Apache: Модуль Apache mod

RU EN

Пункт 157. Модуль Apache mod_ldap

Этот модуль был создан для повышения производительности веб-сайтов, использующих внутренние соединения с серверами LDAP. В дополнение к функциям, предоставляемым стандартными библиотеками LDAP, этот модуль добавляет пул соединений LDAP и кэш общей памяти LDAP.

Чтобы включить этот модуль, поддержка LDAP должна быть скомпилирована в apr-util. Это достигается добавлением --with-ldap флага в configure скрипт при сборке Apache.

Поддержка SSL/TLS зависит от того, какой инструментарий LDAP был связан с APR . На момент написания этой статьи APR-util поддерживает: OpenLDAP SDK (2.x или более позднюю версию), Novell LDAP SDK, Mozilla LDAP SDK, собственный Solaris LDAP SDK (на основе Mozilla) или собственный Microsoft LDAP SDK. Подробности смотрите на сайте АПР.

Пример конфигурации

Ниже приведен пример конфигурации, которая используется mod_ldap для повышения производительности обычной проверки подлинности HTTP, предоставляемой mod_authnz_ldap .

 # Включить пул соединений LDAP и общий
# кеш памяти. Включить состояние кэша LDAP
# обработчик. Требуется, чтобы mod_ldap и mod_authnz_ldap
# быть загруженным. Измените «yourdomain.example.com» на
# соответствует вашему домену.
LDAPSharedCacheSize 500000
LDAPCacheEntries 1024
LDAPCacheTTL 600
LDAPopCacheEntries 1024
LDAPOPCacheTTL 600
<Расположение "/ldap-status">
 SetHandler ldap-статус
 Требуется хост yourdomain.example.com
 Удовлетворить любой
 Основной тип авторизации
 AuthName "Защищено LDAP"
 AuthBasicProvider ldap
 AuthLDAPURL "ldap://127.0.0.1/dc=example,dc=com?uid?one"
 Требовать действительного пользователя
</местоположение>

Пул соединений LDAP

Соединения LDAP объединяются от запроса к запросу. Это позволяет серверу LDAP оставаться подключенным и готовым к следующему запросу без необходимости отсоединения/подключения/повторного подключения. Преимущества в производительности аналогичны эффекту поддержки активности HTTP.

На загруженном сервере возможно, что многие запросы будут пытаться одновременно получить доступ к одному и тому же соединению с сервером LDAP. Если используется соединение LDAP, Apache создаст новое соединение рядом с исходным. Это гарантирует, что пул соединений не станет узким местом.

Нет необходимости вручную включать пул соединений в конфигурации Apache. Любой модуль, использующий этот модуль для доступа к службам LDAP, будет совместно использовать пул соединений.

Соединения LDAP могут отслеживать учетные данные клиента ldap, используемые при привязке к серверу LDAP. Эти учетные данные могут быть предоставлены серверам LDAP, которые не разрешают анонимные привязки во время поиска ссылок. Для управления этой функцией см. директивы LDAPReferrals и LDAPReferralHopLimit . По умолчанию эта функция включена.

LDAP-кэш

Для повышения производительности mod_ldap использует агрессивную стратегию кэширования, чтобы свести к минимуму количество обращений к серверу LDAP. Кэширование может легко удвоить или утроить пропускную способность Apache, когда он обслуживает страницы, защищенные с помощью mod_authnz_ldap. Кроме того, значительно снизится нагрузка на сервер LDAP.

mod_ldap поддерживает два типа кэширования LDAP на этапе поиска/связывания с кэшем поиска/связывания и на этапе сравнения с двумя кэшами операций . Каждый URL-адрес LDAP, используемый сервером, имеет собственный набор этих трех кэшей.

Кэш поиска/привязки

Процесс поиска, а затем привязки — самый трудоемкий аспект работы LDAP, особенно если каталог большой. Кэш поиска/привязки используется для кэширования всех поисков, которые привели к успешным привязкам. Отрицательные результаты ( то есть неудачные поиски или поиски, которые не привели к успешному связыванию) не кэшируются. Обоснование этого решения заключается в том, что соединения с недействительными учетными данными составляют лишь небольшой процент от общего числа подключений, поэтому, не кэшируя недействительные учетные данные, размер кэша уменьшается.

mod_ldap сохраняет имя пользователя, полученное DN, пароль, используемый для привязки, и время привязки в кэше. Всякий раз, когда новое соединение инициируется с тем же именем пользователя, mod_ldap сравнивает пароль нового соединения с паролем в кеше. Если пароли совпадают и кэшированная запись не слишком старая, mod_ldap фаза поиска/связывания пропускается.

Кэш поиска и привязки управляется директивами LDAPCacheEntries и LDAPCacheTTL .

Кэши операций

Во время функций сравнения атрибутов и различающихся имен mod_ldap использует два кэша операций для кэширования операций сравнения. Первый кэш сравнения используется для кэширования результатов сравнения, выполненного для проверки членства в группе LDAP. Второй кэш сравнения используется для кэширования результатов сравнения различающихся имен.

Обратите внимание, что при проверке членства в группе любые результаты сравнения подгрупп кэшируются для ускорения будущих сравнений подгрупп.

Поведение обоих этих кешей управляется директивами LDAPOpCacheEntries и LDAPOpCacheTTL .

Мониторинг кэша

mod_ldap имеет обработчик содержимого, который позволяет администраторам отслеживать производительность кэша. Имя обработчика содержимого — ldap-status , поэтому для доступа к информации кэша можно использовать следующие директивы mod_ldap :

 <Расположение "/сервер/кэш-информация">
 SetHandler ldap-статус
</местоположение>

Извлекая URL-адрес http://servername/cache-info , администратор может получить отчет о состоянии каждого кеша, используемого кешем mod_ldap . Обратите внимание, что если Apache не поддерживает разделяемую память, то каждый httpd экземпляр имеет свой собственный кеш, поэтому перезагрузка URL-адреса каждый раз будет приводить к разной информации, в зависимости от того, какой httpd экземпляр обрабатывает запрос.

Использование SSL/TLS

Возможность создания соединений SSL и TLS с сервером LDAP определяется директивами LDAPTrustedGlobalCert , LDAPTrustedClientCert и LDAPTrustedMode . Эти директивы определяют CA и необязательные клиентские сертификаты, которые будут использоваться, а также тип шифрования, который будет использоваться в соединении (нет, SSL или TLS/STARTTLS).

 # Установите соединение SSL LDAP на порт 636. Требуется, чтобы
# mod_ldap и mod_authnz_ldap должны быть загружены. Изменить
# "yourdomain.example.com", чтобы соответствовать вашему домену.
LDAPTrustedGlobalCert CA_DER "/certs/certfile.der"
<Расположение "/ldap-status">
 SetHandler ldap-статус
 Требуется хост yourdomain.example.com
 Удовлетворить любой
 Основной тип авторизации
 AuthName "Защищено LDAP"
 AuthBasicProvider ldap
 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
 Требовать действительного пользователя
</местоположение>

 # Установите соединение TLS LDAP на порт 389. Требуется, чтобы
# mod_ldap и mod_authnz_ldap должны быть загружены. Изменить
# "yourdomain.example.com", чтобы соответствовать вашему домену.
LDAPTrustedGlobalCert CA_DER "/certs/certfile.der"
<Расположение "/ldap-status">
 SetHandler ldap-статус
 Требуется хост yourdomain.example.com
 Удовлетворить любой
 Основной тип авторизации
 AuthName "Защищено LDAP"
 AuthBasicProvider ldap
 AuthLDAPURL "ldap://127.0.0.1/dc=example,dc=com?uid?one" TLS
 Требовать действительного пользователя
</местоположение>

SSL/TLS-сертификаты

Различные SDK LDAP имеют совершенно разные методы настройки и обработки как сертификатов ЦС, так и сертификатов на стороне клиента.

Если вы собираетесь использовать SSL или TLS, ВНИМАТЕЛЬНО прочтите этот раздел, чтобы понять различия между конфигурациями различных поддерживаемых наборов инструментов LDAP.

Netscape/Mozilla/iPlanet SDK

Сертификаты ЦС указываются в файле с именем cert7.db. SDK не будет обращаться ни к одному серверу LDAP, сертификат которого не был подписан ЦС, указанным в этом файле. Если требуются клиентские сертификаты, необязательный файл key3.db может быть указан с необязательным паролем. При необходимости можно указать файл secmod. Эти файлы имеют тот же формат, что и веб-браузеры Netscape Communicator или Mozilla. Самый простой способ получить эти файлы — получить их из установки вашего браузера.

Клиентские сертификаты указываются для каждого соединения с помощью директивы LDAPTrustedClientCert со ссылкой на «псевдоним» сертификата. Можно указать необязательный пароль для разблокировки закрытого ключа сертификата.

SDK поддерживает только SSL. Попытка использовать STARTTLS вызовет ошибку при попытке связаться с сервером LDAP во время выполнения.

 # Указываем файл сертификата ЦС Netscape
LDAPTrustedGlobalCert CA_CERT7_DB "/certs/cert7.db"
# Укажите необязательный файл key3.db для поддержки клиентских сертификатов
LDAPTrustedGlobalCert CERT_KEY3_DB "/certs/key3.db"
# Указываем файл secmod, если требуется
LDAPTrustedGlobalCert CA_SECMOD "/certs/secmod"
<Расположение "/ldap-status">
 SetHandler ldap-статус
 Требуется хост yourdomain.example.com
 Удовлетворить любой
 Основной тип авторизации
 AuthName "Защищено LDAP"
 AuthBasicProvider ldap
 LDAPTrustedClientCert CERT_NICKNAME <псевдоним> [пароль]
 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
 Требовать действительного пользователя
</местоположение>

Новелл SDK

Для правильной работы Novell SDK необходимо указать один или несколько сертификатов CA. Эти сертификаты могут быть указаны как двоичные файлы в кодировке DER или Base64 (PEM).

Примечание. Сертификаты клиента указываются глобально, а не для каждого соединения, поэтому их необходимо указывать с помощью директивы LDAPTrustedGlobalCert, как показано ниже. Попытка установить клиентские сертификаты с помощью директивы LDAPTrustedClientCert приведет к регистрации ошибки при попытке подключения к серверу LDAP.

SDK поддерживает как SSL, так и STARTTLS, задаваемые с помощью параметра LDAPTrustedMode. Если указан URL-адрес ldaps://, принудительно используется режим SSL, переопределите эту директиву.

 # Указываем два файла сертификата ЦС
LDAPTrustedGlobalCert CA_DER "/certs/cacert1.der"
LDAPTrustedGlobalCert CA_BASE64 "/certs/cacert2.pem"
# Указываем файл сертификата клиента и ключ
LDAPTrustedGlobalCert CERT_BASE64 "/certs/cert1.pem"
LDAPTrustedGlobalCert KEY_BASE64 "/certs/key1.pem" [пароль]
# Не используйте эту директиву, так как она выдаст ошибку
#LDAPTrustedClientCert CERT_BASE64 "/certs/cert1.pem"

SDK OpenLDAP

Для корректной работы OpenLDAP SDK необходимо указать один или несколько сертификатов ЦС. Эти сертификаты могут быть указаны как двоичные файлы в кодировке DER или Base64 (PEM).

Сертификаты центра сертификации и клиента могут быть указаны глобально (LDAPTrustedGlobalCert) или для каждого соединения (LDAPTrustedClientCert). Когда какие-либо настройки указываются для каждого соединения, глобальные настройки заменяются.

Документация для SDK утверждает, что поддерживает как SSL, так и STARTTLS, однако STARTTLS, похоже, не работает на всех версиях SDK. Режим SSL/TLS можно задать с помощью параметра LDAPTrustedMode. Если указан URL-адрес ldaps://, принудительно используется режим SSL. В документации OpenLDAP отмечается, что поддержка SSL (ldaps://) устарела и заменена на TLS, хотя функциональность SSL все еще работает.

 # Указываем два файла сертификата ЦС
LDAPTrustedGlobalCert CA_DER "/certs/cacert1.der"
LDAPTrustedGlobalCert CA_BASE64 "/certs/cacert2.pem"
<Расположение "/ldap-status">
 SetHandler ldap-статус
 Требуется хост yourdomain.example.com
 LDAPTrustedClientCert CERT_BASE64 "/certs/cert1.pem"
 LDAPTrustedClientCert KEY_BASE64 "/certs/key1.pem"
 # Сертификаты CA изменены из-за клиентских сертификатов для каждого каталога
 LDAPTrustedClientCert CA_DER "/certs/cacert1.der"
 LDAPTrustedClientCert CA_BASE64 "/certs/cacert2.pem"
 Удовлетворить любой
 Основной тип авторизации
 AuthName "Защищено LDAP"
 AuthBasicProvider ldap
 AuthLDAPURL "ldaps://127.0.0.1/dc=example,dc=com?uid?one"
 Требовать действительного пользователя
</местоположение>

Солярис SDK

SSL/TLS для собственных библиотек LDAP Solaris пока не поддерживается. При необходимости установите и используйте библиотеки OpenLDAP.

Microsoft SDK

Настройка сертификата SSL/TLS для собственных библиотек Microsoft LDAP выполняется в системном реестре, и директивы конфигурации не требуются.

И SSL, и TLS поддерживаются при использовании формата URL-адреса ldaps:// или при использовании соответствующей директивы LDAPTrustedMode.

Примечание. Состояние поддержки клиентских сертификатов для этого инструментария пока неизвестно.

Директива LDAPCacheEntries

Описание:	Максимальное количество записей в основном кэше LDAP
Синтаксис:	`LDAPCacheEntries number`
По умолчанию:	`LDAPCacheEntries 1024`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Задает максимальный размер основного кэша LDAP. Этот кеш содержит успешный поиск/связку. Установите его на 0, чтобы отключить кэширование поиска/привязки. Размер по умолчанию — 1024 кэшированных поиска.

Директива LDAPCacheTTL

Описание:	Время, в течение которого кэшированные элементы остаются действительными
Синтаксис:	`LDAPCacheTTL seconds`
По умолчанию:	`LDAPCacheTTL 600`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Указывает время (в секундах), в течение которого элемент в кэше поиска/привязки остается действительным. Значение по умолчанию — 600 секунд (10 минут).

Директива LDAPConnectionPoolTTL

Описание:	Отбрасывать серверные соединения, которые слишком долго находились в пуле соединений.
Синтаксис:	`LDAPConnectionPoolTTL n`
По умолчанию:	`LDAPConnectionPoolTTL -1`
Контекст:	конфигурация сервера, виртуальный хост
Положение дел:	Расширение
Модуль:	mod_ldap
Совместимость:	HTTP-сервер Apache 2.3.12 и выше

Указывает максимальный срок в секундах, в течение которого объединенное в пул соединение LDAP может оставаться бездействующим и по-прежнему доступным для использования. Соединения очищаются, когда они нужны в следующий раз, а не асинхронно.

Значение 0 означает, что соединения никогда не будут сохраняться в пуле внутренних соединений. Значение по умолчанию -1 и любое другое отрицательное значение позволяют повторно использовать соединения любого возраста.

По соображениям производительности эталонное время, используемое этой директивой, основано на том, когда соединение LDAP возвращается в пул, а не на времени последнего успешного ввода-вывода с сервером LDAP.

Начиная с версии 2.4.10, введены новые меры, позволяющие избежать завышения эталонного времени из-за попаданий в кэш или медленных запросов. Во-первых, эталонное время не обновляется, если не требуются внутренние подключения LDAP. Во-вторых, эталонное время использует время получения HTTP-запроса, а не время выполнения запроса.

Этот тайм-аут по умолчанию измеряется секундами, но принимает суффиксы для миллисекунд (мс), минут (мин) и часов (ч).

Директива LDAPConnectionTimeout

Описание:	Указывает время ожидания подключения к сокету в секундах.
Синтаксис:	`LDAPConnectionTimeout seconds`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Эта директива настраивает параметр LDAP_OPT_NETWORK_TIMEOUT (или LDAP_OPT_CONNECT_TIMEOUT) в базовой клиентской библиотеке LDAP, если она доступна. Обычно это значение определяет, как долго клиентская библиотека LDAP будет ожидать завершения соединения TCP с сервером LDAP.

Если соединение не установлено в течение периода ожидания, либо будет возвращена ошибка, либо клиентская библиотека LDAP попытается подключиться к дополнительному серверу LDAP, если он указан (через список имен хостов, разделенных пробелами, в файле ) AuthLDAPURL .

Значение по умолчанию — 10 секунд, если клиентская библиотека LDAP, связанная с сервером, поддерживает параметр LDAP_OPT_NETWORK_TIMEOUT.

LDAPConnectionTimeout доступен только в том случае, если клиентская библиотека LDAP, связанная с сервером, поддерживает параметр LDAP_OPT_NETWORK_TIMEOUT (или LDAP_OPT_CONNECT_TIMEOUT), а окончательное поведение полностью определяется клиентской библиотекой LDAP.

Директива LDALibraryDebug

Описание:	Включить отладку в LDAP SDK
Синтаксис:	`LDAPLibraryDebug 7`
По умолчанию:	`disabled`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Включает специфичные для SDK параметры отладки LDAP, которые обычно заставляют LDAP SDK регистрировать подробные сведения о трассировке в основном журнале ошибок Apache. Сообщения трассировки из LDAP SDK предоставляют подробные сведения, которые могут быть полезны при отладке проблем с подключением к внутренним серверам LDAP.

Этот параметр можно настроить, только если Apache HTTP Server связан с LDAP SDK, который реализует LDAP_OPT_DEBUG или LDAP_OPT_DEBUG_LEVEL , например OpenLDAP (значение 7 — подробное) или Tivoli Directory Server (значение 65535 — подробное).

Зарегистрированная информация, скорее всего, будет содержать учетные данные в виде открытого текста, которые используются или проверяются аутентификацией LDAP, поэтому следует соблюдать осторожность при защите и очистке журнала ошибок при использовании этой директивы.

Директива LDAPopCacheEntries

Описание:	Количество записей, используемых для кэширования операций сравнения LDAP.
Синтаксис:	`LDAPOpCacheEntries number`
По умолчанию:	`LDAPOpCacheEntries 1024`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Указывает количество записей, mod_ldap которые будут использоваться для кэширования операций сравнения LDAP. По умолчанию 1024 записи. Установка его в 0 отключает кэширование операций.

Директива LDAPOPCacheTTL

Описание:	Время, в течение которого записи в кэше операций остаются действительными
Синтаксис:	`LDAPOpCacheTTL seconds`
По умолчанию:	`LDAPOpCacheTTL 600`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Указывает время (в секундах), в течение которого записи в кэше операций остаются действительными. По умолчанию 600 секунд.

Директива LDAPReferralHopLimit

Описание:	Максимальное количество реферальных прыжков, которые необходимо пройти перед завершением запроса LDAP.
Синтаксис:	`LDAPReferralHopLimit number`
По умолчанию:	`SDK dependent, typically between 5 and 10`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	Расширение
Модуль:	mod_ldap

Эта директива, если она разрешена директивой LDAPReferrals , ограничивает количество реферальных переходов, которые выполняются перед завершением запроса LDAP.

Поддержка этого настраиваемого параметра редко встречается в LDAP SDK.

Директива LDAPReferrals

Описание:	Включить отслеживание ссылок во время запросов к серверу LDAP.
Синтаксис:	`LDAPReferrals On\|Off\|default`
По умолчанию:	`LDAPReferrals On`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	Расширение
Модуль:	mod_ldap
Совместимость:	Параметр `по умолчанию` доступен в Apache 2.4.7 и более поздних версиях.

Некоторые серверы LDAP делят свой каталог между несколькими доменами и используют ссылки для направления клиента при пересечении границы домена. Это похоже на перенаправление HTTP. Клиентские библиотеки LDAP могут или не могут преследовать ссылки по умолчанию. Эта директива явно настраивает отслеживание ссылок в базовом пакете SDK.

LDAPReferrals принимает следующие значения:

"на": Если установлено значение «on», базовое состояние поиска ссылок SDK включено, LDAPReferralHopLimit используется для переопределения ограничения переходов SDK, и регистрируется обратный вызов повторной привязки LDAP.
"выключенный": Если установлено значение «Выкл.», базовое состояние поиска рефералов SDK полностью отключено.
"по умолчанию": Если установлено значение «по умолчанию», базовое состояние поиска ссылок SDK не изменяется, LDAPReferralHopLimit не используется для переопределения ограничения переходов SDK, и обратный вызов повторной привязки LDAP не регистрируется.

Директива LDAPReferralHopLimit работает в сочетании с этой директивой, чтобы ограничить количество реферальных переходов, которые необходимо выполнить перед завершением запроса LDAP. Когда обработка ссылок включена со значением «Вкл.», учетные данные клиента будут предоставлены посредством обратного вызова повторной привязки для любого требующего их сервера LDAP.

Директива LDAPRetries

Описание:	Настраивает количество повторных попыток сервера LDAP.
Синтаксис:	`LDAPRetries number-of-retries`
По умолчанию:	`LDAPRetries 3`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Сервер будет повторять неудачные запросы LDAP до LDAPRetries раз. Установка этой директивы в 0 отключает повторные попытки.

Ошибки LDAP, такие как тайм-ауты и отказы в подключении, можно повторить.

Директива LDAPRetryDelay

Описание:	Настраивает задержку между повторными попытками сервера LDAP.
Синтаксис:	`LDAPRetryDelay seconds`
По умолчанию:	`LDAPRetryDelay 0`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Если LDAPRetryDelay задано ненулевое значение, сервер будет откладывать повторную попытку запроса LDAP на указанное время. Установка этой директивы в 0 приведет к тому, что любые повторные попытки будут происходить без задержки.

Ошибки LDAP, такие как тайм-ауты и отказы в подключении, можно повторить.

Директива LDAPSharedCacheFile

Описание:	Устанавливает файл кэша общей памяти
Синтаксис:	`LDAPSharedCacheFile directory-path/filename`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Задает путь к каталогу и имя файла кэша общей памяти. Если не установлено, будет использоваться анонимная общая память, если платформа поддерживает это.

Директива LDAPSharedCacheSize

Описание:	Размер в байтах кэша общей памяти
Синтаксис:	`LDAPSharedCacheSize bytes`
По умолчанию:	`LDAPSharedCacheSize 500000`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Указывает количество байтов, выделяемых для кэша общей памяти. По умолчанию 500кб. Если установлено значение 0, кэширование общей памяти не будет использоваться, и каждый процесс HTTPD будет создавать свой собственный кэш.

Директива LDAPTimeout

Описание:	Указывает время ожидания для операций поиска и привязки LDAP в секундах.
Синтаксис:	`LDAPTimeout seconds`
По умолчанию:	`LDAPTimeout 60`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap
Совместимость:	HTTP-сервер Apache 2.3.5 и выше

Эта директива настраивает время ожидания для операций привязки и поиска, а также параметр LDAP_OPT_TIMEOUT в базовой клиентской библиотеке LDAP, если он доступен.

По истечении тайм-аута httpd повторит попытку, если существующее соединение было автоматически отключено брандмауэром. Однако производительность будет намного выше, если брандмауэр настроен на отправку пакетов TCP RST, а не на отбрасывание пакетов без вывода сообщений.

Тайм-ауты для операций сравнения ldap требуют SDK с LDAP_OPT_TIMEOUT, например OpenLDAP >= 2.4.4.

Директива LDAPTrustedClientCert

Описание:	Задает файл, содержащий или псевдоним, ссылающийся на сертификат клиента для каждого соединения. Не все наборы инструментов LDAP поддерживают клиентские сертификаты для каждого подключения.
Синтаксис:	`LDAPTrustedClientCert type directory-path/filename/nickname [password]`
Контекст:	каталог, .htaccess
Положение дел:	Расширение
Модуль:	mod_ldap

Он указывает путь к каталогу, имя файла или псевдоним сертификата клиента для каждого соединения, используемого при установлении соединения SSL или TLS с сервером LDAP. Различные местоположения или каталоги могут иметь свои собственные независимые настройки сертификата клиента. Некоторые наборы инструментов LDAP (в частности, Novell) не поддерживают клиентские сертификаты для каждого соединения и выдают ошибку при подключении к серверу LDAP, если вы попытаетесь использовать эту директиву (вместо этого используйте директиву LDAPTrustedGlobalCert для клиентских сертификатов Novell — см. руководство по сертификатам SSL/TLS выше). для подробностей). Тип определяет тип устанавливаемого параметра сертификата в зависимости от используемого инструментария LDAP. Поддерживаемые типы:

CA_DER — сертификат ЦС в двоичной кодировке DER.
CA_BASE64 — сертификат ЦС в кодировке PEM.
CERT_DER — сертификат клиента в двоичной кодировке DER.
CERT_BASE64 — сертификат клиента в кодировке PEM.
CERT_NICKNAME — сертификат клиента «псевдоним» (Netscape SDK)
KEY_DER - закрытый ключ в двоичной кодировке DER
KEY_BASE64 — закрытый ключ в кодировке PEM.

Директива LDAPTrustedGlobalCert

Описание:	Задает файл или базу данных, содержащую глобальный доверенный центр сертификации или глобальные клиентские сертификаты.
Синтаксис:	`LDAPTrustedGlobalCert type directory-path/filename [password]`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Он указывает путь к каталогу и имя файла доверенных сертификатов ЦС и/или общесистемных клиентских сертификатов, которые mod_ldap следует использовать при установлении соединения SSL или TLS с сервером LDAP. Обратите внимание, что вся информация о сертификате, указанная с помощью этой директивы, применяется глобально ко всей установке сервера. Некоторые наборы инструментов LDAP (в частности, Novell) требуют, чтобы все клиентские сертификаты устанавливались глобально с помощью этой директивы. Большинство других наборов инструментов требуют установки сертификатов клиентов для каждого каталога или местоположения с помощью LDAPTrustedClientCert. Если вы сделаете это неправильно, при попытке связаться с сервером LDAP может быть зарегистрирована ошибка, или соединение может автоматически завершиться неудачно (подробности см. в руководстве по сертификатам SSL/TLS выше). Тип определяет тип устанавливаемого параметра сертификата в зависимости от используемого инструментария LDAP. Поддерживаемые типы:

CA_DER — сертификат ЦС в двоичной кодировке DER.
CA_BASE64 — сертификат ЦС в кодировке PEM.
CA_CERT7_DB — файл базы данных сертификатов центра сертификации Netscape cert7.db.
CA_SECMOD — файл базы данных Netscape secmod.
CERT_DER — сертификат клиента в двоичной кодировке DER.
CERT_BASE64 — сертификат клиента в кодировке PEM.
CERT_KEY3_DB — файл базы данных клиентских сертификатов Netscape key3.db.
CERT_NICKNAME — сертификат клиента «псевдоним» (Netscape SDK)
CERT_PFX — сертификат клиента в кодировке PKCS#12 (Novell SDK)
KEY_DER - закрытый ключ в двоичной кодировке DER
KEY_BASE64 — закрытый ключ в кодировке PEM.
KEY_PFX — закрытый ключ в кодировке PKCS#12 (Novell SDK)

Директива LDAPTrustedMode

Описание:	Указывает режим SSL/TLS, который будет использоваться при подключении к серверу LDAP.
Синтаксис:	`LDAPTrustedMode type`
Контекст:	конфигурация сервера, виртуальный хост
Положение дел:	Расширение
Модуль:	mod_ldap

Поддерживаются следующие режимы:

НЕТ - без шифрования
SSL — шифрование ldaps:// на порту 636 по умолчанию
TLS — шифрование STARTTLS на порту 389 по умолчанию

Не все наборы инструментов LDAP поддерживают все вышеперечисленные режимы. Во время выполнения будет зарегистрировано сообщение об ошибке, если режим не поддерживается, и соединение с сервером LDAP завершится ошибкой.

Если указан URL-адрес ldaps://, режим становится SSL, а параметр LDAPTrustedMode игнорируется.

Директива LDAPVerifyServerCert

Описание:	Принудительная проверка сертификата сервера
Синтаксис:	`LDAPVerifyServerCert On\|Off`
По умолчанию:	`LDAPVerifyServerCert On`
Контекст:	конфигурация сервера
Положение дел:	Расширение
Модуль:	mod_ldap

Указывает, следует ли принудительно проверять сертификат сервера при установке соединения SSL с сервером LDAP.