Das PAC-LDAP-Autorisierungsmodul erlaubt Caching Proxy bei Ausführung von Autorisierungs- und Authentifizierungsroutinen den Zugriff auf einen LDAP-Server (Lightweight Directory Access Protocol). Das Modul besteht aus zwei Komponentengruppen: einem Paar gemeinsam genutzter Bibliotheken, durch die die LDAP-Funktionalität zur API von Caching Proxy hinzugefügt wird, und einem PAC-Dämon (Policy Authentication Control). Eine Anweisung ServerInit in der Datei ibmproxy.conf weist die gemeinsam genutzte Bibliothek an, einen oder mehrere PAC-Dämonprozesse zu starten, wenn Caching Proxy gestartet wird. Die gemeinsam genutzten Bibliotheken lesen die Datei paccp.conf, um die Anzahl und Merkmale der PAC-Dämonprozesse zu bestimmen. Während der Initialisierung liest der Dämon die Konfigurationsanweisungen in der Datei pac.conf und die Policy-Informationen in der Datei pacpolicy.conf. Anschließend weist entweder eine Authentication-Anweisung in der Datei ibmproxy.conf den Proxy-Server an, die gemeinsam genutzte Bibliothek jedesmal aufzurufen, wenn eine Authentifizierung erforderlich ist, oder eine Authorization-Anweisung kontrolliert während der Verarbeitung von Standard-HTTP-Anforderungen den Arbeitsablauf in Caching Proxy.
Bei der Authentifizierung wird ermittelt, ob die übergebenen Berechtigungsnachweise (Benutzername und Kennwort) gültig sind. Es wird geprüft, ob ein Benutzer in der Registrierungsdatenbank enthalten ist und ob das angegebene Kennwort mit dem in der Registrierungsdatenbank gespeicherten Kennwort übereinstimmt. Diese Aktionen werden ausgeführt, wenn das Modul PAC-LDAP während der Authentifizierung verwendet wird.
Wird das PAC-LDAP-Autorisierungsmodul für die Authentifizierung aktiviert, wird es zum Standard-Repository, aus dem die Benutzer-IDs, Kennwörter und Gruppen abgerufen werden. Wenn eine HTTP-Anforderung den Caching-Proxy-Arbeitsablauf durchläuft, vergleicht jede Protect-Anweisung den angeforderten URL mit ihrer Anforderungsschablone. Bei Übereinstimmung ruft die Protect-Anweisung ein Zugriffsschutzschema auf, das die Server-ID, die Art der zu verwendenden Authentifizierung, die Maskierungsregeln, die auf den Anforderungsclient angewendet werden sollen, sowie die Positionen der Kennwörter und Gruppendateien umfasst. Ist keine Kennwortdatei definiert, werden Benutzer-ID und Kennwort über das PAC-LDAP-Autorisierungsmodul abgerufen. Die Policys des Typs 0, 1, 2 und 3 definieren Authentifizierungsschemata. Bei erfolgreicher Authentifizierung wird die Anforderung bearbeitet. Andernfalls gibt Caching Proxy den Fehler 401 an den Client zurück.
Bei der Autorisierung wird ermittelt, ob ein Benutzer die erforderliche Berechtigung für den Zugriff auf eine geschützte Ressource besitzt. Wenn das Modul PAC-LDAP verwendet wird, werden während dieses Prozesses Autorisierungsregeln angewendet, die in der Datei pacpolicy.conf für die HTTP-Anforderung enthalten sind.
Ist das PAC-LDAP-Autorisierungsmodul für die Autorisierung aktiviert, werden auf die HTTP-Anforderung Autorisierungsregeln aus der Datei pacpolicy.conf angewendet. Wenn die HTTP-Anforderung den Caching-Proxy-Arbeitsablauf durchläuft, vergleicht jede Protect-Anweisung den angeforderten URL mit ihrer Anforderungsschablone. Bei Übereinstimmung ruft die Protect-Anweisung ein Zugriffsschutzschema auf. In diesem Fall entspricht das Zugriffsschutzschema der vom PAC-LDAP-Autorisierungsmodul kontrollierten Autorisierungsroutine. Die Authorization-Anweisung vergleicht den angeforderten URL mit ihrer Anforderungsschablone. Bei Übereinstimmung wird das PAC-LDAP-Autorisierungsmodul aufgerufen. Richtlinien vom Typ 4, die in der Datei pacpolicy.conf definiert sind, grenzen die Authentifizierung weiter ein, die für verschiedene URL-Anforderungen erforderlich ist.
LDAP erlaubt den interaktiven Zugriff auf X.500-Verzeichnisse bei minimalem Verbrauch von Systemressourcen. IANA hat LDAP den TCP-Port 389 und den UDP-Port 389 zugeordnet. Nähere Informationen finden Sie in RFC 1777, der LDAP definiert.
Beispiele für unterstützte LDAP-Clients sind der IBM Tivoli-LDAP-Client und der IBM SecureWay-LDAP-Client.
Alle Komponenten des PAC-LDAP-Autorisierungsmoduls werden automatisch installiert, wenn das Caching-Proxy-System von WebSphere Application Server Version 8.5 installiert wird. Auf Linux- und UNIX-Systemen werden ein Verzeichnis für die Caching-Proxy-Bibliothek (./lib/), ein Verzeichnis für die Bibliothek des PAC-LDAP-Autorisierungsmoduls (./lib/plugins/pac/), ein Verzeichnis für die Binärdateien (./bin/) und ein Verzeichnis für die Konfiguration (./etc/) im Verzeichnis /opt/ibm/edge/cp/ erstellt. Anschließend werden von den Verzeichnissen /usr/lib/, /usr/sbin/ und /etc aus symbolische Verbindungen zu diesen produktspezifischen Verzeichnissen erstellt.
Verzeichnisstruktur
Linux- und UNIX-Verzeichnis | Windows-Verzeichnis | Inhalt |
---|---|---|
/opt/ibm/edge/cp | C:\Programme\IBM\edge\cachingproxy\cp | CP-Basisverzeichnis (cp_root) |
cp_root/sbin | C:\Programme\IBM\edge\cachingproxy\cp\Bin\ | CP-Binärdateien und -Scripts |
/usr/sbin/ | Symb. Verbindungen zu cp_root/sbin/ | |
cp_root/etc/ | C:\Programme\IBM\edge\cachingproxy\cp\etc\ | CP-Konfigurationsdatei |
/etc/ | Symb. Verbindungen zu cp_root/etc/ | |
cp_root/lib/ | C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\ | CP-Bibliotheken |
cp_root/lib/ plugins/pac/ | C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\pac\ | Bibliotheken des PAC-LDAP-Autorisierungs-moduls |
/usr/lib/ | Symb. Verbindungen zu cp_root/lib/ und cp_root/lib/ plugins/pac/ | |
cp_root/server_root/pac/data/ | C:\Programme\IBM\edge\cachingproxy\cp\server_root\pac\data\ | Datenspeicher für PAC-LDAP-Autorisierungs-modul |
cp_root/server_root/ pac/creds/ | C:\Programme\IBM\edge\cachingproxy\cp\server_root\pac\creds\ | Berechtigungsnach-weise für PAC-LDAP-Autorisie-rungsmodul |
Dateien des LDAP-Plug-in
Linux- und UNIX-Dateiname | Windows-Dateiname | Beschreibung |
---|---|---|
libpacwte.so | pacwte.dll | gemeinsam genutzte Bibliothek |
libpacman.so | pacman.dll | gemeinsam genutzte Bibliothek |
pacd_restart.sh | pacd_restart.bat | Script für Neustart des PAC-Dämons |
paccp.conf, pac.conf, pacpolicy.conf | paccp.conf, pac.conf, pacpolicy.conf | Konfigurations- und Policy-Dateien |
Damit zwischen dem PACD-Dämon und dem LDAP-Server sichere SSL-Verbindungen (SSL = Secure Sockets Layer) hergestellt werden können, müssen Sie das vom LDAP-Clientpaket vorausgesetzte GSKit-Paket installieren. GSKit 7 ist die erforderliche Version und wird standardmäßig auf der Caching-Proxy-Maschine bereitgestellt. Möglicherweise ist diese jedoch nicht die Version, die der LDAP-Client auf der Maschine voraussetzt. Es ist möglich, verschiedene GSKit-Versionen für verschiedene Prozesse auf einer Maschine zu verwenden.
Kopieren Sie die GSKit-Schlüsseldatei nach $pacd_creds_dir/pac_keyring.kdb und das Kennwort in die Datei $pacd_creds_dir/pac_keyring.pwd.
Auf Linux-Systemen muss die Umgebungsvariable LD_PRELOAD wie folgt konfiguriert werden, damit SSL-Verbindungen zwischen dem PACD-Dämon und dem LDAP-Server hergestellt werden können. Setzen Sie die Variable auf den folgenden Wert:
LD_PRELOAD=/usr/lib/libstdc++-libc6.1-1.so.2
Die in diesem Abschnitt beschriebenen GSKit-Voraussetzungen gelten auch für Linux-Systeme.
Auf Systemen mit Red Hat Enterprise Linux 4.0 wird der PACD-Prozess nicht gestartet, wenn Caching Proxy das LDAP-Plug-in von ITDS 6.0 für die Authentifizierung verwendet. Die folgende Fehlernachricht wird angezeigt:
"error while loading shared libraries:
/usr/lib/libldapiconv.so: R_PPC_REL24 relocation at 0x0fb58ad0
for symbol 'strpbrk' out of range"
Systeme mit RHEL 4.0 werden derzeit von ITDS 6.0 nicht unterstützt.
Wenn der LDAP-Client von ITDS verwendet wird, kann der PACD-Prozess auf AIX-System aufgrund von nicht aufgelösten Verbindungen nicht gestartet werden. Beim Starten des PACD-Prozesses kann die folgende Fehlernachricht angezeigt werden:
exec(): 0509-036 Das Programm /usr/sbin/pacd kann aufgrund der folgenden
Fehler nicht geladen werden:
0509-022 Das Modul /usr/lib/libpacman.a kann nicht geladen werden.
0509-150 Das abhängige Modul libldap.a konnte nicht geladen werden.
0509-022 Das Modul libldap.a kann nicht geladen werden.
Zum Umgehen dieses Problems mit dem LDAP-Client von ITDS Version 5 erstellen Sie die folgende symbolische Verbindung:
ln -s /usr/lib/libibmldap.a /usr/lib/libldap.a
Zum Umgehen dieses Problems mit dem LDAP-Client von ITDS Version 6 erstellen Sie die folgende symbolische Verbindung:
ln -s /opt/IBM/ldap/V6.0/lib/libibmldap.a /usr/lib/libldap.a
Drei Anweisungen, ServerInit, Authorization oder Authentication und ServerTerm, müssen zum Abschnitt mit den API-Anweisungen der Datei ibmproxy.conf hinzugefügt werden, damit das PAC-LDAP-Autorisierungsmodul initialisiert wird. Zum Erstellen dieser Anweisungen müssen Sie entweder die Datei ibmproxy.conf manuell editieren, oder, falls der Proxy-Server bereits aktiv ist, die Konfigurations- und Verwaltungsformulare in einem Internet-Browser aufrufen und das Formular "Verarbeitung von API-Anforderungen" öffnen. (Klicken Sie nacheinander auf Serverkonfiguration –> Anforderungsverarbeitung–> Verarbeitung von API-Anforderungen.) Jede Anweisung in der Konfigurationsdatei des Proxy-Servers muss in einer gesonderten Zeile stehen, auch wenn die hier aufgeführten Beispiele aus Gründen der besseren Lesbarkeit Zeilenumbrüche enthalten.
Beachten Sie die Prototypanweisungen (in Form von Kommentaren) im API-Abschnitt der Datei "ibmproxy.conf". Diese API-Anweisungen sind in einer zweckmäßigen Reihenfolge angeordnet. Wenn Sie API-Anweisungen hinzufügen, um neue Funktionen und Plug-in-Module zu aktivieren, sollten Sie die Anweisungen wie im Prototypabschnitt der Konfigurationsdatei gezeigt anordnen. Alternativ dazu können Sie, falls erforderlich, die Kommentarzeichen für API-Anweisungen entfernen und API-Anweisungen editieren, um die Unterstützung für jede gewünschte Funktion oder jedes gewünschte Plug-in hinzuzufügen.
Die Anweisung ServerInit unterstützt drei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek, (2) den Funktionsaufruf und (3) den vollständig qualifizierten Pfad der Datei paccp.conf. Das erste und zweite Argument werden durch einen Doppelpunkt (:) getrennt. Das zweite und dritte Argument werden durch ein Leerzeichen getrennt. Das erste Argument und das dritte Argument sind systemspezifisch und abhängig davon, wo die Plug-in-Komponenten installiert sind. Das zweite Argument ist in der gemeinsam genutzten Bibliothek fest codiert und muss wie gezeigt eingegeben werden. Beim Erstellen einer Anweisung ServerInit im Formular "Verarbeitung von API-Anforderungen" müssen das zweite und dritte Argument im Feld Funktionsname eingegeben werden. Das dritte Argument wird in der Spalte IP-Schablone angezeigt.
Die Anweisung Authorization unterstützt drei Argumente: (1) eine Anforderungsschablone, (2) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (3) den Funktionsnamen. Die HTTP-Anforderungen werden mit der Anforderungsschablone verglichen, um zu bestimmen, ob eine Anwendungsfunktion aufgerufen werden muss. Die Anforderungsschablone kann ein Protokoll, eine Domäne und einen Host enthalten. Sie darf als vorangestelltes Zeichen einen Schrägstrich (/) und als Platzhalterzeichen einen Stern (*) verwenden. Beispielsweise sind folgende Schablonen gültig: /front_page.html , http://www.ics.raleigh.ibm.com , /pub*, /* und *. Der Funktionsname ist der Name, den Sie Ihrer Anwendungsfunktion im Programm zugewiesen haben. Dieser Name ist fest codiert und muss wie gezeigt eingegeben werden. Die ersten zwei Argumente werden durch ein Leerzeichen getrennt. Die letzten beiden Argumente werden durch einen Doppelpunkt (:) getrennt.
Die Anweisung Authentication unterstützt zwei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (2) den Funktionsnamen. Diese Argumente werden durch einen Doppelpunkt (:) getrennt. Das erste Argument ist systemspezifisch und abhängig davon, wo die gemeinsam genutzte Bibliothek installiert ist. Die URL-Schablone für das erste Argument muss mit dem Dokumentstammverzeichnis (/) beginnen, wenn Caching Proxy als Reverse Proxy verwendet wird. Das zweite Argument ist in der gemeinsam benutzten Bibliothek fest codiert und muss wie angezeigt eingegeben werden.
Die Anweisung ServerTerm unterstützt zwei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (2) den Funktionsnamen. Diese Argumente werden durch einen Doppelpunkt (:) getrennt. Das erste Argument ist systemspezifisch und abhängig davon, wo die gemeinsam genutzte Bibliothek installiert ist. Das zweite Argument ist in der gemeinsam genutzten Bibliothek fest codiert und muss wie gezeigt eingegeben werden. Diese Anweisung beendet den PAC-Dämon, wenn der Proxy-Server beendet wird. Ist der Dämon einem anderen Eigner zugeordnet als der Proxy-Server, kann der Proxy-Server den Dämon möglicherweise nicht stoppen. In diesem Fall muss der Dämon vom Administrator manuell gestoppt werden.
ServerInit Pfad_der_gemeinsamen Bibliothek:pacwte_auth_init
Pfad_der_Konfigurations-/Policy-Datei
Linux- und UNIX-Systeme:
ServerInit /usr/lib/libpacwte.so:pacwte_auth_init /etc/pac.conf
Beispiel für Windows:
ServerInit C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\
pac\pacwte.dll:pacwte_auth_init C:\Progra ~1\IBM\edge\cp
Authorization request-template Pfad der gemeinsamen Bibliothek:pacwte_auth_policy
Linux- und UNIX-Systeme:
Authorization http://* /usr/lib/libpacwte.so:pacwte_auth_policy
Beispiel für Windows:
Authorization http://* C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\
pac\pacwte.dll:pacwte_auth_policy
Authentication BASIC Pfad der gemeinsamen Bibliothek:pacwte_auth_policy
Linux- und UNIX-Systeme:
Authentication BASIC /usr/lib/plugins/pac/libpacwte.so:pacwte_auth_policy
Beispiel für Windows:
Authentication BASIC C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\
pac\pacwte.dll:pacwte_auth_policy
ServerTerm Pfad_der_gemeinsamen_Bibliothek:pacwte_shutdown
Linux- und UNIX-Systeme:
ServerTerm /usr/lib/libpacwte.so:pacwte_shutdown
Beispiel für Windows:
ServerTerm BASIC C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\
pac\bin\pacwte.dll:pacwte_shutdown
Die Konfigurations- und Richtliniendateien des PAC-LDAP-Autorisierungsmoduls müssen in einem Texteditor manuell editiert werden. Der Name einer Anweisung muss vom ersten Argument durch einen Doppelpunkt (:) getrennt werden. Mehrere Argumente werden durch Kommas (,) voneinander getrennt. Die Konfigurations- und Richtliniendatei enthält Anmerkungen, die Sie beim Editieren unterstützen. Wichtige "policy"-Anweisungen sind unten aufgeführt.
Die Datei paccp.conf wird während der Initialisierung von Caching Proxy von den gemeinsam genutzten Bibliotheken gelesen und enthält Definitionen (Zeilengruppe [PAC_MAN_SERVER]) für jeden PAC-Dämon, der gestartet wird. Für jeden PAC-Dämon muss eine eigene Zeilengruppe [PAC_MAN_SERVER] vorhanden sein.
[PAC_MAN_SERVER]
hostname: # Name des PAC-Dämons
port: # Port, an dem pacd Anforderungen empfängt.
[PACWTE_PLUGIN]
hostname_check:[true|false] # Aktiviert die DNS-Suche. Damit ibmproxy
# funktioniert, muss die DNS-Suche aktiviert sein.
Die Datei pac.conf legt den LDAP-Server fest, zu dem der PAC-Dämon eine Verbindung herstellt.
[PAC_MAN_SERVER]
hostname: # Name des PAC-Dämons
port: # Port, an dem pacd Anforderungen empfängt.
conn_type:ssl # Setzen Sie dies auf Kommentar,
# wenn SSL nicht verwendet wird.
authentication_sequence: [primary|secondary|none]
authorization_sequence: [primary|secondary|none]
[LDAP_SERVER]
hostname: # Hostname des LDAP-Servers.
port:389 # Der Port, an dem LDAP Anforderungen empfängt.
ssl_port:636 # SSL-Port, der vom LDAP-Server verwendet wird.
admin_dn: # Benutzer mit Zugriffsberechtigung für LDAP-Server.
# Geben Sie admin_dn:NULL für die Unterstützung
# anonymer Bindungen an.
search_base: # Der Abschnitt der LDAP-Baumstruktur, der nach
# Richtlinieninformationen durchsucht werden soll.
# Sofern nicht erforderlich, geben
# Sie search_base:NULL an.
search_key: # ID-Feld, das gesucht werden soll.
[CACHE]
cred_cache_enabled [TRUE|FALSE] # Berechtigungscache aktivieren.
cred_cache_min_size:100 # Mindestanzahl an Berechtigungen, die im Cache
# von pacd gespeichert werden sollen.
cred_cache_max_size:64000 # Maximale Anzahl an Berechtigungen, die im Cache
# von pacd gespeichert werden sollen.
cred_cache_expiration:86400 # Das Verfallsdatum einer Berechtigung.
policy_cache_enabled:[TRUE|FALSE] # Aktiviert/inaktiviert den Richtliniencache.
policy_cache_min_size:100 # Mindestanzahl an Richtlinieneinträgen, die im Cache
# gespeichert werden sollen.
policy_cache_max_size:64000 # Maximale Anzahl an Richtlinieneinträgen, die im Cache
# gespeichert werden sollen.
policy_cache_expiration:86400 # Verfallsdatum eines Richtlinieneintrags.
Jede LDAP-Richtlinie (Policy) verwendet die folgende Schablone in der Konfigurations- und Richtliniendatei. Jede Richtlinie muss mit dem Schlüsselwort POLICY beginnen, das in Großbuchstaben geschrieben und in eckige Klammern eingeschlossen werden muss.
[POLICY]
default_policy:[grant|deny] # Beschreibt die Standardrichtlinie für Benutzer,
# die nicht im Abschnitt POLICY beschrieben sind.
pac_client_hostname: # Die Instanzen von Caching-Proxy, die
# eine Richtlinienliste verwenden dürfen.
id: # Die ID für den LDAP-Eintrag oder IP/Hostnamen
# (Platzhalterzeichen werden unterstützt,
# z. B. *.ibm.com).
grant:[true|false] # true bedeutet den Zugriff erlauben, false bedeutet
# den Zugriff verweigern.
type:[0|1|2|3|4] # 0 ist ein LDAP-Eintrag, der eine Gruppe ist
# 1 ist ein LDAP-Eintrag, der keine Gruppe ist
# 2 ist eine IP-Adresse
# 3 ist ein Hostname
# 4 ist ein URL
propagate:[true|false] # true bedeutet, dass die Zugriffsrechte (Zugriff
# erteilen oder verweigern) an alle
# untergeordneten Einträge oder Member
# weitergegeben werden.
stop_entry:[entry|NULL] # Die Weitergabe der Zugriffsrechte endet
# bei diesem Eintrag. Ist die ID eine Gruppe,
# muss stop_entry auf NULL gesetzt werden.
# stop_entry kann auf eine IP-Adresse oder einen
# Hostnamen angewendet werden. Jede Anweisung des
# Typs stop_entry muss in einer separaten Zeile stehen.
exception_entry:[entry|NULL] # Beim Zuordnen der Zugriffsrechte werden diese
# Einträge übersprungen, jedoch nicht die
# untergeordneten Baumstrukturen. Hierbei kann
# es sich um eine Liste von Einträgen handeln.
# exception_entry kann auf eine Gruppe, eine
# IP-Adresse oder einen Hostnamen angewendet werden.
# Jede Anweisung vom Typ "exception_entry" muss in
# einer separaten Zeile stehen.
Exception_type:
Exception:
Platzhalterzeichen (*) werden nur für den letzten Teil einer IP-Adresse oder für den ersten Teil eines Hostnamens in den Anweisungen id und stop_entry akzeptiert. Für Anweisungen vom Typ exception_entry werden keine Platzhalterzeichen unterstützt. Für alle Felder in LDAP-Einträgen werden ebenfalls keine Platzhalterzeichen unterstützt.
Die Angabe mehrerer Richtlinienanweisungen wird unterstützt, wobei in den Fällen, in denen Richtlinienanweisungen in Konflikt miteinander stehen, der Wert "false" immer Priorität hat, d. h., eine einzige Verweigerung in einer beliebigen Richtlinie blockiert den Zugriff. Die Reihenfolge, in der die "policy"-Anweisungen in der Konfigurations- und Richtliniendatei aufgelistet sind, ist nicht relevant und stellt keine Priorität her.
Eine Reihe von Beispielen für Richtlinien finden Sie in der Datei pacpolicy.conf im Verzeichnis mit den Konfigurationsdateien.
Erstellen Sie eine Textdatei mit dem Namen pac_ldap.cred im Verzeichnis /cp_root/server_root/pac/creds. Diese Datei enthält das Kennwort für den Benutzernamen, der mit der Anweisung admin_dn in der Datei pac.conf angegeben wurde.
Der PAC-Dämon verschlüsselt das Kennwort, wenn er die Datei zum ersten Mal liest.
Setzen Sie auf Linux- und UNIX-Plattformen die folgenden Befehle ab, um die Datei pac_ldap.cred zu erstellen:
cd cp_root/server_root/pac/creds
echo "password" > pac_ldap.cred
chown nobody pac_ldap.cred
chgrp nobody pac_ldap.cred
(unter SUSE Linux muss chgrp nogroup pac_ldap.cred verwendet werden)
Zum Erstellen der Datei auf einer Windows-Plattform geben Sie das Kennwort in einer Textdatei ein und speichern Sie diese Datei im Verzeichnis server_root\pac\creds\.
Der LDAP-Berechtigungsdämon wird als pacd-Prozess ausgeführt. Sie können den LDAP-Berechtigungsdämon mit den bereitgestellten Scripts erneut starten, ohne Caching Proxy zu unterbrechen. Führen Sie das Script pacd wie folgt aus:
/usr/sbin/pacd_restart.sh Benutzer-ID_für_pacd
C:\Programme\IBM\edge\cachingproxy\cp\Bin\pacd_restart.bat CP-Installationsstammverzeichnis
kill -15 pacd-Prozess-ID
Unter HP-UX: Möglicherweise laden das Plug-in PAC-LDAP und pacd zur Laufzeit nicht alle abhängigen gemeinsam genutzten Bibliotheken. Prüfen Sie daher vor ihrer Verwendung, ob die Systemvariablen wie folgt festgelegt sind:
SHLIB_PATH=/usr/lib:/usr/IBMldap/lib
PATH=/usr/IBMldap/bin:$PATH
PATH=/usr/IBMldap/bin
/usr/IBMldap/ist der Standardinstallationspfad für den LDAP-Client unter HP-UX. Ändern Sie die Angaben für PATH und SHLIB_PATH entsprechend ab, falls der LDAP-Client in einem anderen Verzeichnis installiert ist. Falls diese Variablen nicht festgelegt werden, können folgende Fehler auftreten:
"Fehler bei der Serverinitialisierung: Einige Funktionen aus
dem DLL-Modul /opt/ibm/edge/cp/lib/plugins/pac/libpacwte.sl wurden nicht geladen."
"/usr/lib/dld.sl: Can't find path for shared library: libibmldap.sl
/usr/lib/dld.sl: No such file or directory
Abort"
Unter Linux: Für SUSE Linux Enterprise Server 9 kann der Befehl ldd pacd melden, dass die Datei libldap.so nicht gefunden wurde. Sie können dieses Problem umgehen, indem Sie die folgende symbolische Verbindung erstellen:
ln -s /usr/lib/libldap.so.19 /usr/lib/libldap.so
Unter AIX: Wenn Sie pacd mit IBM Tivoli Directory Server 5.2 starten, kann das Modul PAC-LDAP möglicherweise nicht geladen werden. In diesem Fall wird der folgende Fehler angezeigt:
exec(): 0509-036 Das Programm /usr/sbin/pacd kann aufgrund der folgenden
Fehler nicht geladen werden:
0509-022 Das Modul /usr/lib/libpacman.a kann nicht geladen werden.
0509-150 Das abhängige Modul libldap.a konnte nicht geladen werden.
0509-022 Das Modul libldap.a kann nicht geladen werden.
Sie können dieses Problem umgehen, indem Sie die folgende symbolische Verbindung erstellen:
ln -s /usr/lib/libibmldap.a /usr/lib/libldap.a
Für Uid konnte kein Wert extrahiert werden. Rückkehrcode: 3
Dieser Fehler wird auch angezeigt, wenn die LDAP-Authentifizierung ordnungsgemäß funktioniert, und kann deshalb ignoriert werden.