您可以配置「輕量型目錄存取通訊協定 (LDAP)」,以鑑別及保護 IBM® HTTP Server 上的檔案。
開始之前
最佳作法: 如果您為 LDAP 配置使用 mod_ibm_ldap 模組,請考慮將 mod_ibm_ldap 指引移轉為使用 mod_ldap 模組。mod_ibm_ldap 模組隨附於此版本的 IBM HTTP Server,以與舊版相容,不過,您必須將現有的配置移轉為使用 mod_authnz_ldap 和 mod_ldap 模組,以確保未來能夠支援 LDAP 配置。
依預設,LDAP 的 LoadModule 指引不會載入 IBM HTTP Server 中。如果沒有 LoadModule 指引,則無法使用 LDAP 特性。
若要啟用 LDAP 功能,請將 LoadModule 指引新增至 IBM HTTP Server
httpd.conf 檔案,如下所示:
LoadModule ldap_module modules/mod_ldap.soLoadModule authnz_ldap_module modules/mod_authnz_ldap.so
關於這項作業
LDAP 鑑別是由 mod_ldap 和 mod_authnz_ldap Apache 模組所提供。
- mod_ldap 模組提供 LDAP 連線儲存區和快取。
- mod_authnz_ldap 可利用 LDAP 連線儲存區和快取服務來提供 Web 用戶端鑑別。
如需 LDAP(ldap_module 和 authnz_ldap_module)指引的詳細說明,請參閱下列網站:
程序
- 編輯 httpd.conf IBM HTTP Server 配置檔。
- 決定您要限制存取的資源。 例如:<Directory "/secure_info">
- 如果 IBM HTTP Server 與 LDAP 伺服器的連線是 SSL 連線,則將 LDAPTrustedGlobalCert 指引新增至 httpd.conf。
LDAPTrustedGlobalCert 指引可指定在建立 SSL 連線至 LDAP 伺服器時,mod_ldap 所使用之授信憑證管理中心 (CA) 的目錄路徑和檔名。
憑證可以儲存在 .kdb 檔案或 SAF 金鑰環中。如果是使用 .kdb 檔案,則 .sth 檔案必須位在相同的目錄路徑中,並且有相同的檔名,但副檔名必須是 .sth,而不是 .kdb。
LDAPTrustedGlobalCert 指引必須是 CMS_KEYFILE 值類型。如果 LDAPTrustedGlobalCert 指引指出的憑證是儲存在 .kdb 檔案中,請使用此值。
LDAPTrustedGlobalCert 指引必須是 SAF_KEYRING 值類型。如果 LDAPTrustedGlobalCert 指引指出的憑證是儲存在 SAF 金鑰環中,請使用此值。當憑證儲存在 .kdb 檔案時的範例:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
當憑證儲存在 SAF 金鑰環時的範例:![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF saf_keyring
重要: 您用來啟動 IBM HTTP Server 的使用者 ID 必須能夠存取您在此指引中指名的 SAF 金鑰環。如果使用者 ID 沒有 SAF 金鑰環的存取權,則 SSL 起始設定會失敗。
如需有關存取 RACF® 中定義之 SAF 金鑰環的詳細資訊,請參閱執行必要的 z/OS 系統配置。
- 新增 AuthLDAPUrl 指引,以指定所要使用的 LDAP 搜尋參數。
URL 的語法為:
ldap://host:port/basedn?attribute?scope?filter
- 將指引新增至 httpd.conf 中的目錄位置(儲存器),以您環境特定的值來加以保護,例如:
- Order deny, allow
- Allow from all
- AuthName Title of your protected Realm
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL your_ldap_url
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword auth_password
除了容許任何使用者存在於 LDAP 儲存庫,
mod_authnz_ldap 還提供
Require ldap-user、
Require ldap-group 及
Require ldap-filter。當您使用多個
Require 指引時,如果任何(而非全部)
Require 指引符合現行使用者,授權就會成功。
針對 LDAP 伺服器、保護設定和保護指引的每一種組合,編寫類似下列範例的 Location 儲存區:
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html