O IBM® HTTP Server fornece a capacidade de usar uma conexão segura entre o módulo LDAP em execução no servidor da Web e o servidor de diretório LDAP. Se esse recurso estiver ativado, qualquer comunicação entre o servidor da Web e o servidor de diretórios será criptografada.
Para ativar esse recurso, edite o arquivo de configuração LDAP ldap.prop e altere o valor de ldap.transport para SSL. Crie ou obtenha um arquivo de banco de dados do certificado (X.kdb) e um arquivo stash de senha (Y.sth). É possível utilizar IKEYMAN para obter um arquivo do banco de dados de chaves. É necessário utilizar o programa ldapstash para criar o arquivo stash. Também será necessário alterar os valores para ldap.URL e ldap.group.URL para utilizar a porta 636, em vez da porta 389.
O arquivo do banco de dados de chaves contém os certificados que estabelecem a identidade. O servidor LDAP pode requerer que o servidor da Web forneça um certificado antes de permitir consultas. Ao usar um certificado com uma conexão SSL entre o módulo LDAP e o servidor LDAP, o ID do usuário que o IBM HTTP Server está configurado para usar deve ter permissão de gravação para o Arquivo do banco de dados de chave contendo o certificado.
Os certificados estabelecem identidade para evitar que outros usuários roubem ou sobrescrevam seus certificados (e, assim, sua identidade). Se alguém tiver permissão para leitura do arquivo de banco de dados chave, ele pode recuperar os certificados dos usuários e mascarar o usuário como aquele usuário. Conceda permissão de leitura ou de gravação somente ao proprietário do arquivo de banco de dados de chaves.