Authentification avec LDAP sur IBM HTTP Server en utilisant mod_ldap

Vous pouvez configurer le protocole LDAP (Lightweight Directory Access Protocol) pour authentifier et protéger les fichiers sur IBM® HTTP Server.

Avant de commencer

[AIX Solaris HP-UX Linux Windows] Méthode recommandée : Si vous utilisez le module mod_ibm_ldap pour votre configuration LDAP, envisagez la migration de vos directives mod_ibm_ldap pour utiliser le module mod_ldap. Le module mod_ibm_ldap est fourni avec cette édition d'IBM HTTP Server à des fins de compatibilité avec les éditions précédentes. Toutefois, vous devez faire migrer les configurations existantes pour utiliser les modules mod_authnz_ldap et mod_ldap et garantir ainsi la prise en charge future de votre configuration LDAP.

Par défaut, la directive LoadModule pour LDAP ne se charge pas dans IBM HTTP Server. Sans la directive LoadModule, les fonctions LDAP ne sont pas disponibles.

Pour activer la fonction LDAP, ajoutez une directive LoadModule dans le fichier httpd.conf d'IBM HTTP Server :
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

Pourquoi et quand exécuter cette tâche

L'authentification LDAP est fournie par les modules Apache mod_ldap et mod_authnz_ldap.
  • Le module mod_ldap fournit le regroupement et la mise en cache des connexions LDAP.
  • Le module mod_authnz_ldap utilise les services de regroupement et de mise en cache des connexions LDAP pour permettre l'authentification au client Web.
Consultez les sites Web suivants pour obtenir des descriptions détaillées des directives LDAP (ldap_module et authnz_ldap_module) :

Procédure

  1. Modifiez le fichier de configuration httpd.conf IBM HTTP Server.
  2. Déterminez la ressource dont vous souhaitez limiter l'accès. Par exemple : <Directory "/secure_info">
  3. Ajoutez la directive LDAPTrustedGlobalCert au fichier httpd.conf si la connexion d'IBM HTTP Server au serveur LDAP est une connexion SSL.

    La directive LDAPTrustedGlobalCert indique le chemin d'accès du répertoire et le nom du fichier de l'autorité de certification sécurisée (CA) que le module mod_ldap utilise à l'établissement d'une connexion SSL avec un serveur LDAP.

    Des certificats peuvent être stockés dans un fichier .kdb ou dans un fichier de clés SAF. Si vous utilisez un fichier .kdb, un fichier .sth doit se trouver dans le même répertoire et avoir le même nom ; seule l'extension change (.sth au lieu de .kdb).

    [AIX Solaris HP-UX Linux Windows] La directive LDAPTrustedGlobalCert doit être un type de valeur CMS_KEYFILE. Utilisez cette valeur si les certificats indiqués par la directive LDAPTrustedGlobalCert sont stockés dans un fichier .kdb.

    [z/OS] La directive LDAPTrustedGlobalCert doit être un type de valeur SAF_KEYRING. Utilisez cette valeur si les certificats indiqués par la directive LDAPTrustedGlobalCert sont stockés dans un fichier de clés SAF. Exemple lorsque le certificat est stocké dans un fichier .kdb :

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb motdepasseKDB
    Exemple lorsque le certificat est stocké dans un fichier de clés SAF :
    [z/OS]
    LDAPTrustedGlobalCert SAF fichier_de_clés_saf
    Important : L'ID utilisateur que vous utilisez pour démarrer IBM HTTP Server doit bénéficier d'un accès au fichier de clés SAF nommé dans cette directive. Si l'ID utilisateur ne bénéficie pas d'un accès au fichier de clés SAF, l'initialisation SSL échoue.
    Pour plus d'informations sur l'accès aux fichiers de clés SAF définis dans RACF, voir Paramétrage des configurations système z/OS requises .
  4. Ajoutez la directive AuthLDAPUrl, qui spécifie les paramètres de recherche LDAP à utiliser.
    La syntaxe de l'URL est la suivante :
    ldap://host:port/basedn?attribute?scope?filter
  5. Ajoutez des directives dans httpd.conf à l'emplacement du répertoire (conteneur) pour qu'il soit protégé avec des valeurs spécifiques à votre environnement, par exemple :
    • Order deny,allow
    • Allow from all
    • AuthName "Nom de votre domaine sécurisé"
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL url_ldap
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword mot_de_passe_auth
    Pour chaque combinaison de serveur LDAP, de configuration de protection et de directive de protection, codez un conteneur Emplacement comme dans l'exemple suivant :
    <Location /ldapdir>
      AuthName "LDAP_quelconque"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html
Rubrique Tâche    

Dispositions pour les centres de documentation | Commentaires

Dernière mise à jour : October 09, 2014 04:36 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_apacheldapcfg
Nom du fichier : tihs_apacheldapcfg.html