CREATE LDAP SERVER-Anweisung

CREATE LDAP SERVER ldapua-server-name
[ ldapua-server-attribs ... ]
[ WITH ACTIVATE ]

ldapua-server-attribs :
SEARCH DN search-dn-attributes ...
| AUTHENTICATION URL { 'url-string' | NULL }
| CONNECTION TIMEOUT timeout-value
| CONNECTION RETRIES retry-value
| TLS { ON | OFF }

search-dn-attributes :
URL { 'url-string' | NULL }
| ACCESS ACCOUNT { 'dn-string' | NULL }
| IDENTIFIED BY ( 'password' | NULL }
| IDENTIFIED BY ENCRYPTED { encrypted-password | NULL }

SEARCH DN-Klausel Es gibt keine Standardwerte für Parameter in der SEARCH DN-Klausel.
- URL Verwenden Sie diese Klausel zum Angeben des Hosts (als Namen oder als IP-Adresse), der Portnummer und der auszuführenden Suche, um den LDAP-Distinguished Name (DN) für eine bestimmte Benutzer-ID nachzuschlagen. url-string wird vor dem Speichern in ISYSLDAPSERVER im Hinblick auf die Richtigkeit der LDAP-URL-Syntax validiert. Die maximale Größe für diese Zeichenfolge ist 1024 Byte.
  Das Format der url-string muss dem LDAP-URL-Standard entsprechen. Siehe http://www.isode.com/whitepapers/ldap-standards.html.
- ACCESS ACCOUNT Verwenden Sie diese Klausel zum Angeben des DN, der vom Datenbankserver verwendet wird, um eine Verbindung mit dem LDAP-Server herzustellen. Dies ist kein SQL Anywhere-Benutzer, sondern ein Benutzer, der im LDAP-Server speziell für das Anmelden beim LDAP-Server erstellt wurde. Dieser Benutzer muss Berechtigungen im LDAP-Server haben, um über Benutzer-IDs an den in der SEARCH DN URL-Klausel angegebenen Orten nach DNs suchen zu können. Die maximale Größe für diese Zeichenfolge ist 1024 Byte.
- IDENTIFIED BY Verwenden Sie diese Klausel, um das Kennwort anzugeben, das dem Benutzer durch ACCESS ACCOUNT identifizierten Benutzer zugeordnet ist. Die maximal zulässige Länge beträgt 255 Byte und kann nicht auf NULL gesetzt werden.
- IDENTIFIED BY ENCRYPTED Verwenden Sie diese Klausel, um das Kennwort anzugeben, das dem durch ACCESS ACCOUNT identifizierten Benutzer zugeordnet ist. Dieses wird in verschlüsselter Form bereitgestellt und ist als Binärwert auf der Festplatte gespeichert. Die maximale Größe des Binärwerts beträgt 289 Byte und kann nicht auf NULL gesetzt werden. Mithilfe von IDENTIFIED BY ENCRYPTED kann das Kennwort abgerufen und verwendet werden, ohne dass es bekannt wird.
AUTHENTICATION URL-Klausel Geben Sie mithilfe dieser Klausel die url-string an, die den Host nach Name oder IP-Adresse identifiziert, sowie die Portnummer des LDAP-Servers, der zum Authentifizieren eines Benutzers verwendet werden soll. Der bei einer früheren DN-Suche abgerufene DN des Benutzers und das Benutzerkennwort werden verwendet, um eine neue Verbindung an die Authentifizierungs-URL zu binden. Eine erfolgreiche Verbindung mit dem LDAP-Server gilt als Nachweis der Identität des Benutzers, der die Verbindung herstellt. Es gibt keinen Standardwert für diesen Parameter. Weitere Hinweise zu Größenbeschränkungen für diese Zeichenfolge finden Sie in der Beschreibung der SYSLDAPSERVER-Systemansicht.
CONNECTION TIMEOUT-Klausel Verwenden Sie diese Klausel, um das Verbindungs-Timeout des LDAP-Servers in Millisekunden anzugeben, sowohl für DN-Suchvorgänge als auch für die Authentifizierung. Der Standardwert beträgt 10 Sekunden.
CONNECTION RETRIES-Klausel Verwenden Sie diese Klausel, um die Anzahl von Wiederholungen für Verbindungen mit dem LDAP-Server anzugeben, sowohl für DN-Suchvorgänge als auch für die Authentifizierung. Der gültige Wertbereich liegt zwischen 1 und 60. Der Standardwert ist 3.
TLS-Klausel Verwenden Sie diese Klausel, um die Verwendung des TLS-Protokolls für Verbindungen mit dem LDAP-Server anzugeben, sowohl für DN-Suchvorgänge als auch für die Authentifizierung. Die gültigen Werte sind ON und OFF. Der Standardwert ist OFF. Wenn Sie das Secure LDAP-Protokoll verwenden möchten, geben Sie am Anfang der URL ldaps:// statt ldap:// ein. Die TLS-Option muss auf OFF gesetzt sein, wenn Sie Secure LDAP verwenden.
WITH ACTIVATE-Klausel Verwenden Sie diese Klausel, um den LDAP-Server für die sofortige Verwendung zu aktivieren. Mithilfe dieser Klausel können Sie die LDAP-Benutzerauthentifizierung in einer Anweisung definieren und aktivieren, weil sie den Zustand des neuen LDAP-Servers in READY ändert.

Keine

Sie müssen das MANAGE ANY LDAP SERVER-Systemprivileg haben.

Automatisches Festschreiben (Autocommit).

SQL/2008 Erweiterung des Herstellers.

In diesem Beispiel werden Suchparameter, eine Authentifizierungs-URL und ein Timeout von 3 Sekunden gesetzt und der LDAP-Server wird aktiviert, sodass er mit dem Authentifizieren von Benutzern beginnen kann. Eine Verbindung mit dem LDAP-Server wird ohne TLS- oder SECURE LDAP-Protokoll hergestellt. Neben den zum Ausführen der CREATE LDAP SERVER-Anweisung erforderlichen Privilegien müssen Sie auch das SET ANY SECURITY-Systemprivileg haben, um die login_mode-Option im folgenden Beispiel setzen zu können.

SET OPTION PUBLIC.login_mode = 'Standard,LDAPUA';
CREATE LDAP SERVER apps_primary 
    SEARCH DN 
        URL  'ldap://voyager:389/dc=MyCompany,dc=com??sub?cn=*' 
        ACCESS ACCOUNT 'cn=aseadmin, cn=Users, dc=mycompany, dc=com'
        IDENTIFIED BY 'Secret99Password'
    AUTHENTICATION URL 'ldap://voyager:389/'
    CONNECTION TIMEOUT 3000
    WITH ACTIVATE;

In diesem Beispiel werden dieselben Suchparameter verwendet, jedoch wird ldaps:// angegeben und dadurch eine Secure LDAP-Verbindung mit dem LDAP-Server auf dem Host voyager, port 636, hergestellt. Nur LDAP-Clients, die das Secure LDAP-Protokoll verwenden, dürfen Verbindungen über diesen Port herstellen. Die Datenbanksicherheitsoption Trusted_certificate_file muss mit einem Dateinamen gesetzt werden, der das Zertifikat der Zertifizierungsstelle enthält, die das vom LDAP-Servers unter 'ldaps://voyager:636' verwendete Zertifikat signiert hat. Beim Handshake mit dem LDAP-Server wird das vom LDAP-Server vorgelegte Zertifikat vom Datenbankserver überprüft, um zu gewährleisten, dass es von einem der in der Datei aufgelisteten Zertifikate signiert wurde. Die an den LDAP-Server übergebenen Parameter ACCESS ACCOUNT und IDENTIFIED BY werden ebenfalls vom LDAP-Server überprüft.

SET OPTION PUBLIC.login_mode = 'Standard,LDAPUA';
SET OPTION PUBLIC.trusted_certificates_file = '/opt/sybase/shared/trusted.txt';
CREATE LDAP SERVER secure_primary 
    SEARCH DN 
        URL  'ldaps://voyager:636/dc=MyCompany,dc=com??sub?cn=*' 
        ACCESS ACCOUNT 'cn=aseadmin, cn=Users, dc=mycompany, dc=com'
        IDENTIFIED BY 'Secret99Password'
    AUTHENTICATION URL 'ldaps://voyager:636/'
    CONNECTION TIMEOUT 3000
    WITH ACTIVATE;

CREATE LDAP SERVER-Anweisung

Syntax

Parameter

Bemerkungen

Privilegien

Nebenwirkungen

Siehe auch

Standards und Kompatibilität

Beispiel