Sie können Lightweight Directory Access Protocol (LDAP)
für die Authentifizierung und den Schutz von Dateien in IBM® HTTP Server konfigurieren.
Vorbereitende Schritte
Bewährtes Verfahren: Wenn Sie das Modul "mod_ibm_ldap" für Ihre
LDAP-Konfiguration verwenden, sollten Sie Ihre mod_ibm_ldap-Anweisungen auf das Modul "mod_ldap" migrieren.
Das Modul "mod_ibm_ldap" wird in diesem Release
von IBM HTTP
Server für die Kompatibilität mit früheren Releases zwar noch bereitgestellt, aber Sie müssen vorhandene
Konfigurationen auf die Verwendung der Module "mod_authnz_ldap" und "mod_ldap" umstellen, um die künftige Unterstützung
Ihrer LDAP-Konfiguration zu gewährleisten.
Die Anweisung "LoadModule" für LDAP wird standardmäßig nicht in IBM HTTP Server geladen. Ohne die Anweisung "LoadModule"
können die LDAP-Features nicht verwendet werden.
Wenn Sie die LDAP-Funktion aktivieren möchten, fügen Sie der Datei
httpd.conf von IBM HTTP Server wie folgt eine Anweisung LoadModule hinzu:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
Informationen zu diesem Vorgang
LDAP-Authentifizierung wird über die Apache-Module "mod_ldap" und "mod_authnz_ldap" bereitgestellt.
- Das Modul "mod_ldap" stellt LDAP-Verbindungs-Pooling und -Caching bereit.
- Das Modul "mod_authnz_ldap" verwendet die LDAP-Verbindungs-Pooling- und LDAP-Caching-Services für die
Bereitstellung von Web-Client-Authentifizierung.
Ausführliche Beschreibungen zu den LDAP-Anweisungen (ldap_module und authnz_ldap_module) finden Sie
auf den folgenden Websites:
Vorgehensweise
- Editieren Sie die Konfigurationsdatei httpd.conf von IBM HTTP Server.
- Bestimmen Sie die Ressource, für die Sie den Zugriff beschränken möchten. Beispiel: <Verzeichnis "/secure_info">
- Fügen Sie die Anweisung "LDAPTrustedGlobalCert" der Datei httpd.conf hinzu, wenn es sich bei der Verbindung von IBM HTTP Server zum LDAP-Server um eine SSL-Verbindung handelt.
Die Anweisung
"LDAPTrustedGlobalCert" gibt den Verzeichnispfad und den Dateinamen der anerkannten Zertifizierungsstelle
(CA, Certificate Authority) an, die das Modul "mod_ldap" bei der Herstellung einer
SSL-Verbindung zu einem LDAP-Server verwendet.
Zertifikate können in einer Datei mit der Erweiterung .kdb oder in einem SAF-Schlüsselring gespeichert werden. Wenn die Datei mit der Erweiterung .kdb verwendet wird, muss sich in demselben Verzeichnispfad eine Datei mit demselben Namen, jedoch mit der Erweiterung .sth statt .kdb befinden.
Die Anweisung "LDAPTrustedGlobalCert"
muss ein CMS_KEYFILE-Wertetyp sein. Verwenden Sie diesen Wert, wenn die von der Anweisung
"LDAPTrustedGlobalCert" angegebenen Zertifikate in einer Datei mit der Erweiterung .kdb gespeichert sind.
Die Anweisung "LDAPTrustedGlobalCert"
muss ein SAF_KEYRING-Wertetyp sein. Verwenden Sie diesen Wert, wenn die mit der Anweisung "LDAPTrustedGlobalCert"
angegebene Zertifikate in einem SAF-Schlüsselring gespeichert sind. Beispiel mit einem in einer Datei .kdb gespeicherten Zertifikat:
LDAPTrustedGlobalCert CMS_KEYFILE /Pfad/zu/keyfile.kdb myKDBpassword
Beispiel mit einem in einem SAF-Schlüsselring gespeicherten Zertifikat:
LDAPTrustedGlobalCert SAF SAF-Schlüsselring
Wichtig: Die Benutzer-ID, die zum Starten von IBM
HTTP Server verwendet wird, muss auf den in dieser Anweisung genannten SAF-Schlüsselring zugreifen können. Kann die Benutzer-ID nicht auf
den SAF-Schlüsselring zugreifen, schlägt die SSL-Initialisierung fehl.
Informationen zum Zugreifen auf SAF-Schlüsselringe, die in RACF definiert sind, finden Sie im Artikel
Erforderliche z/OS-Systemkonfigurationen durchführen.
- Fügen Sie die Anweisung AuthLDAPUrl hinzu, die die zu verwendenden LDAP-Suchparameter angibt.
Syntax des URL lautet:
ldap://host:port/basedn?attribute?scope?filter
- Fügen Sie der Datei httpd.conf Anweisungen für die zu schützende Verzeichnisposition (Container) hinzu, und geben Sie die für Ihre Umgebung zutreffenden Werte an. Beispiel:
- Order deny,allow
- Allow from all
- AuthName "Name des geschützten Realms"
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL Ihr_LDAP-URL
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword Kennwort_für_Authentifizierung
Codieren Sie für jede Kombination von LDAP-Servern, Zugriffsschutzkonfiguration und Schutzanweisung einen Positionscontainer ähnlich dem folgenden Beispiel:
<Location /ldapdir>
AuthName "beliebiges_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html