Autenticación con LDAP en IBM HTTP Server utilizando mod_ldap

Puede configurar LDAP (Lightweight Directory Access Protocol) para autenticar y proteger archivos en IBM® HTTP Server.

Antes de empezar

[AIX Solaris HP-UX Linux Windows] Procedimientos recomendados: Si utiliza el módulo mod_ibm_ldap para la configuración LDAP, piense en migrar las directivas de mod_ibm_ldap para utilizar el módulo mod_ldap. El módulo mod_ibm_ldap se proporciona con este release de IBM HTTP Server a efectos de compatibilidad con releases anteriores; no obstante, debe migrar las configuraciones existentes para que utilicen los módulos mod_authnz_ldap y mod_ldap para garantizar el soporte futuro de la configuración LDAP.

La directiva LoadModule para LDAP no se carga en IBM HTTP Server por omisión. Sin la directiva LoadModule, las funciones de LDAP no están disponibles para utilizarlas.

Para habilitar la función LDAP, añada una directiva LoadModule al archivo de IBM HTTP Server httpd.conf de la manera siguiente:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

Acerca de esta tarea

Los módulos Apache mod_ldap y mod_authnz_ldap proporcionan la autenticación LDAP.
  • El módulo mod_ldap proporciona la agrupación y colocación en memoria caché de conexiones LDAP.
  • mod_authnz_ldap utiliza los servicios de agrupación y colocación en antememoria de conexiones LDAP para proporcionar autenticación de clientes web.
Consulte los sitios web siguientes para obtener descripciones detalladas de las directivas LDAP (ldap_module y authnz_ldap_module):

Procedimiento

  1. Edite el archivo de configuración httpd.conf de IBM HTTP Server.
  2. Determine el recurso para el que desea limitar el acceso. Por ejemplo: <Directory "/secure_info">
  3. Añada la directiva LDAPTrustedGlobalCert a httpd.conf si la conexión de IBM HTTP Server al servidor LDAP es una conexión SSL.

    La directiva LDAPTrustedGlobalCert especifica la vía de acceso del directorio y el nombre de archivo de la entidad emisora de certificados (CA) de confianza que mod_ldap utiliza al establecer una conexión SSL con un servidor LDAP.

    Los certificados pueden almacenarse en un archivo .kdb o un conjunto de claves SAF. Si se utiliza un archivo .kdb, debe haber un archivo .sth en la misma vía de acceso de directorio y tener el mismo nombre de archivo, pero la extensión debe ser .sth en lugar de .kdb.

    [AIX Solaris HP-UX Linux Windows] La directiva LDAPTrustedGlobalCert debe ser un tipo de valor CMS_KEYFILE. Utilice este valor si los certificados indicados por la directiva LDAPTrustedGlobalCert se almacenan en un archivo .kdb.

    [z/OS] La directiva LDAPTrustedGlobalCert debe ser un tipo de valor SAF_KEYRING. Utilice este valor si los certificados indicados por la directiva LDAPTrustedGlobalCert se almacenan en un conjunto de claves SAF. Ejemplo cuando se almacena el certificado en un archivo .kdb:

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /vía acceso/a/keyfile.kdb contraseñaKDB
    Ejemplo cuando se almacena el certificado en un conjunto de claves SAF.
    [z/OS]
    LDAPTrustedGlobalCert SAF conjunto_claves_saf
    Importante: El ID de usuario que se utiliza para iniciar IBM HTTP Server debe tener acceso al conjunto de claves SAF que se indica en esta directiva. Si el ID de usuario no tiene acceso al conjunto de claves SAF, falla la inicialización de SSL.
    Consulte Realización de las configuraciones del sistema z/OS necesarias para obtener información sobre cómo acceder a los conjuntos de claves SAF definidos en RACF.
  4. Añada la directiva AuthLDAPUrl, que especifica los parámetros de búsqueda de LDAP que se deben utilizar.
    La sintaxis del URL es:
    ldap://host:port/basedn?attribute?scope?filter
  5. Añada directivas en httpd.conf a la ubicación de directorio (contenedor) para que se proteja con valores específicos con el entorno como, por ejemplo:
    • Order deny,allow
    • Allow from all
    • AuthName "Título del reino protegido"
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL url_ldap_usuario
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword contraseña_aut
    Para cada combinación de servidor LDAP, configuración de protección y directiva de protección, codifique un contenedor de Ubicación similar al del ejemplo siguiente:
    <Location /ldapdir>
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html
Tema de tarea    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_apacheldapcfg
Nombre de archivo: tihs_apacheldapcfg.html