diff options
| author | Vincent Deffontaines <gryzor@apache.org> | 2009-10-04 12:26:07 +0200 |
|---|---|---|
| committer | Vincent Deffontaines <gryzor@apache.org> | 2009-10-04 12:26:07 +0200 |
| commit | 8ab0bd251f6cbd00cbf52383d5ff262346f5e69b (patch) | |
| tree | 7c8260c687ab7a57d05c3daf201206c7d860d2a5 /docs/manual | |
| parent | merge if blocks (diff) | |
| download | apache2-8ab0bd251f6cbd00cbf52383d5ff262346f5e69b.tar.xz apache2-8ab0bd251f6cbd00cbf52383d5ff262346f5e69b.zip | |
Added fr translation for mod_ldap
git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@821501 13f79535-47bb-0310-9956-ffa450edef68
Diffstat (limited to 'docs/manual')
| -rw-r--r-- | docs/manual/mod/allmodules.xml.fr | 2 | ||||
| -rw-r--r-- | docs/manual/mod/core.html.fr | 30 | ||||
| -rw-r--r-- | docs/manual/mod/mod_cache.xml.ja | 2 | ||||
| -rw-r--r-- | docs/manual/mod/mod_cache.xml.ko | 2 | ||||
| -rw-r--r-- | docs/manual/mod/mod_ldap.html | 4 | ||||
| -rw-r--r-- | docs/manual/mod/mod_ldap.html.en | 6 | ||||
| -rw-r--r-- | docs/manual/mod/mod_ldap.html.fr | 759 | ||||
| -rw-r--r-- | docs/manual/mod/mod_ldap.xml.fr | 729 | ||||
| -rw-r--r-- | docs/manual/mod/mod_ldap.xml.meta | 1 |
9 files changed, 1507 insertions, 28 deletions
diff --git a/docs/manual/mod/allmodules.xml.fr b/docs/manual/mod/allmodules.xml.fr index c8360cbe94..a709852b39 100644 --- a/docs/manual/mod/allmodules.xml.fr +++ b/docs/manual/mod/allmodules.xml.fr @@ -57,7 +57,7 @@ <modulefile>mod_lbmethod_byrequests.xml</modulefile> <modulefile>mod_lbmethod_bytraffic.xml</modulefile> <modulefile>mod_lbmethod_heartbeat.xml</modulefile> - <modulefile>mod_ldap.xml</modulefile> + <modulefile>mod_ldap.xml.fr</modulefile> <modulefile>mod_log_config.xml</modulefile> <modulefile>mod_log_forensic.xml</modulefile> <modulefile>mod_logio.xml</modulefile> diff --git a/docs/manual/mod/core.html.fr b/docs/manual/mod/core.html.fr index 2647d5c6b8..0267d014b7 100644 --- a/docs/manual/mod/core.html.fr +++ b/docs/manual/mod/core.html.fr @@ -3069,7 +3069,7 @@ serveur</td></tr> <table class="directive"> <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure l'en-tête <code>Server</code> de la réponse HTTP</td></tr> -<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full|Off|Set</code></td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full</code></td></tr> <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>ServerTokens Full</code></td></tr> <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Core</td></tr> @@ -3082,12 +3082,10 @@ HTTP</td></tr> serveur.</p> <dl> - <dt><code>ServerTokens Full</code> (ou non spècifiè)</dt> + <dt><code>ServerTokens Off</code></dt> - <dd>Le serveur envoie par exemple : <code>Server: Apache/2.0.41 - (Unix) PHP/4.2.2 MyMod/1.2</code></dd> - - + <dd>Le serveur n'envoie aucun en-tête <code>Server:</code> (et + <code>SERVER_SOFTWARE</code> est vide)</dd> <dt><code>ServerTokens Prod[uctOnly]</code></dt> @@ -3123,12 +3121,10 @@ HTTP</td></tr> entourée de guillemets si elle contient des espaces. </dd> - <dt><code>ServerTokens Off</code></dt> - - <dd>Le serveur n'envoie aucun en-tête <code>Server:</code> (et - <code>SERVER_SOFTWARE</code> est vide)</dd> + <dt><code>ServerTokens Full</code> (valeur par défaut)</dt> - + <dd>Le serveur renvoie (<em>par exemple</em>): <code>Server: + Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2</code></dd> </dl> <p>Cette définition s'applique à l'ensemble du serveur et ne peut @@ -3137,18 +3133,6 @@ HTTP</td></tr> <p>Dans les versions postérieures à 2.0.44, cette directive contrôle aussi les informations fournies par la directive <code class="directive"><a href="#serversignature">ServerSignature</a></code>.</p> - <div class="note">Définir <code class="directive">ServerTokens</code> à une - valeur inférieure à <code>minimal</code> n'est pas - recommandé car le débogage des problèmes - interopérationnels n'en sera alors que plus difficile. Notez - aussi que la désactivation de l'en-tête Server: - n'améliore en rien la sécurité de votre - serveur ; le concept de "sécurité par - l'obscurité" est un mythe et conduit à - une mauvaise perception de ce qu'est la sécurité.</div> - - - <h3>Voir aussi</h3> <ul> <li><code class="directive"><a href="#serversignature">ServerSignature</a></code></li> diff --git a/docs/manual/mod/mod_cache.xml.ja b/docs/manual/mod/mod_cache.xml.ja index b1f9a1b02b..553fb187ad 100644 --- a/docs/manual/mod/mod_cache.xml.ja +++ b/docs/manual/mod/mod_cache.xml.ja @@ -1,7 +1,7 @@ <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd"> <?xml-stylesheet type="text/xsl" href="../style/manual.ja.xsl"?> -<!-- English Revision: 504183:821202 (outdated) --> +<!-- English Revision: 504183:821333 (outdated) --> <!-- Licensed to the Apache Software Foundation (ASF) under one or more diff --git a/docs/manual/mod/mod_cache.xml.ko b/docs/manual/mod/mod_cache.xml.ko index dae84a000b..af6520f061 100644 --- a/docs/manual/mod/mod_cache.xml.ko +++ b/docs/manual/mod/mod_cache.xml.ko @@ -1,7 +1,7 @@ <?xml version="1.0" encoding="EUC-KR" ?> <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd"> <?xml-stylesheet type="text/xsl" href="../style/manual.ko.xsl"?> -<!-- English Revision: 105569:821202 (outdated) --> +<!-- English Revision: 105569:821333 (outdated) --> <!-- Licensed to the Apache Software Foundation (ASF) under one or more diff --git a/docs/manual/mod/mod_ldap.html b/docs/manual/mod/mod_ldap.html index 5aee964cc9..7e3eb258e7 100644 --- a/docs/manual/mod/mod_ldap.html +++ b/docs/manual/mod/mod_ldap.html @@ -3,3 +3,7 @@ URI: mod_ldap.html.en Content-Language: en Content-type: text/html; charset=ISO-8859-1 + +URI: mod_ldap.html.fr +Content-Language: fr +Content-type: text/html; charset=ISO-8859-1 diff --git a/docs/manual/mod/mod_ldap.html.en b/docs/manual/mod/mod_ldap.html.en index ea8daa1f7a..d1f016ed45 100644 --- a/docs/manual/mod/mod_ldap.html.en +++ b/docs/manual/mod/mod_ldap.html.en @@ -21,7 +21,8 @@ <div id="page-content"> <div id="preamble"><h1>Apache Module mod_ldap</h1> <div class="toplang"> -<p><span>Available Languages: </span><a href="../en/mod/mod_ldap.html" title="English"> en </a></p> +<p><span>Available Languages: </span><a href="../en/mod/mod_ldap.html" title="English"> en </a> | +<a href="../fr/mod/mod_ldap.html" hreflang="fr" rel="alternate" title="Français"> fr </a></p> </div> <table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>LDAP connection pooling and result caching services for use by other LDAP modules</td></tr> @@ -685,7 +686,8 @@ Certificate Authority or global client certificates</td></tr> </div> </div> <div class="bottomlang"> -<p><span>Available Languages: </span><a href="../en/mod/mod_ldap.html" title="English"> en </a></p> +<p><span>Available Languages: </span><a href="../en/mod/mod_ldap.html" title="English"> en </a> | +<a href="../fr/mod/mod_ldap.html" hreflang="fr" rel="alternate" title="Français"> fr </a></p> </div><div id="footer"> <p class="apache">Copyright 2009 The Apache Software Foundation.<br />Licensed under the <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p> <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossary</a> | <a href="../sitemap.html">Sitemap</a></p></div> diff --git a/docs/manual/mod/mod_ldap.html.fr b/docs/manual/mod/mod_ldap.html.fr new file mode 100644 index 0000000000..1700fc67e9 --- /dev/null +++ b/docs/manual/mod/mod_ldap.html.fr @@ -0,0 +1,759 @@ +<?xml version="1.0" encoding="ISO-8859-1"?> +<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> +<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!-- + XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX + This file is generated from xml source: DO NOT EDIT + XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX + --> +<title>mod_ldap - Serveur Apache HTTP</title> +<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" /> +<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" /> +<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /> +<link href="../images/favicon.ico" rel="shortcut icon" /></head> +<body> +<div id="page-header"> +<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p> +<p class="apache">Serveur Apache HTTP Version 2.3</p> +<img alt="" src="../images/feather.gif" /></div> +<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div> +<div id="path"> +<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.3</a> > <a href="./">Modules</a></div> +<div id="page-content"> +<div id="preamble"><h1>Module Apache mod_ldap</h1> +<div class="toplang"> +<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> | +<a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p> +</div> +<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Conservation des connexions LDAP et services de mise en +cache du résultat à destination des autres modules LDAP</td></tr> +<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ldap_module</td></tr> +<tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>util_ldap.c</td></tr> +<tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.0.41 +d'Apache</td></tr></table> +<h3>Sommaire</h3> + + <p>Ce module a été conçu dans le but d'améliorer les performances + des sites web s'appuyant sur des connexions en arrière-plan vers des + serveurs LDAP. Il ajoute aux fonctions fournies par les + bibliothèques standards LDAP la conservation des connexions LDAP + ainsi qu'un cache LDAP partagé en mémoire.</p> + + <p>Pour activer ce module, le support LDAP doit être compilé dans + apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code> + au script <code class="program"><a href="../programs/configure.html">configure</a></code> lorsqu'on construit + Apache.</p> + + <p>Le support SSL/TLS est conditionné par le kit de développement + LDAP qui a été lié à <a class="glossarylink" href="../glossary.html#apr" title="voir glossaire">APR</a>. Au moment où ces + lignes sont écrites, APR-util supporte <a href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou + supérieure), <a href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP + SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html"> + Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur + Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a href="http://www.iplanet.com/downloads/developer/">iPlanet + (Netscape)</a>. Voir le site web <a href="http://apr.apache.org">APR</a> pour plus de détails.</p> + +</div> +<div id="quickview"><h3 class="directives">Directives</h3> +<ul id="toc"> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapcacheentries">LDAPCacheEntries</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapcachettl">LDAPCacheTTL</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapconnectiontimeout">LDAPConnectionTimeout</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcacheentries">LDAPOpCacheEntries</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapopcachettl">LDAPOpCacheTTL</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapreferrals">LDAPReferrals</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachefile">LDAPSharedCacheFile</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapsharedcachesize">LDAPSharedCacheSize</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedclientcert">LDAPTrustedClientCert</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedglobalcert">LDAPTrustedGlobalCert</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldaptrustedmode">LDAPTrustedMode</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#ldapverifyservercert">LDAPVerifyServerCert</a></li> +</ul> +<h3>Sujets</h3> +<ul id="topics"> +<li><img alt="" src="../images/down.gif" /> <a href="#exampleconfig">Exemple de configuration</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#pool">Conservation des connexions LDAP</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#cache">Cache LDAP</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#usingssltls">Utiliser SSL/TLS</a></li> +<li><img alt="" src="../images/down.gif" /> <a href="#settingcerts">Certificats SSL/TLS</a></li> +</ul></div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="section"> +<h2><a name="exampleconfig" id="exampleconfig">Exemple de configuration</a></h2> + <p>Ce qui suit est un exemple de configuration qui utilise + <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> pour améliorer les performances de + l'authentification HTTP de base fournie par + <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>.</p> + + <div class="example"><p><code> + # Active la conservation des connexions LDAP et le cache partagé en<br /> + # mémoire. Active le gestionnaire de statut du cache LDAP.<br /> + # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPSharedCacheSize 200000<br /> + LDAPCacheEntries 1024<br /> + LDAPCacheTTL 600<br /> + LDAPOpCacheEntries 1024<br /> + LDAPOpCacheTTL 600<br /> + <br /> + <Location /statut-ldap><br /> + <span class="indent"> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </span> + </Location> + </code></p></div> +</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="section"> +<h2><a name="pool" id="pool">Conservation des connexions LDAP</a></h2> + + <p>Les connexions LDAP sont conservées de requête en requête. Ceci + permet de rester connecté et identifié au serveur LDAP, ce dernier + étant ainsi prêt pour la prochaine requête, sans avoir à se + déconnecter, reconnecter et réidentifier. Le gain en performances + est similaire à celui des connexions persistantes (keepalives) + HTTP.</p> + + <p>Sur un serveur très sollicité, il est possible que de nombreuses + requêtes tentent d'accéder simultanément à la même connexion au + serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée + une deuxième en parallèle à la première, ce qui permet d'éviter que + le système de conservation des connexions ne devienne un goulot + d'étranglement.</p> + + <p>Il n'est pas nécessaire d'activer explicitement la conservation + des connexions dans la configuration d'Apache. Tout module utilisant + le module ldap pour accéder aux services LDAP partagera le jeu de + connexions.</p> + + <p>Les connexions LDAP peuvent garder la trace des données + d'identification du client ldap utilisées pour l'identification + auprès du serveur LDAP. Ces données peuvent être fournies aux + serveurs LDAP qui ne permettent pas les connexions anonymes au cours + lors des tentatives de sauts vers des serveurs alternatifs. Pour + contrôler cette fonctionnalité, voir les directives <code class="directive"><a href="#ldapreferrals">LDAPReferrals</a></code> et <code class="directive"><a href="#ldapreferralhoplimit">LDAPReferralHopLimit</a></code>. Cette + fonctionnalité est activée par défaut.</p> +</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="section"> +<h2><a name="cache" id="cache">Cache LDAP</a></h2> + + <p>Pour améliorer les performances, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en + oeuvre une stratégie de mise en cache agressive visant à minimiser + le nombre de fois que le serveur LDAP doit être contacté. La mise en + cache peut facilement doubler et même tripler le débit d'Apache + lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le + serveur LDAP verra lui-même sa charge sensiblement diminuée.</p> + + <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> supporte deux types de mise en cache + LDAP : un <em>cache recherche/identification</em> durant la phase + de recherche/identification et deux <em>caches d'opérations</em> + durant la phase de comparaison. Chaque URL LDAP utilisée par le + serveur a son propre jeu d'instances dans ces trois caches.</p> + + <h3><a name="search-bind" id="search-bind">Le cache + recherche/identification</a></h3> + <p>Les processus de recherche et d'identification sont les + opérations LDAP les plus consommatrices en temps, en particulier + si l'annuaire est de grande taille. Le cache de + recherche/identification met en cache toutes les recherches qui + ont abouti à une identification positive. Les résultats négatifs + (c'est à dire les recherches sans succès, ou les recherches qui + n'ont pas abouti à une identification positive) ne sont pas mis en + cache. La raison de cette décision réside dans le fait que les + connexions avec des données d'identification invalides ne + représentent qu'un faible pourcentage du nombre total de + connexions, et ainsi, le fait de ne pas mettre en cache les + données d'identification invalides réduira d'autant la taille du + cache.</p> + + <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> met en cache le nom d'utilisateur, le + DN extrait, le mot de passe utilisé pour l'identification, ainsi + que l'heure de l'identification. Chaque fois qu'une nouvelle + connexion est initialisée avec le même nom d'utilisateur, + <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> compare le mot de passe de la nouvelle + connexion avec le mot de passe enregistré dans le cache. Si les + mots de passe correspondent, et si l'entrée du cache n'est pas + trop ancienne, <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> court-circuite la phase + de recherche/identification.</p> + + <p>Le cache de recherche/identification est contrôlé par les + directives <code class="directive"><a href="#ldapcacheentries">LDAPCacheEntries</a></code> et <code class="directive"><a href="#ldapcachettl">LDAPCacheTTL</a></code>.</p> + + + <h3><a name="opcaches" id="opcaches">Les caches d'opérations</a></h3> + <p>Au cours des opérations de comparaison d'attributs et de noms + distinctifs (DN), <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> utilise deux caches + d'opérations pour mettre en cache les opérations de comparaison. + Le premier cache de comparaison sert à mettre en cache les + résultats de comparaisons effectuées pour vérifier l'appartenance + à un groupe LDAP. Le second cache de comparaison sert à mettre en + cache les résultats de comparaisons entre DNs.</p> + + <p>Notez que, lorsque l'appartenance à un groupe est vérifiée, + toute comparaison de sous-groupes est mise en cache afin + d'accélérer les comparaisons de sous-groupes ultérieures.</p> + + <p>Le comportement de ces deux caches est contrôlé par les + directives <code class="directive"><a href="#ldapopcacheentries">LDAPOpCacheEntries</a></code> et <code class="directive"><a href="#ldapopcachettl">LDAPOpCacheTTL</a></code>.</p> + + + <h3><a name="monitoring" id="monitoring">Superviser le cache</a></h3> + <p><code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> possède un gestionnaire de contenu + qui permet aux administrateurs de superviser les performances du + cache. Le nom du gestionnaire de contenu est + <code>ldap-status</code>, et on peut utiliser les directives + suivantes pour accéder aux informations du cache de + <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> :</p> + + <div class="example"><p><code> + <Location /serveur/infos-cache><br /> + <span class="indent"> + SetHandler ldap-status<br /> + </span> + </Location> + </code></p></div> + + <p>En se connectant à l'URL + <code>http://nom-serveur/infos-cache</code>, l'administrateur peut + obtenir un rapport sur le statut de chaque cache qu'utilise + <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code>. Notez que si Apache ne supporte pas la + mémoire partagée, chaque instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> + possèdera son propre cache, et chaque fois que l'URL sera + rechargée, un résultat différent pourra être affiché, en fonction + de l'instance de <code class="program"><a href="../programs/httpd.html">httpd</a></code> qui traitera la + requête.</p> + +</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="section"> +<h2><a name="usingssltls" id="usingssltls">Utiliser SSL/TLS</a></h2> + + <p>La possibilité de créer des connexions SSL et TLS avec un serveur + LDAP est définie par les directives <code class="directive"><a href="# ldaptrustedglobalcert"> + LDAPTrustedGlobalCert</a></code>, <code class="directive"><a href="# ldaptrustedclientcert"> + LDAPTrustedClientCert</a></code> et <code class="directive"><a href="# ldaptrustedmode"> + LDAPTrustedMode</a></code>. Ces directives permettent de spécifier + l'autorité de certification (CA), les certificats clients éventuels, + ainsi que le type de chiffrement à utiliser pour la connexion (none, + SSL ou TLS/STARTTLS).</p> + + <div class="example"><p><code> + # Etablissement d'une connexion SSL LDAP sur le port 636.<br /> + # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br /> + <br /> + <Location /statut-ldap><br /> + <span class="indent"> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </span> + </Location> + </code></p></div> + + <div class="example"><p><code> + # Etablissement d'une connexion TLS LDAP sur le port 389.<br /> + # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br /> + <br /> + <Location /statut-ldap><br /> + <span class="indent"> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br /> + Require valid-user<br /> + </span> + </Location> + </code></p></div> + +</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="section"> +<h2><a name="settingcerts" id="settingcerts">Certificats SSL/TLS</a></h2> + + <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour + définir et gérer les certificats des clients et des autorités de + certification (CA).</p> + + <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette + section ATTENTIVEMENT de façon à bien comprendre les différences de + configurations entre les différents SDKs LDAP supportés.</p> + + <h3><a name="settingcerts-netscape" id="settingcerts-netscape">SDK Netscape/Mozilla/iPlanet</a></h3> + <p>Les certificat de CA sont enregistrés dans un fichier nommé + cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le + certificat n'a pas été signé par une CA spécifiée dans ce + fichier. Si des certificats clients sont requis, un fichier + key3.db ainsi qu'un mot de passe optionnels peuvent être + spécifiés. On peut aussi spécifier le fichier secmod si + nécessaire. Ces fichiers sont du même format que celui utilisé + par les navigateurs web Netscape Communicator ou Mozilla. Le + moyen le plus simple pour obtenir ces fichiers consiste à les + extraire de l'installation de votre navigateur.</p> + + <p>Les certificats clients sont spécifiés pour chaque connexion + en utilisant la directive LDAPTrustedClientCert et en se + référant au certificat "nickname". On peut éventuellement + spécifier un mot de passe pour déverrouiller la clé privée du + certificat.</p> + + <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation + de STARTTLS engendrera une erreur lors des tentatives de + contacter le serveur LDAP pendant l'exécution.</p> + + <div class="example"><p><code> + # Spécifie un fichier de certificats de CA Netscape<br /> + LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br /> + # Spécifie un fichier key3db optionnel pour le support des + # certificats clients<br /> + LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br /> + # Spécifie le fichier secmod si nécessaire<br /> + LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br /> + <Location /statut-ldap><br /> + <span class="indent"> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + LDAPTrustedClientCert CERT_NICKNAME <nickname> + [mot de passe]<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </span> + </Location> + </code></p></div> + + + + <h3><a name="settingcerts-novell" id="settingcerts-novell">SDK Novell</a></h3> + + <p>Un ou plusieurs certificats de CA doivent être spécifiés pour + que le SDK Novell fonctionne correctement. Ces certificats + peuvent être spécifiés sous forme de fichiers au format binaire + DER ou codés en Base64 (PEM).</p> + + <p>Note: Les certificats clients sont spécifiés globalement + plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide + de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir + des certificats clients via la directive LDAPTrustedClientCert + engendrera une erreur qui sera journalisée, au moment de la + tentative de connexion avec le serveur LDAP.</p> + + <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le + paramètre de la directive LDAPTrustedMode. Si une URL de type + ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur + cette directive.</p> + + <div class="example"><p><code> + # Spécifie deux fichiers contenant des certificats de CA<br /> + LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br /> + LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br /> + # Spécifie un fichier contenant des certificats clients + # ainsi qu'une clé<br /> + LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br /> + LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de + passe]<br /> + # N'utilisez pas cette directive, sous peine de provoquer + # une erreur<br /> + #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br /> + </code></p></div> + + + + <h3><a name="settingcerts-openldap" id="settingcerts-openldap">SDK OpenLDAP</a></h3> + + <p>Un ou plusieurs certificats de CA doivent être spécifiés pour + que le SDK OpenLDAP fonctionne correctement. Ces certificats + peuvent être spécifiés sous forme de fichiers au format binaire + DER ou codés en Base64 (PEM).</p> + + <p>Les certificats clients sont spécifiés pour chaque connexion + à l'aide de la directive LDAPTrustedClientCert.</p> + + <p>La documentation du SDK prétend que SSL et STARTTLS sont + supportés ; cependant, STARTTLS semble ne pas fonctionner avec + toutes les versions du SDK. Le mode SSL/TLS peut être défini en + utilisant le paramètre de la directive LDAPTrustedMode. Si une + URL de type + ldaps:// est spécifiée, le mode SSL est forcé. La documentation + OpenLDAP indique que le support SSL (ldaps://) tend à être + remplacé par TLS, bien que le mode SSL fonctionne toujours.</p> + + <div class="example"><p><code> + # Spécifie deux fichiers contenant des certificats de CA<br /> + LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br /> + LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br /> + <Location /statut-ldap><br /> + <span class="indent"> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br /> + LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </span> + </Location> + </code></p></div> + + + + <h3><a name="settingcerts-solaris" id="settingcerts-solaris">SDK Solaris</a></h3> + + <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est + pas encore supporté. Si nécessaire, installez et utilisez plutôt + les bibliothèques OpenLDAP.</p> + + + + <h3><a name="settingcerts-microsoft" id="settingcerts-microsoft">SDK Microsoft</a></h3> + + <p>La configuration des certificats SSL/TLS pour les + bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur + du registre système, et aucune directive de configuration n'est + requise.</p> + + <p>SSL et TLS sont tous deux supportés en utilisant des URLs de + type ldaps://, ou en définissant la directive LDAPTrustedMode à + cet effet.</p> + + <p>Note: L'état du support des certificats clients n'est pas + encore connu pour ce SDK.</p> + + + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPCacheEntries" id="LDAPCacheEntries">LDAPCacheEntries</a> <a name="ldapcacheentries" id="ldapcacheentries">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum d'entrées dans le cache LDAP +primaire</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheEntries <var>nombre</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheEntries 1024</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier la taille maximale du cache + LDAP primaire. Ce cache contient les résultats de + recherche/identification positifs. Définissez-la à 0 pour désactiver + la mise en cache des résultats de recherche/identification positifs. + La taille par défaut est de 1024 recherches en cache.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPCacheTTL" id="LDAPCacheTTL">LDAPCacheTTL</a> <a name="ldapcachettl" id="ldapcachettl">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache restent +valides.</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPCacheTTL <var>secondes</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPCacheTTL 600</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier la durée (en secondes) + pendant laquelle une entrée du cache de recherche/identification + reste valide. La valeur par défaut est de 600 secondes (10 + minutes).</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPConnectionTimeout" id="LDAPConnectionTimeout">LDAPConnectionTimeout</a> <a name="ldapconnectiontimeout" id="ldapconnectiontimeout">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le délai d'attente en secondes de la socket de +connexion</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPConnectionTimeout <var>secondes</var></code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le délai d'attente (en + secondes) pendant lequel le + module tentera de se connecter au serveur LDAP. Si une tentative de + connexion n'a pas abouti au bout de ce délai, soit une erreur sera + renvoyée, soit le module tentera de se connecter à un serveur LDAP + secondaire s'il en a été spécifié un. La valeur par défaut est de 10 + secondes.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPOpCacheEntries" id="LDAPOpCacheEntries">LDAPOpCacheEntries</a> <a name="ldapopcacheentries" id="ldapopcacheentries">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre d'entrées utilisées pour mettre en cache les +opérations de comparaison LDAP</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheEntries <var>nombre</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheEntries 1024</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le nombre d'entrées que + <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> va utiliser pour mettre en cache les + opérations de comparaison LDAP. La valeur par défaut est de 1024 + entrées. Si elle est définie à 0, la mise en cache des opérations de + comparaison LDAP est désactivée.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPOpCacheTTL" id="LDAPOpCacheTTL">LDAPOpCacheTTL</a> <a name="ldapopcachettl" id="ldapopcachettl">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée pendant laquelle les entrées du cache d'opérations +restent valides</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPOpCacheTTL <var>secondes</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPOpCacheTTL 600</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier la durée (en secondes) + pendant laquelle les entrées du cache d'opérations restent valides. + La valeur par défaut est de 600 secondes.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPReferralHopLimit" id="LDAPReferralHopLimit">LDAPReferralHopLimit</a> <a name="ldapreferralhoplimit" id="ldapreferralhoplimit">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Le nombre maximum de redirections vers des serveurs +alternatifs (referrals) avant l'abandon de la requête +LDAP.</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferralHopLimit <var>nombre</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferralHopLimit 5</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> +<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Si elle est activée par la directive <code>LDAPReferrals</code>, + cette directive permet de définir le nombre maximum de sauts vers + des serveurs alternatifs (referrals) avant l'abandon de la requête + LDAP.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPReferrals" id="LDAPReferrals">LDAPReferrals</a> <a name="ldapreferrals" id="ldapreferrals">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la redirection vers des serveurs alternatifs au +cours des requêtes vers le serveur LDAP.</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPReferrals <var>On|Off</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPReferrals On</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> +<tr><th><a href="directive-dict.html#Override">Annuler:</a></th><td>AuthConfig</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Certains serveurs LDAP partagent leur annuaire en plusieurs + domaines et utilisent le système des redirections (referrals) pour + aiguiller un client lorsque les limites d'un domaine doivent être + franchies. En définissant <code>LDAPReferrals On</code>, les + redirections seront prises en compte (et bien entendu, en + définissant <code>LDAPReferrals Off</code>, les redirections seront + ignorées). La directive <code>LDAPReferralHopLimit</code> complète + cette directive en définissant le nombre maximum de redirections à + suivre avant l'abandon de la requête LDAP. Lorsque le traitement des + redirections est activé, les données d'identification du client + seront fournies, via un appel (callback) de réidentification, à tout + serveur LDAP qui en fera la demande.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPSharedCacheFile" id="LDAPSharedCacheFile">LDAPSharedCacheFile</a> <a name="ldapsharedcachefile" id="ldapsharedcachefile">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le fichier du cache en mémoire +partagée</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheFile <var>chemin/nom-fichier</var></code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le chemin et le nom du + fichier du cache en mémoire partagée. Si elle n'est pas définie, la + mémoire partagée anonyme sera utilisée si la plate-forme la + supporte.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPSharedCacheSize" id="LDAPSharedCacheSize">LDAPSharedCacheSize</a> <a name="ldapsharedcachesize" id="ldapsharedcachesize">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Taille en octets du cache en mémoire partagée</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPSharedCacheSize <var>octets</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPSharedCacheSize 102400</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le nombre d'octets à allouer + pour le cache en mémoire partagée. La valeur par défaut est 100kb. + Si elle est définie à 0, le cache en mémoire partagée ne sera pas + utilisé.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPTrustedClientCert" id="LDAPTrustedClientCert">LDAPTrustedClientCert</a> <a name="ldaptrustedclientcert" id="ldaptrustedclientcert">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier contenant un certificat client ou +un alias renvoyant vers un certificat client spécifique à une connexion. +Tous les SDK LDAP ne supportent pas les certificats clients par +connexion.</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedClientCert <var>type</var> +<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le chemin et le nom de + fichier ou l'alias d'un certificat client par connexion utilisé lors + de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP. + Les sections directory ou location peuvent posséder leurs propres + configurations de certificats clients. Certains SDK LDAP (en + particulier Novell) ne supportent pas les certificats clients par + connexion, et renvoient une erreur lors de la connexion au serveur + LDAP si vous tenter d'utiliser cette directive (Utilisez à la place + la directive LDAPTrustedGlobalCert pour les certificats clients sous + Novell - Voir plus haut le guide des certificats SSL/TLS pour plus + de détails). Le paramètre type spécifie le type du certificat en + cours de définition, en fonction du SDK LDAP utilisé. Les types + supportés sont :</p> + <ul> + <li>CERT_DER - certificat client codé en binaire DER</li> + <li>CERT_BASE64 - certificat client codé en PEM</li> + <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li> + <li>KEY_DER - clé privée codée en binaire DER</li> + <li>KEY_BASE64 - clé privée codée en PEM</li> + </ul> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPTrustedGlobalCert" id="LDAPTrustedGlobalCert">LDAPTrustedGlobalCert</a> <a name="ldaptrustedglobalcert" id="ldaptrustedglobalcert">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nom de fichier ou la base de données contenant +les Autorités de Certification de confiance globales ou les certificats +clients globaux</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedGlobalCert <var>type</var> +<var>chemin/nom-fichier</var> <var>[mot de passe]</var></code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier le chemin et le nom du + fichier contenant les certificats des CA de confiance et/ou les + certificats clients du système global que <code class="module"><a href="../mod/mod_ldap.html">mod_ldap</a></code> + utilisera pour établir une connexion SSL ou TLS avec un serveur + LDAP. Notez que toute information relative aux certificats spécifiée + en utilisant cette directive s'applique globalement à l'ensemble de + l'installation du serveur. Certains SDK LDAP (en particulier Novell) + nécessitent la définition globale de tous les certificats clients en + utilisant cette directive. La plupart des autres SDK nécessitent la + définition des certificats clients dans une section Directory ou + Location en utilisant la directive LDAPTrustedClientCert. Si vous ne + définissez pas ces directives correctement, une erreur sera générée + lors des tentatives de contact avec un serveur LDAP, ou la connexion + échouera silencieusement (Voir plus haut le guide des certificats + SSL/TLS pour plus de détails). Le paramètre type spécifie le type de + certificat en cours de définition, en fonction du SDK LDAP utilisé. + Les types supportés sont :</p> + <ul> + <li>CA_DER - certificat de CA codé en binaire DER</li> + <li>CA_BASE64 - certificat de CA codé en PEM</li> + <li>CA_CERT7_DB - fichier de base de données des certificats de CA + de Netscape cert7.db</li> + <li>CA_SECMOD - fichier de base de données secmod de Netscape</li> + <li>CERT_DER - certificat client codé en binaire DER</li> + <li>CERT_BASE64 - certificat client codé en PEM</li> + <li>CERT_KEY3_DB - fichier de base de données des certificats + clients de Netscape key3.db</li> + <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li> + <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li> + <li>KEY_DER - clé privée codée en binaire DER</li> + <li>KEY_BASE64 - clé privée codée en PEM</li> + <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li> + </ul> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPTrustedMode" id="LDAPTrustedMode">LDAPTrustedMode</a> <a name="ldaptrustedmode" id="ldaptrustedmode">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Spécifie le mode (SSL ou TLS) à utiliser lors de la +connexion à un serveur LDAP.</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPTrustedMode <var>type</var></code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Les modes suivants sont supportés :</p> + <ul> + <li>NONE - aucun chiffrement</li> + <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li> + <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li> + </ul> + + <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP. + Un message d'erreur sera généré à l'exécution si un mode n'est pas + supporté, et la connexion au serveur LDAP échouera. + </p> + + <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à + SSL et la définition de LDAPTrustedMode est ignorée.</p> + +</div> +<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> +<div class="directive-section"><h2><a name="LDAPVerifyServerCert" id="LDAPVerifyServerCert">LDAPVerifyServerCert</a> <a name="ldapverifyservercert" id="ldapverifyservercert">Directive</a></h2> +<table class="directive"> +<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force la vérification du certificat du +serveur</td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>LDAPVerifyServerCert <var>On|Off</var></code></td></tr> +<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>LDAPVerifyServerCert On</code></td></tr> +<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> +<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> +<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ldap</td></tr> +</table> + <p>Cette directive permet de spécifier s'il faut forcer la + vérification d'un certificat de serveur lors de l'établissement + d'une connexion SSL avec un serveur LDAP.</p> + +</div> +</div> +<div class="bottomlang"> +<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ldap.html" hreflang="en" rel="alternate" title="English"> en </a> | +<a href="../fr/mod/mod_ldap.html" title="Français"> fr </a></p> +</div><div id="footer"> +<p class="apache">Copyright 2009 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p> +<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="../faq/">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div> +</body></html>
\ No newline at end of file diff --git a/docs/manual/mod/mod_ldap.xml.fr b/docs/manual/mod/mod_ldap.xml.fr new file mode 100644 index 0000000000..877761db1c --- /dev/null +++ b/docs/manual/mod/mod_ldap.xml.fr @@ -0,0 +1,729 @@ +<?xml version="1.0"?> +<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd"> +<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?> +<!-- English Revision : 695883 --> +<!-- French translation : Lucien GENTIS --> +<!-- Reviewed by : Vincent Deffontaines --> + + +<!-- + Licensed to the Apache Software Foundation (ASF) under one or more + contributor license agreements. See the NOTICE file distributed with + this work for additional information regarding copyright ownership. + The ASF licenses this file to You under the Apache License, Version 2.0 + (the "License"); you may not use this file except in compliance with + the License. You may obtain a copy of the License at + + http://www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. +--> + +<modulesynopsis metafile="mod_ldap.xml.meta"> + +<name>mod_ldap</name> +<description>Conservation des connexions LDAP et services de mise en +cache du résultat à destination des autres modules LDAP</description> +<status>Extension</status> +<sourcefile>util_ldap.c</sourcefile> +<identifier>ldap_module</identifier> +<compatibility>Disponible à partir de la version 2.0.41 +d'Apache</compatibility> + +<summary> + <p>Ce module a été conçu dans le but d'améliorer les performances + des sites web s'appuyant sur des connexions en arrière-plan vers des + serveurs LDAP. Il ajoute aux fonctions fournies par les + bibliothèques standards LDAP la conservation des connexions LDAP + ainsi qu'un cache LDAP partagé en mémoire.</p> + + <p>Pour activer ce module, le support LDAP doit être compilé dans + apr-util. Pour ce faire, on ajoute l'option <code>--with-ldap</code> + au script <program>configure</program> lorsqu'on construit + Apache.</p> + + <p>Le support SSL/TLS est conditionné par le kit de développement + LDAP qui a été lié à <glossary>APR</glossary>. Au moment où ces + lignes sont écrites, APR-util supporte <a + href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou + supérieure), <a + href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP + SDK</a>, <a href="http://www.mozilla.org/directory/csdk.html"> + Mozilla LDAP SDK</a>, le SDK LDAP propre à Solaris (basé sur + Mozilla), le SDK LDAP propre à Microsoft, ou le SDK <a + href="http://www.iplanet.com/downloads/developer/">iPlanet + (Netscape)</a>. Voir le site web <a + href="http://apr.apache.org">APR</a> pour plus de détails.</p> + +</summary> + +<section id="exampleconfig"><title>Exemple de configuration</title> + <p>Ce qui suit est un exemple de configuration qui utilise + <module>mod_ldap</module> pour améliorer les performances de + l'authentification HTTP de base fournie par + <module>mod_authnz_ldap</module>.</p> + + <example> + # Active la conservation des connexions LDAP et le cache partagé en<br /> + # mémoire. Active le gestionnaire de statut du cache LDAP.<br /> + # Nécessite le chargement de mod_ldap et de mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPSharedCacheSize 200000<br /> + LDAPCacheEntries 1024<br /> + LDAPCacheTTL 600<br /> + LDAPOpCacheEntries 1024<br /> + LDAPOpCacheTTL 600<br /> + <br /> + <Location /statut-ldap><br /> + <indent> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </indent> + </Location> + </example> +</section> + +<section id="pool"><title>Conservation des connexions LDAP</title> + + <p>Les connexions LDAP sont conservées de requête en requête. Ceci + permet de rester connecté et identifié au serveur LDAP, ce dernier + étant ainsi prêt pour la prochaine requête, sans avoir à se + déconnecter, reconnecter et réidentifier. Le gain en performances + est similaire à celui des connexions persistantes (keepalives) + HTTP.</p> + + <p>Sur un serveur très sollicité, il est possible que de nombreuses + requêtes tentent d'accéder simultanément à la même connexion au + serveur LDAP. Lorsqu'une connexion LDAP est utilisée, Apache en crée + une deuxième en parallèle à la première, ce qui permet d'éviter que + le système de conservation des connexions ne devienne un goulot + d'étranglement.</p> + + <p>Il n'est pas nécessaire d'activer explicitement la conservation + des connexions dans la configuration d'Apache. Tout module utilisant + le module ldap pour accéder aux services LDAP partagera le jeu de + connexions.</p> + + <p>Les connexions LDAP peuvent garder la trace des données + d'identification du client ldap utilisées pour l'identification + auprès du serveur LDAP. Ces données peuvent être fournies aux + serveurs LDAP qui ne permettent pas les connexions anonymes au cours + lors des tentatives de sauts vers des serveurs alternatifs. Pour + contrôler cette fonctionnalité, voir les directives <directive + module="mod_ldap">LDAPReferrals</directive> et <directive + module="mod_ldap">LDAPReferralHopLimit</directive>. Cette + fonctionnalité est activée par défaut.</p> +</section> + +<section id="cache"><title>Cache LDAP</title> + + <p>Pour améliorer les performances, <module>mod_ldap</module> met en + oeuvre une stratégie de mise en cache agressive visant à minimiser + le nombre de fois que le serveur LDAP doit être contacté. La mise en + cache peut facilement doubler et même tripler le débit d'Apache + lorsqu'il sert des pages protégées par mod_authnz_ldap. De plus, le + serveur LDAP verra lui-même sa charge sensiblement diminuée.</p> + + <p><module>mod_ldap</module> supporte deux types de mise en cache + LDAP : un <em>cache recherche/identification</em> durant la phase + de recherche/identification et deux <em>caches d'opérations</em> + durant la phase de comparaison. Chaque URL LDAP utilisée par le + serveur a son propre jeu d'instances dans ces trois caches.</p> + + <section id="search-bind"><title>Le cache + recherche/identification</title> + <p>Les processus de recherche et d'identification sont les + opérations LDAP les plus consommatrices en temps, en particulier + si l'annuaire est de grande taille. Le cache de + recherche/identification met en cache toutes les recherches qui + ont abouti à une identification positive. Les résultats négatifs + (c'est à dire les recherches sans succès, ou les recherches qui + n'ont pas abouti à une identification positive) ne sont pas mis en + cache. La raison de cette décision réside dans le fait que les + connexions avec des données d'identification invalides ne + représentent qu'un faible pourcentage du nombre total de + connexions, et ainsi, le fait de ne pas mettre en cache les + données d'identification invalides réduira d'autant la taille du + cache.</p> + + <p><module>mod_ldap</module> met en cache le nom d'utilisateur, le + DN extrait, le mot de passe utilisé pour l'identification, ainsi + que l'heure de l'identification. Chaque fois qu'une nouvelle + connexion est initialisée avec le même nom d'utilisateur, + <module>mod_ldap</module> compare le mot de passe de la nouvelle + connexion avec le mot de passe enregistré dans le cache. Si les + mots de passe correspondent, et si l'entrée du cache n'est pas + trop ancienne, <module>mod_ldap</module> court-circuite la phase + de recherche/identification.</p> + + <p>Le cache de recherche/identification est contrôlé par les + directives <directive + module="mod_ldap">LDAPCacheEntries</directive> et <directive + module="mod_ldap">LDAPCacheTTL</directive>.</p> + </section> + + <section id="opcaches"><title>Les caches d'opérations</title> + <p>Au cours des opérations de comparaison d'attributs et de noms + distinctifs (DN), <module>mod_ldap</module> utilise deux caches + d'opérations pour mettre en cache les opérations de comparaison. + Le premier cache de comparaison sert à mettre en cache les + résultats de comparaisons effectuées pour vérifier l'appartenance + à un groupe LDAP. Le second cache de comparaison sert à mettre en + cache les résultats de comparaisons entre DNs.</p> + + <p>Notez que, lorsque l'appartenance à un groupe est vérifiée, + toute comparaison de sous-groupes est mise en cache afin + d'accélérer les comparaisons de sous-groupes ultérieures.</p> + + <p>Le comportement de ces deux caches est contrôlé par les + directives <directive + module="mod_ldap">LDAPOpCacheEntries</directive> et <directive + module="mod_ldap">LDAPOpCacheTTL</directive>.</p> + </section> + + <section id="monitoring"><title>Superviser le cache</title> + <p><module>mod_ldap</module> possède un gestionnaire de contenu + qui permet aux administrateurs de superviser les performances du + cache. Le nom du gestionnaire de contenu est + <code>ldap-status</code>, et on peut utiliser les directives + suivantes pour accéder aux informations du cache de + <module>mod_ldap</module> :</p> + + <example> + <Location /serveur/infos-cache><br /> + <indent> + SetHandler ldap-status<br /> + </indent> + </Location> + </example> + + <p>En se connectant à l'URL + <code>http://nom-serveur/infos-cache</code>, l'administrateur peut + obtenir un rapport sur le statut de chaque cache qu'utilise + <module>mod_ldap</module>. Notez que si Apache ne supporte pas la + mémoire partagée, chaque instance de <program>httpd</program> + possèdera son propre cache, et chaque fois que l'URL sera + rechargée, un résultat différent pourra être affiché, en fonction + de l'instance de <program>httpd</program> qui traitera la + requête.</p> + </section> +</section> + +<section id="usingssltls"><title>Utiliser SSL/TLS</title> + + <p>La possibilité de créer des connexions SSL et TLS avec un serveur + LDAP est définie par les directives <directive module="mod_ldap"> + LDAPTrustedGlobalCert</directive>, <directive module="mod_ldap"> + LDAPTrustedClientCert</directive> et <directive module="mod_ldap"> + LDAPTrustedMode</directive>. Ces directives permettent de spécifier + l'autorité de certification (CA), les certificats clients éventuels, + ainsi que le type de chiffrement à utiliser pour la connexion (none, + SSL ou TLS/STARTTLS).</p> + + <example> + # Etablissement d'une connexion SSL LDAP sur le port 636.<br /> + # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br /> + <br /> + <Location /statut-ldap><br /> + <indent> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </indent> + </Location> + </example> + + <example> + # Etablissement d'une connexion TLS LDAP sur le port 389.<br /> + # Nécessite le chargement de mod_ldap et mod_authnz_ldap.<br /> + # Remplacez "votre-domaine.exemple.com" par le nom de votre<br /> + # domaine.<br /> + <br /> + LDAPTrustedGlobalCert CA_DER /certs/fichier-certificat.der<br /> + <br /> + <Location /statut-ldap><br /> + <indent> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldap://127.0.0.1/dc=exemple,dc=com?uid?one TLS<br /> + Require valid-user<br /> + </indent> + </Location> + </example> + +</section> + +<section id="settingcerts"><title>Certificats SSL/TLS</title> + + <p>Les différents SDKs LDAP disposent de nombreuses méthodes pour + définir et gérer les certificats des clients et des autorités de + certification (CA).</p> + + <p>Si vous avez l'intention d'utiliser SSL ou TLS, lisez cette + section ATTENTIVEMENT de façon à bien comprendre les différences de + configurations entre les différents SDKs LDAP supportés.</p> + + <section id="settingcerts-netscape"><title>SDK Netscape/Mozilla/iPlanet</title> + <p>Les certificat de CA sont enregistrés dans un fichier nommé + cert7.db. Le SDK ne dialoguera avec aucun serveur LDAP dont le + certificat n'a pas été signé par une CA spécifiée dans ce + fichier. Si des certificats clients sont requis, un fichier + key3.db ainsi qu'un mot de passe optionnels peuvent être + spécifiés. On peut aussi spécifier le fichier secmod si + nécessaire. Ces fichiers sont du même format que celui utilisé + par les navigateurs web Netscape Communicator ou Mozilla. Le + moyen le plus simple pour obtenir ces fichiers consiste à les + extraire de l'installation de votre navigateur.</p> + + <p>Les certificats clients sont spécifiés pour chaque connexion + en utilisant la directive LDAPTrustedClientCert et en se + référant au certificat "nickname". On peut éventuellement + spécifier un mot de passe pour déverrouiller la clé privée du + certificat.</p> + + <p>Le SDK supporte seulement SSL. Toute tentative d'utilisation + de STARTTLS engendrera une erreur lors des tentatives de + contacter le serveur LDAP pendant l'exécution.</p> + + <example> + # Spécifie un fichier de certificats de CA Netscape<br /> + LDAPTrustedGlobalCert CA_CERT7_DB /certs/cert7.db<br /> + # Spécifie un fichier key3db optionnel pour le support des + # certificats clients<br /> + LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db<br /> + # Spécifie le fichier secmod si nécessaire<br /> + LDAPTrustedGlobalCert CA_SECMOD /certs/secmod<br /> + <Location /statut-ldap><br /> + <indent> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + LDAPTrustedClientCert CERT_NICKNAME <nickname> + [mot de passe]<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </indent> + </Location> + </example> + + </section> + + <section id="settingcerts-novell"><title>SDK Novell</title> + + <p>Un ou plusieurs certificats de CA doivent être spécifiés pour + que le SDK Novell fonctionne correctement. Ces certificats + peuvent être spécifiés sous forme de fichiers au format binaire + DER ou codés en Base64 (PEM).</p> + + <p>Note: Les certificats clients sont spécifiés globalement + plutôt qu'à chaque connexion, et doivent être spécifiés à l'aide + de la directive LDAPTrustedGlobalCert comme ci-dessous. Définir + des certificats clients via la directive LDAPTrustedClientCert + engendrera une erreur qui sera journalisée, au moment de la + tentative de connexion avec le serveur LDAP.</p> + + <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le + paramètre de la directive LDAPTrustedMode. Si une URL de type + ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur + cette directive.</p> + + <example> + # Spécifie deux fichiers contenant des certificats de CA<br /> + LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br /> + LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br /> + # Spécifie un fichier contenant des certificats clients + # ainsi qu'une clé<br /> + LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem<br /> + LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [mot de + passe]<br /> + # N'utilisez pas cette directive, sous peine de provoquer + # une erreur<br /> + #LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br /> + </example> + + </section> + + <section id="settingcerts-openldap"><title>SDK OpenLDAP</title> + + <p>Un ou plusieurs certificats de CA doivent être spécifiés pour + que le SDK OpenLDAP fonctionne correctement. Ces certificats + peuvent être spécifiés sous forme de fichiers au format binaire + DER ou codés en Base64 (PEM).</p> + + <p>Les certificats clients sont spécifiés pour chaque connexion + à l'aide de la directive LDAPTrustedClientCert.</p> + + <p>La documentation du SDK prétend que SSL et STARTTLS sont + supportés ; cependant, STARTTLS semble ne pas fonctionner avec + toutes les versions du SDK. Le mode SSL/TLS peut être défini en + utilisant le paramètre de la directive LDAPTrustedMode. Si une + URL de type + ldaps:// est spécifiée, le mode SSL est forcé. La documentation + OpenLDAP indique que le support SSL (ldaps://) tend à être + remplacé par TLS, bien que le mode SSL fonctionne toujours.</p> + + <example> + # Spécifie deux fichiers contenant des certificats de CA<br /> + LDAPTrustedGlobalCert CA_DER /certs/cacert1.der<br /> + LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem<br /> + <Location /statut-ldap><br /> + <indent> + SetHandler ldap-status<br /> + Order deny,allow<br /> + Deny from all<br /> + Allow from votre-domaine.exemple.com<br /> + LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem<br /> + LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem<br /> + Satisfy any<br /> + AuthType Basic<br /> + AuthName "Protégé par LDAP"<br /> + AuthBasicProvider ldap<br /> + AuthLDAPURL ldaps://127.0.0.1/dc=exemple,dc=com?uid?one<br /> + Require valid-user<br /> + </indent> + </Location> + </example> + + </section> + + <section id="settingcerts-solaris"><title>SDK Solaris</title> + + <p>SSL/TLS pour les bibliothèques LDAP propres à Solaris n'est + pas encore supporté. Si nécessaire, installez et utilisez plutôt + les bibliothèques OpenLDAP.</p> + + </section> + + <section id="settingcerts-microsoft"><title>SDK Microsoft</title> + + <p>La configuration des certificats SSL/TLS pour les + bibliothèques LDAP propres à Microsoft s'effectue à l'intérieur + du registre système, et aucune directive de configuration n'est + requise.</p> + + <p>SSL et TLS sont tous deux supportés en utilisant des URLs de + type ldaps://, ou en définissant la directive LDAPTrustedMode à + cet effet.</p> + + <p>Note: L'état du support des certificats clients n'est pas + encore connu pour ce SDK.</p> + + </section> + +</section> + +<directivesynopsis> +<name>LDAPSharedCacheSize</name> +<description>Taille en octets du cache en mémoire partagée</description> +<syntax>LDAPSharedCacheSize <var>octets</var></syntax> +<default>LDAPSharedCacheSize 102400</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le nombre d'octets à allouer + pour le cache en mémoire partagée. La valeur par défaut est 100kb. + Si elle est définie à 0, le cache en mémoire partagée ne sera pas + utilisé.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPSharedCacheFile</name> +<description>Définit le fichier du cache en mémoire +partagée</description> +<syntax>LDAPSharedCacheFile <var>chemin/nom-fichier</var></syntax> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le chemin et le nom du + fichier du cache en mémoire partagée. Si elle n'est pas définie, la + mémoire partagée anonyme sera utilisée si la plate-forme la + supporte.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPCacheEntries</name> +<description>Nombre maximum d'entrées dans le cache LDAP +primaire</description> +<syntax>LDAPCacheEntries <var>nombre</var></syntax> +<default>LDAPCacheEntries 1024</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier la taille maximale du cache + LDAP primaire. Ce cache contient les résultats de + recherche/identification positifs. Définissez-la à 0 pour désactiver + la mise en cache des résultats de recherche/identification positifs. + La taille par défaut est de 1024 recherches en cache.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPCacheTTL</name> +<description>Durée pendant laquelle les entrées du cache restent +valides.</description> +<syntax>LDAPCacheTTL <var>secondes</var></syntax> +<default>LDAPCacheTTL 600</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier la durée (en secondes) + pendant laquelle une entrée du cache de recherche/identification + reste valide. La valeur par défaut est de 600 secondes (10 + minutes).</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPOpCacheEntries</name> +<description>Nombre d'entrées utilisées pour mettre en cache les +opérations de comparaison LDAP</description> +<syntax>LDAPOpCacheEntries <var>nombre</var></syntax> +<default>LDAPOpCacheEntries 1024</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le nombre d'entrées que + <module>mod_ldap</module> va utiliser pour mettre en cache les + opérations de comparaison LDAP. La valeur par défaut est de 1024 + entrées. Si elle est définie à 0, la mise en cache des opérations de + comparaison LDAP est désactivée.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPOpCacheTTL</name> +<description>Durée pendant laquelle les entrées du cache d'opérations +restent valides</description> +<syntax>LDAPOpCacheTTL <var>secondes</var></syntax> +<default>LDAPOpCacheTTL 600</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier la durée (en secondes) + pendant laquelle les entrées du cache d'opérations restent valides. + La valeur par défaut est de 600 secondes.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPReferralHopLimit</name> +<description>Le nombre maximum de redirections vers des serveurs +alternatifs (referrals) avant l'abandon de la requête +LDAP.</description> +<syntax>LDAPReferralHopLimit <var>nombre</var></syntax> +<default>LDAPReferralHopLimit 5</default> +<contextlist><context>directory</context><context>.htaccess</context></contextlist> +<override>AuthConfig</override> + +<usage> + <p>Si elle est activée par la directive <code>LDAPReferrals</code>, + cette directive permet de définir le nombre maximum de sauts vers + des serveurs alternatifs (referrals) avant l'abandon de la requête + LDAP.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPReferrals</name> +<description>Active la redirection vers des serveurs alternatifs au +cours des requêtes vers le serveur LDAP.</description> +<syntax>LDAPReferrals <var>On|Off</var></syntax> +<default>LDAPReferrals On</default> +<contextlist><context>directory</context><context>.htaccess</context></contextlist> +<override>AuthConfig</override> + +<usage> + <p>Certains serveurs LDAP partagent leur annuaire en plusieurs + domaines et utilisent le système des redirections (referrals) pour + aiguiller un client lorsque les limites d'un domaine doivent être + franchies. En définissant <code>LDAPReferrals On</code>, les + redirections seront prises en compte (et bien entendu, en + définissant <code>LDAPReferrals Off</code>, les redirections seront + ignorées). La directive <code>LDAPReferralHopLimit</code> complète + cette directive en définissant le nombre maximum de redirections à + suivre avant l'abandon de la requête LDAP. Lorsque le traitement des + redirections est activé, les données d'identification du client + seront fournies, via un appel (callback) de réidentification, à tout + serveur LDAP qui en fera la demande.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPTrustedGlobalCert</name> +<description>Définit le nom de fichier ou la base de données contenant +les Autorités de Certification de confiance globales ou les certificats +clients globaux</description> +<syntax>LDAPTrustedGlobalCert <var>type</var> +<var>chemin/nom-fichier</var> <var>[mot de passe]</var></syntax> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le chemin et le nom du + fichier contenant les certificats des CA de confiance et/ou les + certificats clients du système global que <module>mod_ldap</module> + utilisera pour établir une connexion SSL ou TLS avec un serveur + LDAP. Notez que toute information relative aux certificats spécifiée + en utilisant cette directive s'applique globalement à l'ensemble de + l'installation du serveur. Certains SDK LDAP (en particulier Novell) + nécessitent la définition globale de tous les certificats clients en + utilisant cette directive. La plupart des autres SDK nécessitent la + définition des certificats clients dans une section Directory ou + Location en utilisant la directive LDAPTrustedClientCert. Si vous ne + définissez pas ces directives correctement, une erreur sera générée + lors des tentatives de contact avec un serveur LDAP, ou la connexion + échouera silencieusement (Voir plus haut le guide des certificats + SSL/TLS pour plus de détails). Le paramètre type spécifie le type de + certificat en cours de définition, en fonction du SDK LDAP utilisé. + Les types supportés sont :</p> + <ul> + <li>CA_DER - certificat de CA codé en binaire DER</li> + <li>CA_BASE64 - certificat de CA codé en PEM</li> + <li>CA_CERT7_DB - fichier de base de données des certificats de CA + de Netscape cert7.db</li> + <li>CA_SECMOD - fichier de base de données secmod de Netscape</li> + <li>CERT_DER - certificat client codé en binaire DER</li> + <li>CERT_BASE64 - certificat client codé en PEM</li> + <li>CERT_KEY3_DB - fichier de base de données des certificats + clients de Netscape key3.db</li> + <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li> + <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li> + <li>KEY_DER - clé privée codée en binaire DER</li> + <li>KEY_BASE64 - clé privée codée en PEM</li> + <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li> + </ul> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPTrustedClientCert</name> +<description>Définit le nom de fichier contenant un certificat client ou +un alias renvoyant vers un certificat client spécifique à une connexion. +Tous les SDK LDAP ne supportent pas les certificats clients par +connexion.</description> +<syntax>LDAPTrustedClientCert <var>type</var> +<var>chemin/nom-fichier/alias</var> <var>[mot de passe]</var></syntax> +<contextlist><context>server config</context><context>virtual +host</context><context>directory</context><context>.htaccess</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le chemin et le nom de + fichier ou l'alias d'un certificat client par connexion utilisé lors + de l'établissement d'une connexion SSL ou TLS avec un serveur LDAP. + Les sections directory ou location peuvent posséder leurs propres + configurations de certificats clients. Certains SDK LDAP (en + particulier Novell) ne supportent pas les certificats clients par + connexion, et renvoient une erreur lors de la connexion au serveur + LDAP si vous tenter d'utiliser cette directive (Utilisez à la place + la directive LDAPTrustedGlobalCert pour les certificats clients sous + Novell - Voir plus haut le guide des certificats SSL/TLS pour plus + de détails). Le paramètre type spécifie le type du certificat en + cours de définition, en fonction du SDK LDAP utilisé. Les types + supportés sont :</p> + <ul> + <li>CERT_DER - certificat client codé en binaire DER</li> + <li>CERT_BASE64 - certificat client codé en PEM</li> + <li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li> + <li>KEY_DER - clé privée codée en binaire DER</li> + <li>KEY_BASE64 - clé privée codée en PEM</li> + </ul> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPTrustedMode</name> +<description>Spécifie le mode (SSL ou TLS) à utiliser lors de la +connexion à un serveur LDAP.</description> +<syntax>LDAPTrustedMode <var>type</var></syntax> +<contextlist><context>server config</context><context>virtual +host</context></contextlist> + +<usage> + <p>Les modes suivants sont supportés :</p> + <ul> + <li>NONE - aucun chiffrement</li> + <li>SSL - chiffrement ldaps:// sur le port par défaut 636</li> + <li>TLS - chiffrement STARTTLS sur le port par défaut 389</li> + </ul> + + <p>Les modes ci-dessus ne sont pas supportés par tous les SDK LDAP. + Un message d'erreur sera généré à l'exécution si un mode n'est pas + supporté, et la connexion au serveur LDAP échouera. + </p> + + <p>Si une URL de type ldaps:// est spécifiée, le mode est forcé à + SSL et la définition de LDAPTrustedMode est ignorée.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPConnectionTimeout</name> +<description>Spécifie le délai d'attente en secondes de la socket de +connexion</description> +<syntax>LDAPConnectionTimeout <var>secondes</var></syntax> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier le délai d'attente (en + secondes) pendant lequel le + module tentera de se connecter au serveur LDAP. Si une tentative de + connexion n'a pas abouti au bout de ce délai, soit une erreur sera + renvoyée, soit le module tentera de se connecter à un serveur LDAP + secondaire s'il en a été spécifié un. La valeur par défaut est de 10 + secondes.</p> +</usage> +</directivesynopsis> + +<directivesynopsis> +<name>LDAPVerifyServerCert</name> +<description>Force la vérification du certificat du +serveur</description> +<syntax>LDAPVerifyServerCert <var>On|Off</var></syntax> +<default>LDAPVerifyServerCert On</default> +<contextlist><context>server config</context></contextlist> + +<usage> + <p>Cette directive permet de spécifier s'il faut forcer la + vérification d'un certificat de serveur lors de l'établissement + d'une connexion SSL avec un serveur LDAP.</p> +</usage> +</directivesynopsis> + +</modulesynopsis> diff --git a/docs/manual/mod/mod_ldap.xml.meta b/docs/manual/mod/mod_ldap.xml.meta index 1264ca2159..f192c2ce23 100644 --- a/docs/manual/mod/mod_ldap.xml.meta +++ b/docs/manual/mod/mod_ldap.xml.meta @@ -8,5 +8,6 @@ <variants> <variant>en</variant> + <variant>fr</variant> </variants> </metafile> |