[AIX Solaris HP-UX Linux Windows][z/OS]

Anweisungen des Moduls "mod_ibm_ldap" migrieren

Dieser Artikel enthält Informationen zur Migration von vorhandenen Anweisungen, die das Modul "mod_ibm_ldap" verwenden, auf die Verwendung der Open-Source-LDAP-Module ("mod_authnz_ldap" und "mod_ldap"). Durch die Migration wird die künftige Unterstützung Ihrer LDAP-Konfiguration gesichert.

Achtung: Obwohl viele Anweisungen von "mod_ibm_ldap" in der Datei "ldap.prop" enthalten sind, befinden sich alle Open-Source-LDAP-Anweisungen in der Datei "httpd.conf".

Die Open-Source-LDAP-Features werden von zwei Modulen bereitgestellt. Die AuthLDAP-Anweisungen werden vom Modul "mod_authnz_ldap" und die LDAP-Anweisungen vom Modul "mod_ldap" bereitgestellt. Beide Module müssen geladen werden, damit die LDAP-Features verfügbar sind. Im gesamten folgenden Abschnitt wird der generische Name "mod_ldap" verwendet, um auf die Open-Source-LDAP-Module zu verweisen.

ldapCodePageDir

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Verzeichnisses "codepages". Das Verzeichnis "codepages" wird automatisch im richtigen Verzeichnis installiert, und das Verzeichnis "codepages" kann nicht von seiner Installationsposition verschoben werden.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldapCodePageDir /location/of/codepages

LDAPConfigfile

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe einer LDAP-Konfigurationsdatei. Obwohl es in "mod_ldap" keine Anweisung für die Angabe der LDAP-Konfigurationsdatei gibt, können Sie die Apache-Anweisung "include" verwenden, wenn Sie Ihre LDAP-Konfiguration in eine gesonderte Datei kopieren möchten.

Konvertieren Sie
ldapConfigFile ldap.prop
in
Include /location/of/ldap_conf/apache_ldap.conf

Eine andere Alternative für die Migration der Anweisung "LDAPConfigfile" des Moduls "mod_ibm_ldap" ist die Verwendung des Containers "AuthnProviderAlias" des Moduls "mod_authn_alias". Damit können Sie eine oder mehrere Gruppierungen von LDAP-Anweisungen erstellen und diese verwenden, indem Sie bei Bedarf ihre Aliaskennsätze referenzieren.

LdapRequire

Das Modul "mod_ldap" enthält die Anweisung "require" mit LDAP-Erweiterungen für die LDAP-Authentifizierungssicherheit.

Wenn Sie bisher "require valid-user" für IBM HTTP Server verwendet haben, können Sie diese Anweisung unverändert übernehmen. Um die höchste Stufe der LDAP-Authentifizierungssicherheit zu erreichen, müssen Sie "require valid-user" jedoch nähere spezifizieren. Weitere Informationen finden Sie in der Apache-Dokumentation zu den folgenden require-Anweisungen: ldap-user, ldap-dn, ldap-attribute, ldap-group, ldap-filter und valid-user.

Konvertieren Sie
LdapRequire filter "(&(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg))" 
LdapRequire group MyDepartment
in
require ldap-filter &(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg)
require ldap-group cn=MyDepartment,o=OurOrg,c=US

ldap.application.authType

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Authentifizierungstyps. Wenn ein Wert für die Anweisung "AuthLDAPBindDN" angegeben ist, ist die Basisauthentifizierung aktiviert. Ist kein Wert für die Anweisung "AuthLDAPBindDN" angegeben, wird der Authentifizierungstyp, der zuvor der Einstellung "None" für den Authentifizierungstyp bzw. "anonymous" im Modul "mod_ibm_ldap" entsprach, aktiviert.

Wenn ein Wert für die Anweisung "LDAPTrustedClientCert" angegeben ist, wird automatisch der Zertifikatsauthentifizierungstyp (Cert) verwendet.
ldap.application.authType=[None | Basic | Cert]

ldap.application.DN

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPBindDN", mit der Sie den Authentifizierungstyp für die Anwendung bestimmen können.

Wenn ein Wert für die Anweisung "AuthLDAPBindDN" angegeben ist, hat die Anweisung "authType" den Wert Basic. Wenn die Anweisung "AuthLDAPBindDN" nicht aktiviert ist, hat die Anweisung "authType" den Typ None. Wenn ein Wert für die Anweisung "LDAPTrustedClientCert" angegeben ist, hat die Anweisung "authType" den Wert Cert.

Wichtig: AuthLDAPBindDN nimmt auch den Platz von "ldap.application.authType" ein.
Konvertieren Sie
ldap.application.DN=cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US
in
AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"

ldap.application.password

Das Modul "mod_ldap" stellt die Anweisung "AuthLDAPBindPassword" für die Angabe eines Kennworts für Bindung bereit. Der Wert wird in Klartext in der Konfigurationsdatei gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.

Konvertieren Sie
ldap.application.password=mypassword
in
AuthLDAPBindPassword mypassword

ldap.application.password.stashFile

Das Modul "mod_ldap" enthält keine Anweisung für die verdeckte Speicherung des Kennworts. Die Anweisung "AuthLDAPBindPassword" ist die einzige Methode zum Speichern eines Kennworts, und der Wert wird in der Konfigurationsdatei in Klartext gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.application.password.stashfile=/Pfad/zur/stashfile.sth

ldap.cache.timeout

Das Modul "mod_ldap" stellt die Anweisung "LDAPCacheTTL" für die Angabe eines Zeitlimits für den LDAP-Cache bereit. Die Anweisung "LDAPCacheTTL" gilt global und muss sich auf der höchsten Ebene der Konfigurationsdatei befinden. Dies ist anders als beim Modul "mod_ibm_ldap", wo die Anweisung "ldap.cache.timeout" an beliebiger Stelle in der Konfigurationsdatei angegeben werden kann.

Konvertieren Sie
ldap.cache.timeout=60
in
LDAPCacheTTL 60
Der Standardwert ist 600 Sekunden.

ldap.group.dnattributes

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPSubGroupClass", mit der Sie Objektklassen angeben können, die Gruppen identifizieren. Beim Modul "mod_ibm_ldap" werden alle Werte in einer einzigen Anweisungszeile angegeben. Beim Modul "mod_ldap" können die Werte in einer einzigen Zeile angegeben oder auf mehrere Zeilen mit jeweils der Anweisung und einem Wert in einer Zeile verteilt werden.

Konvertieren Sie
ldap.group.dnattributes=groupOfNames GroupOfUniqueNames
in
AuthLDAPSubGroupClass groupOfNames
AuthLDAPSubGroupClass groupOfUniqueNames
Dies sind die Standardwerte.

ldap.group.memberattribute

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPSubGroupAttribute", mit der Sie die Kennsätze angeben können, die die Untergruppenmember der aktuellen Gruppe identifizieren. Beim Modul "mod_ibm_ldap" kann nur ein einziger Kennsatz angegeben werden. Beim Modul "mod_ldap" können Sie jedoch mehrere Kennsätze angeben, die Sie entweder alle in einer einzigen Anweisungszeile auflisten oder auf mehrere Anweisungszeilen verteilen, mit jeweils einem Kennsatz in jeder Anweisungszeile.

Konvertieren Sie
ldap.group.memberattribute=member
in
AuthLDAPSubGroupAttribute member
AuthLDAPSubGroupAttribute uniqueMember

ldap.group.memberattributes

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPGroupAttribute", mit der Sie die Kennsätze angeben können, die ein Member der aktuellen Gruppe, z. B. einen Benutzer oder eine Untergruppe, identifizieren. Beim Modul "mod_ibm_ldap" geben Sie alle Kennsätze in einer einzigen Anweisungszeile an. Beim Modul "mod_ldap" können Sie die Kennsätze jedoch alle in einer einzigen Anweisungszeile oder jeden Kennsatz in einer separaten Anweisungszeile angeben.

Konvertieren Sie
ldap.group.membreattributes=member uniqueMember
in
AuthLDAPGroupAttribute member
AuthLDAPGroupAttribute uniqueMember

ldap.group.name.filter

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe gesonderter Benutzer- und Gruppenfilter. Das Modul "mod_ldap" verwendet den am Ende der Anweisung "AuthLDAPURL" angegebenen Filter. Sie können die Containeranweisung "AuthnProviderAlias" verwenden, die im Modul "mod_authn_alias" bereitgestellt wird, um separate Aliasnamen "my_ldap_user_alias" und "my_ldap_group_alias" zu erstellen, die jeweils die erforderlichen LDAP-Anweisungen enthalten. Anschließend können Sie Ihren Gruppenalias an den Stellen verwenden, an denen die Berechtigung über Gruppenzugehörigkeit gesteuert wird.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.group.name.filter=(&(cn=%v1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))

ldap.group.search.depth

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPMaxSubGroupDepth", mit der Sie die rekursive Verschachtelungstiefe festlegen können, bei der Versuche, einen Benutzer in verschachtelten Gruppen zu finden, eingestellt werden.

Konvertieren Sie
ldap.group.search.depth=5
in
AuthLDAPMaxSubGroupDepth 5
Der Standardwert ist 10.

ldap.group.URL

Das Modul "mod_ldap" stellt keine Anweisung bereit, um für die Berechtigung einer Gruppenzugehörigkeit einen anderen LDAP-Server anzugeben als den LDAP-Server, der für die Berechtigung der Benutzer verwendet wird.

Außerdem müssen Sie mit der Anweisung "AuthLDAPURL" den LDAP-Gruppenserver für den Container angeben. Stellen Sie sicher, dass Sie den richtigen Filter für jede Gruppe angeben.

ldap.group.URL=ldap://groups_ldap.server.org:389/o=OurOrg,c=US
ldap.group.URL=ldaps://groups_ldap.server.org:636/o=OurOrg,c=US

ldap.idleConnection.timeout

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Zeitlimits für aufgebaute Verbindungen zum LDAP-Server, die inaktiv werden. Das Modul "mod_ldap" erkennt automatisch, wenn der LDAP-Server Verbindungen verfallen lässt, bewirkt aber selbst nicht, dass Verbindungen verfallen.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.idleConnection.timeout=60

ldap.key.file.password.stashfile

Wenn kein Kennwort in der Anweisung "LDAPTrustedGlobalCert" angegeben wird, verwendet das Modul "mod_ldap" automatisch eine Datei "/Pfad/zur/keyfile.sth" (/Pfad/zur/keyfile.kdb gibt die Schlüsseldatei an, die in der Anweisung "LDAPTrustedGlobalCert" angegeben wurde).

Informationen zur Angabe des Kennworts für die Schlüsseldatei finden Sie in der Apache-Dokumentation zur Anweisung "LDAPTrustedGlobalCert". Der Wert wird in Klartext in der Konfigurationsdatei gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.key.file.password.stashfile=/Pfad/zu/ldap.sth

ldap.key.fileName

Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedGlobalCert", mit der Sie die beim Laden von Zertifikaten zu verwendende Schlüsseldatei angeben können. Das Modul "mod_ldap" verwendet diese Anweisungen auch, um das Kennwort in Klartext in der Konfigurationsdatei anzugeben. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.

Konvertieren Sie
ldap.key.filename=/Pfad/zu/keyfile.kdb
in [AIX Solaris HP-UX Linux Windows]
LDAPTrustedGlobalCert CMS_KEYFILE /Pfad/zu/keyfile.kdb myKDBpassword
[z/OS]
LDAPTrustedGlobalCert SAF saf_keyring

ldap.key.label

Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedClientCert", mit der Sie das aus der KDB-Schlüsseldatei zu verwendende Zertifikat angeben können. Wenn das Standardzertifikat verwendet wird, müssen Sie keinen Wert für diese Anweisungen angeben.

Konvertieren Sie
ldap.key.label=certname_from_kdb
in
LDAPTrustedClientCert CMS_LABEL certname_from_kdb

ldap.ReferralHopLimit

Das Modul "mod_ldap" enthält die Anweisung "LDAPReferralHopLimit", Das Modul "mod_ldap" enthält die Anweisung "LDAPReferralHopLimit", mit der Sie die Anzahl der Verweise beschränken können, nach deren Verfolgung die Versuche, einen Benutzer in einer verteilten Verzeichnisstruktur zu finden, eingestellt werden.

Konvertieren Sie
ldapReferralHopLimit 5
in
LDAPReferralHopLimit 5
Der Standardwert ist 5.

ldapReferrals

Das Modul "mod_ldap" enthält die Anweisung "LDAPReferrals", mit der Sie die Verfolgung von Verweisen beim Suchen von Benutzern in einer verteilten Verzeichnisstruktur aktivieren oder inaktivieren können.

Konvertieren Sie
ldapReferrals On
in
LDAPReferrals On
Der Standardwert ist On.

ldap.realm

Das Modul "mod_ldap" enthält die Anweisung "AuthName", mit der Sie den Berechtigungsrealm angeben können.

Konvertieren Sie
ldap.realm=Text zur Identifikation
in
AuthName "Text zur Identifikation"

ldap.search.timeout

Das Modul "mod_ldap" enthält die Anweisung "LDAPSearchTimeout", mit der Sie angeben können, wann eine Suchanforderung aufgegeben werden soll.

Konvertieren Sie
ldap.search.timeout=10
in
LDAPSearchTimeout 10
Der Standardwert ist 10 Sekunden.

ldap.transport

Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedMode", mit der Sie den Typ des Netztransports angeben können, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.

Wenn Sie in der Anweisung "AuthLDAPURL" keinen Port angeben, ignoriert das Modul "mod_ldap" die Anweisung "LDAPTrustedMode" und gibt SSL als Netztransport an. Weitere Informationen finden Sie in der Apache-Dokumentation zu den Anweisungen "LDAPTrustedMode" und "AuthLDAPURL".

Sie können einen Wert für die folgenden Netztransporttypen angeben:
  • None oder TCP, d. h., es wird keine Verschlüsselung durchgeführt. Wenn Sie in der Anweisung "AuthLDAPURL" keinen Port angeben, wird Port 389 verwendet.
  • SSL. Wenn der Wert None angegeben wird, wird Port 636 verwendet.
  • TLS oder STARTTLS. Diese Open-Source-Typen werden von IBM HTTP Server nicht unterstützt.
Konvertieren Sie
ldap.transport=TCP (or SSL)
in
LDAPTrustedMode NONE (or SSL)
Wenn ldaps://URL angegeben wird, wird SSL als Modus verwendet, und die Einstellung von LDAPTrustedMode wird ignoriert.

ldap.URL

Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPURL", mit der Sie den Hostnamen und den Port des LDAP-Servers sowie den Basis-DN angegeben können, der für die Verbindungsherstellung zum Server verwendet werden soll. Das Modul "mod_ldap" stellt auch eine Methode für die Angabe des Benutzerattributs, des Geltungsbereichs, des Benutzerfilters und des Transportmodus bereit. Weitere Informationen finden Sie in der Apache-Dokumentation zu den AuthLDAPURL-Anweisungen.

Konvertieren Sie
ldap.URL=ldap://our_ldap.server.org:389/o=OurOrg,c=US
ldap.URL=ldaps://our_ldap.server.org:636/o=OurOrg,c=US
in
AuthLDAPURL ldap://our_ldap.server.org:389/o=OurOrg,c=US?cn?sub?(objectclass=person)
AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)

ldap.user.authType

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Benutzerauthentifizierungstyps. Das Modul "mod_ldap" authentifiziert Benutzer auf der Basis des angegebenen Benutzer-ID und des angegebenen Kennworts.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.user.authType=Basic  [Basic | Cert | BasicIfNoCert]

ldap.user.cert.filter

Das Modul "mod_ldap" enthält keine Anweisung für das Filtern von Clientzertifikaten. Das Modul "mod_ldap" arbeitet nicht direkt mit Clientzertifikaten.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)(ou=%v2)(o=%v3)(c=%v4))

ldap.user.name.fieldSep

Das Modul "mod_ldap" enthält keine Anweisung für das Parsing der bereitgestellten Berechtigungsnachweise in Unterkomponenten. Das Modul "mod_ibm_ldap" verwendet die Anweisung "ldap.user.name.fieldSep", um die Trennzeichen anzugeben, die für das Parsen der Berechtigungsnachweise in die Token %v1, %v2, ...%vN verwendet werden.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.user.name.fieldSep=/ ,

ldap.user.name.filter

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe des Benutzernamensfilters. Das Modul "mod_ldap" gibt den Benutzernamensfilter in der Anweisung "AuthLDAPURL" an.

Die Anweisung "AuthLDAPURL" kombiniert das Benutzerattribut, das in der Anweisung angegeben ist, mit dem bereitgestellten Filter zu einem Suchfilter. Der angegebene Filter entspricht der Standardspezifikation für Suchfilter. Das Modul "mod_ldap" enthält auch nicht die Parsing-Funktion für Token "%vx", die für das Modul "mod_ibm_ldap" verfügbar ist.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.user.name.filter=(&(objectclass=person)(cn=%v1 %v2))

ldap.version

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe einer LDAP-Version. Das Modul "mod_ldap" verwendet nur LDAP Version 3.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.version=2  (or 3)

ldap.waitToRetryConnection.interval

Das Modul "mod_ldap" enthält keine Anweisung für die Angabe der Wartezeit zwischen Verbindungswiederholungen. Das Modul "mod_ldap" wendet keine Zeitverzögerung zwischen Verbindungswiederholungen an, wenn ein Verbindungsversuch scheitert. Ein fehlgeschlagener Verbindungsversuch wird maximal zehn Mal wiederholt, bevor die Anforderung als gescheitert eingestuft wird.

Wenn eine neue Anforderung auf denselben LDAP-Server zugreifen muss, wird sie maximal zehn Mal wiederholt. Die Wiederholungsregulierung basiert auf dem Aufkommen neuer Anforderungen, die an den LDAP-Server gesendet werden.

Diese Anweisung in "mod_ibm_ldap" hat keine Entsprechung in "mod_lap":
ldap.waitToRetryConnection.interval=300

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_convertmodibmldapdirs
Dateiname:rihs_convertmodibmldapdirs.html