Lightweight Directory Access Protocol (LDAP) を構成して、IBM® HTTP
Server 上のファイルを認証および保護することができます。
始める前に
ベスト・プラクティス: LDAP 構成に mod_ibm_ldap モジュールを使用している場合、mod_ibm_ldap ディレクティブを移行して mod_ldap モジュールを使用することを検討してください。mod_ibm_ldap モジュールは、今回の IBM HTTP Server リリースでは以前のリリースとの互換性のために提供されていますが、ご使用の LDAP 構成が今後も確実にサポートされるようにするには、既存の構成を移行して mod_authnz_ldap および mod_ldap モジュールを使用する必要があります。
LDAP の LoadModule ディレクティブは、デフォルトでは IBM HTTP Server にロードされません。LoadModule ディレクティブがないと、LDAP フィーチャーは使用できません。
LDAP 機能を使用可能にするには、以下のようにして、
IBM HTTP Server の
httpd.conf ファイルに LoadModule ディレクティブを追加してください。
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
このタスクについて
LDAP 認証は、mod_ldap および
mod_authnz_ldap Apache モジュールによって提供されます。
- mod_ldap モジュールは、LDAP 接続のプールおよびキャッシングを提供します。
- mod_authnz_ldap は、LDAP 接続プールおよびキャッシング・サービスを利用して Web クライアント認証を提供します。
LDAP (ldap_module および authnz_ldap_module) ディレクティブの詳細説明を取得するには、
以下の Web サイトを参照してください。
手順
- httpd.conf IBM HTTP Server 構成ファイルを編集します。
- アクセスを制限するリソースを決定します。 例えば、<Directory "/secure_info"> とします。
- IBM HTTP Server と LDAP サーバーとの接続が SSL 接続である場合は、LDAPTrustedGlobalCert ディレクティブを httpd.conf に追加します。
LDAPTrustedGlobalCert ディレクティブは、LDAP サーバーに対して SSL 接続を確立する際に mod_ldap が使用するトラステッド認証局 (CA) のディレクトリー・パスおよびファイル名を指定します。
証明書は、.kdb ファイルまたは SAF 鍵リングに格納することができます。
.kdb ファイルを使用している場合、.sth ファイルを同じディレクトリー・パスに配置し、ファイル名も同じにする必要があります。ただし、拡張子は .kdb ではなく .sth にしてください。
LDAPTrustedGlobalCert ディレクティブは、CMS_KEYFILE 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が .kdb ファイルに格納される場合は、この値を使用します。
LDAPTrustedGlobalCert ディレクティブは、SAF_KEYRING 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が SAF 鍵リングに格納される場合は、この値を使用します。
証明書を .kdb ファイルに格納する場合の例。
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
証明書を SAF 鍵リングに格納する場合の例。
LDAPTrustedGlobalCert SAF saf_keyring
重要: IBM HTTP Server を始動するために使用するユーザー ID には、このディレクティブで指定された SAF 鍵リングへのアクセス権がなければなりません。ユーザー ID に SAF 鍵リングへのアクセス権がない場合、SSL 初期化は失敗します。
RACF® で定義された SAF 鍵リングへアクセスする際の詳細情報については、必要な z/OS システム構成の実行を参照してください。
- AuthLDAPUrl ディレクティブを追加して、使用する LDAP 検索パラメーターを指定します。
URL の構文は、次のとおりです。
ldap://host:port/basedn?attribute?scope?filter
- 以下のように、httpd.conf 内のディレクティブをディレクトリー・ロケーション (コンテナー) に追加し、ご使用の環境に固有の値で保護します。
- Order deny,allow
- Allow from all
- AuthName "保護レルムのタイトル"
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL your_ldap_url
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword auth_password
以下の例のように、LDAP サーバー、保護セットアップ、および保護ディレクティブの組み合わせごとに、Location コンテナーをコード化します。
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html