1260efa52c82c2a58e5b5f20cd6902563d95f5rbowen</directivesynopsis>
5a58787efeb02a1c3f06569d019ad81fd2efa06end<directivesynopsis>