[AIX Solaris HP-UX Linux Windows]

Convertendo suas Diretivas de mod_ibm_ldap para mod_ldap

Converta diretivas que usam o módulo mod_ibm_ldap para usar o módulo mod_ldap Apache para assegurar o suporte do IBM® HTTP Server continuado para sua configuração LDAP.

Antes de Iniciar

Determine quais diretivas converter.

Conclua estas etapas para converter suas diretivas.

Procedimento

  1. Edite a diretiva LoadModule no arquivo de configuração httpd.conf ou ldap.prop para remover mod_ibm_ldap.
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. Inclua a diretiva mod_ldap LoadModule no arquivo de configuração httpd.conf.
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. Converta uma ou mais das diretivas a seguir. Para obter informações adicionais sobre como converter suas diretivas, consulte o tópico sobre a migração de mod_ibm_ldap.
    Nota: Uma correlação de um para um pode não existir para algumas diretivas.
    Tabela 1. Conversão das Diretivas de Configuração de LDAP
    mod_ibm_ldap mod_ldap
    ldapCodePageDir Nenhuma. O diretório de páginas de código não pode ser movido de seu local de instalação.
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType Nenhuma. Se a diretiva mod_ldap, AuthLDAPBindDN, for especificada, você obterá a autenticação Basic. Se nenhuma AuthLDAPBindDN for especificada, você obterá o que teria sido o tipo de autenticação None (anônimo). Se a configuração de mod_ldap especificar um valor de LDAPTrustedClientCert, você obterá o tipo de autenticação Cert.
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile Nenhuma. O módulo mod_ldap não fornece uma diretiva para usar senhas em stash.
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter Nenhuma. O módulo mod_ldap usa o filtro fornecido no final da diretiva AuthLDAPURL.
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout Nenhuma. O módulo mod_ldap não fornece uma diretiva para tempos limites de conexão.
    ldap.key.file.password.stashfile Nenhuma. O módulo mod_ldap não fornece uma diretiva para usar senhas em stash. Especifique a senha de arquivo-chave, em texto não criptografado, no final da diretiva LDAPTrustedGlobalCert. Alternativamente, omita a senha na diretiva LDAPTrustedGlobalCert e o módulo mod_ldap procurará automaticamente um arquivo /path/to/keyfile.sth, assumindo que /path/to/keyfile.kdb foi o valor especificado da diretiva LDAPTrustedGlobalCert.
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm Nenhuma. O valor mod_ibm_ldap desta diretiva era usado apenas para propósitos de criação de log. Nenhuma diretiva equivalente é necessária no mod_ldap.
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType Nenhuma. O módulo mod_ldap autentica usuários com base no ID do usuário e nas credenciais de senha fornecidos.
    ldap.user.cert.filter Nenhuma. O módulo mod_ldap não funciona diretamente com certificados de cliente. As diretivas de autorização usam os valores de ambiente set configurados pelo módulo SSL.
    ldap.user.name.fieldSep Nenhuma. O módulo mod_ldap não fornece suporte para análise das credenciais fornecidas nos subcomponentes.
    ldap.user.name.filter Nenhuma. O módulo mod_ldap especifica o filtro de nome de usuário como parte da diretiva AuthLDAPURL.
    ldap.version Nenhuma. O módulo mod_ldap usa somente LDAP versão 3.
    ldap.waitToRetryConnection.interval Nenhuma. O módulo mod_ldap não possui um atraso cronometrado entre novas tentativas de conexão quando uma tentativa de conexão falha. A tentativa de conexão é tentada novamente para um máximo de 10 vezes antes da solicitação falhar.
  4. Execute o controle Apache com o sinalizador de verificação para verificar a configuração.
    <ihsinst>bin/apachectl -t
    Atenção: Esta verificação de configuração confirma se a sintaxe está correta, mas você deve verificar quaisquer mudanças na configuração para uma diretiva usando a documentação para essa diretiva para assegurar uma configuração ideal.
    Atenção: Todas as diretivas mod_ibm_ldap que usam o formato ldap.* costumavam ser exibidas opcionalmente no arquivo de configuração LDAPConfigFile sem o prefixo ldap.

Uma Configuração SSL de mod_ldap

As diretivas de configuração a seguir mostram uma configuração de LDAP ativado para SSL de amostra. Algumas das diretivas especificam valores padrão e, geralmente, não precisam ser especificadas, mas são retidas para fornecer contexto. Essas diretivas são incluídas, mas têm a linha comentada com símbolos '##".

##LDAPReferrals On
##LDAPReferralHopLimit 5

LDAPTrustedGlobalCert CMS_KEYFILE /full/path/to/ldap_client.kdb clientkdbPassword
#default cert in this kdb is my_cert1

# Alternatively, you can specify a SAF-based keyring, on systems that support it, as follows:
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

	# Ignored because LDAP URLs use ldaps:, where needed
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# This LDAPTrustedClientCert is required to use a different certificate
    # than the default
    LDAPTrustedClientCert CMS_LABEL my_cert2
		AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Private root access"
		require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

	<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		#Uses default cert (my_cert1)
		##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Employee of the month login"
 		require ldap-attribute description="Employee of the Month."
	</Directory>

	<Directory "/path/to/htdocs/development_groups">

		#These are the default values for the subgroup-related directives and only need to be 
		#specified when the LDAP structure differs.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # This LDAPTrustedClientCert is required to use a different certificate
		# than the default	 LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
			(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword
		AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
		require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 
Tópico de Tarefa    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_convertmodibmldap
Nome do arquivo: tihs_convertmodibmldap.html