LDAP installieren und konfigurieren

Ein LDAP-Server (LDAP = Lightweight Directory Access Protocol) ist als Teil von i5/OS in dem Produkt Directory Services for i5/OS verfügbar. Der Server stellt ein Netzverzeichnis zur Verfügung, auf das von Netzclients unter Verwendung des LDAP-Protokolls zugegriffen werden kann. LDAP definiert den Transport und das Format von Nachrichten, die von einem Client verwendet werden, um auf Daten in einem X.500-ähnlichen Verzeichnis zuzugreifen. Obwohl LDAP nicht selbst den Verzeichnisservice definiert, wird ein Verzeichnis, auf das unter Verwendung von LDAP zugegriffen wird, normalerweise als LDAP-Verzeichnis bezeichnet.

Der Verzeichnisserver ermöglicht den Zugriff auf einen Typ von Datenbank, bei dem Informationen in einer hierarchischen Struktur speichert sind, vergleichbar mit der Art und Weise, in der das i5/OS Integrated File System (IFS) organisiert ist. Das LDAP-Verzeichnisservermodell basiert auf Einträgen, die aus einem oder aus mehreren Attributen bestehen, wie beispielsweise aus einem Namen oder einer Adresse und einem Typ. Diese Attribute bestehen normalerweise aus mnemonischen Zeichenfolgen, wie beispielsweise cn für allgemeiner Name oder mail für E-Mail-Adresse. Im Beispiel unten wird gezeigt, wie Einträge in LDAP gespeichert werden.

Für die Konfiguration von EIM muss LDAP auf einem iSeries-System konfiguriert sein. Die EIM-Konfigurationsdaten werden in einem LDAP-Verzeichnis gespeichert. Dies sind die grundlegenden Schritte für die Installation und Konfiguration von LDAP. Unter "Netzbetrieb > TCP/IP-Anwendungen, -Protokolle und -Services > Directory Services (LDAP)" im iSeries Information Center finden Sie ausführliche Informationen zum Arbeiten mit LDAP. Obwohl LDAP auch auf anderen Betriebssystemen verwendet werden kann, beschreiben diese Schritte nur die Konfiguration für iSeries-Systeme.

Anmerkung: Auch wenn eine gültige LDAP-ID es Ihnen erlaubt, geschützte Seiten zu verwenden, wenn Sie Ihre Anwendung schützen, muss für die Verwendung der einmaligen Anmeldung (Single Sign-on) eine EIM-Benutzeridentität dieser LDAP-ID (als Quellen-ID) und einem iSeries-Zielprofil (als Ziel-ID) zugeordnet werden.

Der Verzeichnisserver wird mit i5/OS unter Verwendung einer Standardkonfiguration installiert. Um den Verzeichnisserver neu zu konfigurieren, müssen Sie die Berechtigungen *ALLOBJ und *IOSYSCFG haben. Gehen Sie wie folgt vor, um LDAP zu konfigurieren:

  1. Erweitern Sie unter Verwendung von iSeries Navigator Netz > Server > TCP/IP.
  2. Klicken Sie mit der rechten Maustaste Directory Server an und wählen Sie Stoppen aus.
  3. Klicken Sie mit der rechten Maustaste Verzeichnis an und wählen Sie Konfigurieren aus. Haben Sie den Verzeichnisserver zuvor konfiguriert, wählen Sie Neu konfigurieren aus.
  4. Verwenden Sie den Assistenten "Directory Server konfigurieren", um den Verzeichnisserver zu konfigurieren. Notieren Sie während der Konfiguration die verwendeten Einstellungen, wie beispielsweise registrierte Namen (oder Suffixe). Einige dieser Werte sind erforderlich, wenn Sie die Sicherheit für Ihre Anwendungen aktivieren.

    Nach Beendigung des Assistenten ist Ihr Verzeichnisserver mit einer Basiskonfiguration konfiguriert. Ausführliche Informationen zum Konfigurieren von LDAP finden Sie unter "Netzbetrieb > TCP/IP-Anwendungen, -Protokolle und -Services > Directory Services (LDAP)" im iSeries Information Center.

Nach der Konfiguration Ihres Verzeichnisservers können Sie mit einer der folgenden Methoden Einträge zu Ihrem LDAP-Verzeichnis hinzufügen:
  • Klicken Sie in iSeries Navigator mit der rechten Maustaste Directory Server an, und wählen Sie Tools > Importieren aus. Damit können Sie die Verzeichniseinträge aus einer zuvor erstellten LDIF-Datei (Lightweight Directory Interchange Format) importieren.
  • Verwenden Sie in i5/OS den Befehl ldapadd aus Qshell.
  • Verwenden Sie das Directory Management Tool, um Einträge hinzuzufügen. Das Directory Management Tool befindet sich im IFS unter \QIBM\ProdData\OS400\DirSrv\User Tools\Windows\setup.exe.
Das folgende Beispiel zeigt eine einfache LDAP-Datei mit zwei Einträgen:
   dn: cn=John S. Day, ou=Rochester, o=Big Company, c=US
   objectclass: top
   objectclass: person
   objectclass: organizationalPerson
   cn: John Day
   sn: Day
   uid: johnday
   telephonenumber: +1 408 555 1212
   description: A big sailing fan.
 
   dn: cn=Bjorn Jensen, ou=Rochester, o=Big Company, c=US
   objectclass: top
   objectclass: person
   objectclass: organizationalPerson
   cn: Bjorn Jensen
   sn: Jensen
   uid: bjenson
   telephonenumber: +1 408 555 1212
   description:Babs is a big sailing fan, and travels extensively in 
   search of perfect sailing conditions.
   title:Product Manager, Rod and Reel Division

Weitere Informationen zum Hinzufügen von LDAP-Einträgen finden Sie unter "Netzbetrieb > TCP/IP-Anwendungen, -Protokolle und -Services > Directory Services (LDAP)" im iSeries Information Center.


Feedback