IBM HTTP Server での mod_ldap を使用した LDAP 認証

Lightweight Directory Access Protocol (LDAP) を構成して、IBM® HTTP Server 上のファイルを認証および保護することができます。

始める前に

[AIX Solaris HP-UX Linux Windows]ベスト・プラクティス: LDAP 構成に mod_ibm_ldap モジュールを使用している場合、mod_ibm_ldap ディレクティブを移行して mod_ldap モジュールを使用することを検討してください。mod_ibm_ldap モジュールは、今回の IBM HTTP Server リリースでは以前のリリースとの互換性のために提供されていますが、ご使用の LDAP 構成が今後も確実にサポートされるようにするには、既存の構成を移行して mod_authnz_ldap および mod_ldap モジュールを使用する必要があります。

LDAP の LoadModule ディレクティブは、デフォルトでは IBM HTTP Server にロードされません。LoadModule ディレクティブがないと、LDAP フィーチャーは使用できません。

LDAP 機能を使用可能にするには、以下のようにして、 IBM HTTP Server の httpd.conf ファイルに LoadModule ディレクティブを追加してください。
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

このタスクについて

LDAP 認証は、mod_ldap および mod_authnz_ldap Apache モジュールによって提供されます。
  • mod_ldap モジュールは、LDAP 接続のプールおよびキャッシングを提供します。
  • mod_authnz_ldap は、LDAP 接続プールおよびキャッシング・サービスを利用して Web クライアント認証を提供します。
LDAP (ldap_module および authnz_ldap_module) ディレクティブの詳細説明を取得するには、 以下の Web サイトを参照してください。

手順

  1. httpd.conf IBM HTTP Server 構成ファイルを編集します。
  2. アクセスを制限するリソースを決定します。 例: <Directory "/secure_info">
  3. IBM HTTP Server と LDAP サーバーとの接続が SSL 接続である場合は、LDAPTrustedGlobalCert ディレクティブを httpd.conf に追加します。

    LDAPTrustedGlobalCert ディレクティブは、LDAP サーバーに対して SSL 接続を確立する際に mod_ldap が使用するトラステッド認証局 (CA) のディレクトリー・パスおよびファイル名を指定します。

    証明書は、.kdb ファイルまたは SAF 鍵リングに格納することができます。 .kdb ファイルを使用している場合、.sth ファイルを同じディレクトリー・パスに配置し、ファイル名も同じにする必要があります。ただし、拡張子は .kdb ではなく .sth にしてください。

    [AIX Solaris HP-UX Linux Windows] LDAPTrustedGlobalCert ディレクティブは、CMS_KEYFILE 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が .kdb ファイルに格納される場合は、この値を使用します。

    [z/OS]LDAPTrustedGlobalCert ディレクティブは、SAF_KEYRING 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が SAF 鍵リングに格納される場合は、この値を使用します。 証明書を .kdb ファイルに格納する場合の例。

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
    証明書を SAF 鍵リングに格納する場合の例。[z/OS]
    LDAPTrustedGlobalCert SAF saf_keyring
    重要: IBM HTTP Server を始動するために使用するユーザー ID には、このディレクティブで指定された SAF 鍵リングへのアクセス権がなければなりません。ユーザー ID に SAF 鍵リングへのアクセス権がない場合、SSL 初期化は失敗します。
    RACF® で定義された SAF 鍵リングへアクセスする際の詳細情報については、必要な z/OS システム構成の実行を参照してください。
  4. AuthLDAPUrl ディレクティブを追加して、使用する LDAP 検索パラメーターを指定します。
    URL の構文は、次のとおりです。
    ldap://host:port/basedn?attribute?scope?filter
  5. 以下のように、httpd.conf 内のディレクティブをディレクトリー・ロケーション (コンテナー) に追加し、ご使用の環境に固有の値で保護します。
    • Order deny, allow
    • Allow from all
    • AuthName Title of your protected Realm
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    LDAP リポジトリーに存在するすべてのユーザーの許可に加え、 mod_authnz_ldap は、Require ldap-userRequire ldap-group、および Require ldap-filter を提供します。 複数の Require ディレクティブを使用した場合、すべてではなく、いずれかの Require ディレクティブが現行ユーザーに一致した場合に許可は成功します。
    • Require ldap-user user1

      AuthLDAPURL に基づいて「user1」を検索し、DN が認証済みユーザーの DN に一致することを確認します。

    • Require ldap-group cn=group1,o=example,c=US

      リストされた LDAP グループで現在認証済みのユーザーを検索します。

    • Require ldap-filter "|(someAttr=val1)(someVal=val2)"

      指定された LDAP フィルターのもとで認証済みユーザーを検索します。 フィルターが 1 件の結果を戻す場合、許可がパスします。

    以下の例のように、LDAP サーバー、保護セットアップ、および保護ディレクティブの組み合わせごとに、Location コンテナーをコード化します。
    <Location /ldapdir>
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_apacheldapcfg
ファイル名:tihs_apacheldapcfg.html