[AIX Solaris HP-UX Linux Windows]

Anweisungen von "mod_ibm_ldap" in "mod_ldap" konvertieren

Stellen Sie Anweisungen, die das Modul "mod_ibm_ldap" verwenden, auf die Verwendung des Apache-Moduls "mod_ldap" um, um eine anhaltende Unterstützung von IBM® HTTP Server für Ihre LDAP-Konfiguration zu gewährleisten.

Vorbereitende Schritte

Bestimmen Sie die zu konvertierenden Anweisungen.

Führen Sie die folgenden Schritte aus, um Ihre Anweisungen zu konvertieren.

Vorgehensweise

  1. Bearbeiten Sie die Anweisung "LoadModule" in der Konfigurationsdatei httpd.conf bzw. ldap.prop, und entfernen Sie "mod_ibm_ldap".
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. Fügen Sie die LoadModule-Anweisung für "mod_ldap" der Konfigurationsdatei httpd.conf hinzu.
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. Konvertieren Sie eine oder mehrere der folgenden Anweisungen. Weitere Informationen zum Konvertieren von Anweisungen finden Sie im Artikel zur Migration von "mod_ibm_ldap".
    Anmerkung: Für einige Anweisungen existiert möglicherweise keine 1:1-Korrelation.
    Tabelle 1. Konvertierung von LDAP-Konfigurationsanweisungen
    mod_ibm_ldap mod_ldap
    ldapCodePageDir Ohne. Das Verzeichnis "codepages" kann nicht von seiner Installationsposition verschoben werden.
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType Ohne. Wenn die mod_ldap-Anweisung AuthLDAPBindDN angegeben ist, wird eine Basisauthentifizierung durchgeführt. Wenn AuthLDAPBindDN nicht angegeben ist, wird der der Einstellung "Ohne" entsprechende Authentifizierungtyp verwendet (anonym). Wenn die mod_ldap-Konfiguration den Wert LDAPTrustedClientCert enthält, wird der Authentifizierungstyp "Zertifikat" verwendet.
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile Ohne. Das Modul "mod_ldap" bietet keine Anweisung für die Verwendung von Stash-Kennwörtern.
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter Ohne. Das Modul "mod_ldap" verwendet den am Ende der Anweisung AuthLDAPURL angegebenen Filter.
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout Ohne. Das Modul "mod_ldap" stellt keine Anweisung für Verbindungszeitlimits bereit.
    ldap.key.file.password.stashfile Ohne. Das Modul "mod_ldap" bietet keine Anweisung für die Verwendung von Stash-Kennwörtern. Geben Sie das Kennwort für die Schlüsseldatei in Klartext am Ende der Anweisung "LDAPTrustedGlobalCert" an. Alternativ können Sie das Kennwort in der Anweisung "LDAPTrustedGlobalCert" weglassen. In diesem Fall sucht das Modul "mod_ldap" automatisch eine Datei "/Pfad/zu/keyfile.sth", sofern "/Pfad/zu/keyfile.kdb" für die Anweisung "LDAPTrustedGlobalCert" angegeben wurde.
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm Ohne. Der mod_ibm_ldap-Wert für diese Anweisung wird nur für Protokollierungszwecke verwendet. Es ist keine funktional entsprechende Anweisung in mod_ldap erforderlich.
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType Ohne. Das Modul "mod_ldap" authentifiziert Benutzer auf der Basis des angegebenen Benutzer-ID und des angegebenen Kennworts.
    ldap.user.cert.filter Ohne. Das Modul "mod_ldap" arbeitet nicht direkt mit Clientzertifikaten. Berechtigungsanweisungen verwenden die Umgebungswerte, die vom SSL-Modul definiert werden.
    ldap.user.name.fieldSep Ohne. Das Modul "mod_ldap" bietet keine Unterstützung für das Parsing der bereitgestellten Berechtigungsnachweise in Unterkomponenten.
    ldap.user.name.filter Ohne. Das Modul "mod_ldap" gibt den Benutzernamensfilter in der Anweisung "AuthLDAPURL" an.
    ldap.version Ohne. Das Modul "mod_ldap" verwendet nur LDAP Version 3.
    ldap.waitToRetryConnection.interval Ohne. Das Modul "mod_ldap" wendet keine Zeitverzögerung zwischen Verbindungswiederholungen an, wenn ein Verbindungsversuch scheitert. Der Verbindungsversuch wird maximal 10 Mal wiederholt. Danach wird die Anforderung als gescheitert eingestuft.
  4. Führen Sie die Apache-Steuerung mit dem Flag "verify" aus, um die Konfiguration zu prüfen.
    <IHS-Installation>bin/apachectl -t
    Achtung: Bei dieser Konfigurationsprüfung wird geprüft, ob die Syntax korrekt ist, aber Sie müssen alle Konfigurationsänderungen für eine Anweisung anhand der Dokumentation dieser Anweisung prüfen, um eine optimale Konfiguration zu gewährleisten.
    Achtung: Alle Anweisungen in mod_ibm_ldap mit dem Format ldap.* zeigen die LDAPConfigFile-Konfigurationsdatei optional ohne das Präfix "ldap" an.

mod_ldap-SSL-Konfiguration

Die folgenden Konfigurationsanweisungen zeigen eine LDAP-Beispielkonfiguration, in der SSL aktiviert ist. Einige Anweisungen verwenden Standardwerte und müssten deshalb normalerweise nicht angegeben werden, aber sie werden hier aus Kontextgründen angezeigt. Diese Anweisungen sind zwar enthalten, aber (mit den Symbolen ##) auf Kommentar gesetzt.

##LDAPReferrals On
##LDAPReferralHopLimit 5

LDAPTrustedGlobalCert CMS_KEYFILE /vollständiger/Pfad/zu/ldap_client.kdb Clientkennwort_für_Schlüsseldatenbank
# Standardzertifikat in dieser Schlüsseldatenbank ist my_cert1

# Alternativ können Sie auf Systemen, auf denen dies unterstützt wird, einen SAF-basierten Schlüssel angeben:
#LDAPTrustedGlobalCert SAF SAF-Schlüsselring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

	# Ignoriert, weil LDAP-URLs ggf. ldaps: verwenden
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    			AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# Dieses LDAPTrustedClientCert muss ein anderes Zertifikat als das Standardzertifikat
    # verwenden
    			LDAPTrustedClientCert CMS_LABEL my_cert2
					AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"AuthLDAPBindPassword mypassword					AuthName "Private root access"
					require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

		<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
					#Verwendet das Standardzertifikat (my_cert1)
				##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"AuthLDAPBindPassword mypassword			AuthName "Employee of the month login"
 			require ldap-attribute description="Employee of the Month."
	</Directory>

		<Directory "/path/to/htdocs/development_groups">

				#Dies sind die Standardwerte für untergruppenbezogene Anweisungen.
				#Diese müssen nur angegeben werden, wenn die LDAP-Struktur abweicht.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # Dieses LDAPTrustedClientCert muss ein anderes Zertifikat
				# als das Standardzertifikat verwenden	 LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
						(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"AuthLDAPBindPassword mypassword				AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
				require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 
Taskartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 08, 2014 06:53 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_convertmodibmldap
Dateiname: tihs_convertmodibmldap.html