![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Migration des directives mod_ibm_ldap
Cet article contient des informations sur la migration de directives existantes qui utilisent le module mod_ibm_ldap pour utiliser les modules LDAP source ouverte (mod_authnz_ldap et mod_ldap). La migration garantira la prise en charge future de votre configuration LDAP.
Les fonctions LDAP source ouverte sont fournies par deux modules. Les directives AuthLDAP sont fournies par le module mod_authnz_ldap et les directives LDAP par le module mod_ldap. Ces deux modules doivent être chargés pour que les fonctions LDAP soient disponibles. Dans la section suivante, le nom générique mod_ldap est utilisé pour désigner les modules LDAP source ouverte.
ldapCodePageDir
Le module mod_ldap ne contient pas de directive pour la spécification d'un répertoire de pages de code. Le répertoire de pages de code est installé automatiquement dans le répertoire correct et ne peut pas être retiré de son emplacement d'installation.
ldapCodePageDir /location/of/codepages
LDAPConfigfile
Le module mod_ldap ne contient pas de directive pour la spécification d'un fichier de configuration LDAP. Bien qu'il n'existe pas de directive mod_ldap pour la spécification du fichier de configuration LDAP, si vous souhaitez placer votre configuration LDAP dans un fichier distinct, vous pouvez utiliser la directive Apache include.
ldapConfigFile ldap.propen :
Include /location/of/ldap_conf/apache_ldap.conf
Une autre méthode pour migrer la directive mod_ibm_ldap LDAPConfigfile consiste à utiliser le conteneur AuthnProviderAlias du module mod_authn_alias pour créer un ou plusieurs groupes de directives ldap, puis à les utiliser en référençant les libellés d'alias lorsque cela est nécessaire.
LdapRequire
Le module mod_ldap fournit la directive require, avec des extensions LDAP, pour la sécurité d'authentification LDAP.
Si vous avez utilisé require valid-user précédemment pour IBM HTTP Server, vous pouvez laisser cette directive require en place sans modification. Pour obtenir le niveau le plus élevé de sécurité d'authentification LDAP, vous devez faire migrer require valid-user vers un format plus spécifique. Pour plus d'informations, consultez la documentation Apache sur ces directives require : ldap-user, ldap-dn, ldap-attribute, ldap-group, ldap-filter et valid-user.
LdapRequire filter "(&(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg))" LdapRequire group MyDepartmenten :
require ldap-filter &(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg) require ldap-group cn=MyDepartment,o=OurOrg,c=US
ldap.application.authType
Le module mod_ldap ne contient pas de directive pour la spécification d'un type d'authentification. Si une valeur est spécifiée pour la directive AuthLDAPBindDN, l'authentification de base est activée. Si aucune valeur n'est spécifiée pour la directive AuthLDAPBindDN, l'ancien type d'authentification None pour le module mod_ibm_ldap, ou anonyme, est activé.
ldap.application.authType=[None | Basic | Cert]
ldap.application.DN
Le module mod_ldap fournit la directive AuthLDAPBindDN pour déterminer le type d'authentification de l'application.
Si une valeur est spécifiée pour la directive AuthLDAPBindDN, la valeur de la directive authType est Basic. Si la directive AuthLDAPBindDN n'est pas activée, la valeur de la directive authType est None. Si une valeur est spécifiée pour la directive LDAPTrustedClientCert, la valeur de la directive authType est Cert.
ldap.application.DN=cn=ldapadm,ou=OurDirectory,o=OurCompany,c=USen :
AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
ldap.application.password
Le module mod_ldap fournit la directive AuthLDAPBindPassword pour spécifier un mot de passe de liaison. La valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.
ldap.application.password=mypassworden :
AuthLDAPBindPassword mypassword
ldap.application.password.stashFile
Le module mod_ldap ne contient pas de directive pour stocker le mot de passe. La directive AuthLDAPBindPassword est la seule méthode pour spécifier un mot de passe et la valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.
ldap.application.password.stashfile=/path/to/stashfile.sth
ldap.cache.timeout
Le module mod_ldap fournit la directive LDAPCacheTTL afin de spécifier un dépassement du délai d'attente pour le cache LDAP. La directive LDAPCacheTTL a une portée globale et doit être située au niveau le plus élevé du fichier de configuration. Ce système est différent du module mod_ibm_ldap car la directive ldap.cache.timeout pouvait se situer n'importe où dans le fichier de configuration.
ldap.cache.timeout=60en :
LDAPCacheTTL 60La valeur par défaut est 600 secondes.
ldap.group.dnattributes
Le module mod_ldap fournit la directive AuthLDAPSubGroupClass pour spécifier les classes d'objets qui identifient les groupes. Pour le module mod_ibm_ldap, toutes les valeurs ont été spécifiées sur une ligne de directive unique ; cependant, pour le module mod_ldap, les valeurs peuvent être toutes spécifiées sur une ligne ou sur plusieurs lignes, avec la directive et une valeur sur chaque ligne.
ldap.group.dnattributes=groupOfNames GroupOfUniqueNamesen :
AuthLDAPSubGroupClass groupOfNames AuthLDAPSubGroupClass groupOfUniqueNamesIl s'agit des valeurs par défaut.
ldap.group.memberattribute
Le module mod_ldap fournit la directive AuthLDAPSubGroupAttribute pour spécifier les libellés qui identifient les membres du sous-groupe du groupe actuel. Pour le module mod_ibm_ldap, vous ne pouviez spécifier qu'un libellé ; cependant, pour le module mod_ldap, vous pouvez spécifier plusieurs libellés en les répertoriant tous sur une ligne de directive ou en fournissant plusieurs lignes de directive, avec chaque libellé sur une ligne de directive distincte.
ldap.group.memberattribute=memberen :
AuthLDAPSubGroupAttribute member AuthLDAPSubGroupAttribute uniqueMember
ldap.group.memberattributes
Le module mod_ldap fournit la directive AuthLDAPGroupAttribute pour spécifier les libellés qui identifient les membres du groupe actuel, tels qu'un utilisateur ou un sous-groupe. Pour le module mod_ibm_ldap, vous spécifiiez tous les libellés sur une ligne de directive ; cependant, pour le module mod_ldap, vous pouvez les spécifier tous sur une ligne de directive ou spécifier chaque libellé sur une ligne de directive distincte.
ldap.group.membreattributes=member uniqueMemberen :
AuthLDAPGroupAttribute member AuthLDAPGroupAttribute uniqueMember
ldap.group.name.filter
Le module mod_ldap ne contient pas de directive pour la spécification de filtres d'utilisateurs et de groupes séparés. Il utilise le filtre fourni à la fin de la directive AuthLDAPURL. Vous pouvez utiliser la directive de conteneur AuthnProviderAlias, fournie par le module mod_authn_alias, pour créer des alias my_ldap_user_alias et my_ldap_group_alias séparés contenant les directives ldap requises. Vous pouvez ensuite utiliser votre alias de groupe dans les emplacements où l'autorisation est contrôlée par l'appartenance du groupe.
ldap.group.name.filter=(&(cn=%v1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))
ldap.group.search.depth
Le module mod_ldap fournit la directive AuthLDAPMaxSubGroupDepth pour limiter la profondeur récursive suivie avant l'arrêt des tentatives de recherche d'un utilisateur au sein de groupes imbriqués.
ldap.group.search.depth=5en :
AuthLDAPMaxSubGroupDepth 5La valeur par défaut est 10.
ldap.group.URL
Le module mod_ldap ne contient pas de directive pour spécifier un serveur LDAP autorisant une appartenance à un groupe qui serait différent du serveur LDAP utilisé pour authentifier les utilisateurs.
Vous devez également spécifier le serveur de groupe LDAP dans la directive AuthLDAPURL pour le conteneur. Assurez-vous que vous spécifiez le filtre correct pour chaque groupe.
ldap.group.URL=ldap://groups_ldap.server.org:389/o=OurOrg,c=US ldap.group.URL=ldaps://groups_ldap.server.org:636/o=OurOrg,c=US
ldap.idleConnection.timeout
Le module mod_ldap ne contient pas de directive pour spécifier quand les connexions établies au serveur LDAP, qui sont en veille, doivent être en dépassement du délai d'attente. Le module mod_ldap détecte automatiquement quand le serveur LDAP met fin aux connexions mais ne provoque pas la fin de celles-ci.
ldap.idleConnection.timeout=60
ldap.key.file.password.stashfile
SI aucun mot de passe n'est spécifié dans la directive LDAPTrustedGlobalCert,le module mod_ldap utilise automatiquement un fichier /path/to/keyfile.sth (en supposant que /path/to/keyfile.kdb soit le fichier de clés spécifié dans la directive LDAPTrustedGlobalCert).
Pour plus d'informations sur la manière de spécifier le mot de passe du fichier de clés, consultez les informations Apache concernant la directive LDAPTrustedGlobalCert. La valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.
ldap.key.file.password.stashfile=/path/to/ldap.sth
ldap.key.fileName
Le module mod_ldap fournit la directive LDAPTrustedGlobalCert pour spécifier le fichier de clés à utiliser lors du chargement des certificats. Il utilise également ces directives pour spécifier le mot de passe en texte normal dans le fichier de configuration. Par conséquent, vous devez limiter l'accès au fichier de configuration.
ldap.key.filename=/path/to/keyfile.kdben :
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb monMotdepasseKDB
![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF saf_keyring
ldap.key.label
Le module mod_ldap fournit la directive LDAPTrustedClientCert pour spécifier quel certificat utiliser à partir du fichier de clés KDB. Si le certificat par défaut est utilisé, il n'est pas nécessaire de spécifier une valeur pour ces directives.
ldap.key.label=certname_from_kdben :
LDAPTrustedClientCert CMS_LABEL certname_from_kdb
ldap.ReferralHopLimit
Le module mod_ldap fournit la directive LDAPReferralHopLimit pour limiter le nombre de renvois à rechercher avant d'arrêter les tentatives de recherche d'un utilisateur dans une arborescence de répertoires distribuée.
ldapReferralHopLimit 5en :
LDAPReferralHopLimit 5La valeur par défaut est 5.
ldapReferrals
Le module mod_ldap fournit la directive LDAPReferrals pour activer ou désactiver la recherche de renvoi lors de la recherche d'utilisateurs dans une arborescence de répertoires distribuée.
ldapReferrals Onen :
LDAPReferrals OnLa valeur par défaut est On (activé).
ldap.realm
Le module mod_ldap fournit la directive AuthName pour spécifier le domaine d'autorisation.
ldap.realm=texte d'identificationen :
AuthName "texte d'identification"
ldap.search.timeout
Le module mod_ldap fournit la directive LDAPSearchTimeout pour spécifier quand une demande de recherche doit être abandonnée.
ldap.search.timeout=10to
LDAPSearchTimeout 10La valeur par défaut est de 10 secondes.
ldap.transport
Le module mod_ldap fournit la directive LDAPTrustedMode pour spécifier le type de transport par réseau à utiliser lors de la communication avec le serveur LDAP.
Si aucun port n'est indiqué pour la directive AuthLDAPURL, le module mod_ldap ignore la directive LDAPTrustedMode et spécifie la valeur de transport par réseau SSL. Pour plus d'informations, consultez la documentation Apache relative aux directives LDAPTrustedMode et AuthLDAPURL.
- Aucun (None) ou TCP, qui indique l'absence de chiffrement. Si aucun port n'est indiqué dans la directive AuthLDAPURL, le port 389 est utilisé.
- SSL. Si la valeur None est spécifiée, le port 636 est utilisé.
- TLS ou STARTTLS. Ces types de source ouverte ne sont pas pris en charge par IBM HTTP Server.
ldap.transport=TCP (ou SSL)en :
LDAPTrustedMode NONE (ou SSL)Si ldaps://URL est indiqué, le mode devient SSL et la définition de LDAPTrustedMode est ignorée.
ldap.URL
Le module mod_ldap fournit la directive AuthLDAPURL pour la spécification du nom d'hôte du serveur LDAP et du port, ainsi que du nom distinctif de base à utiliser lors de la connexion au serveur. Le module mod_ldap fournit également un moyen pour spécifier l'attribut de l'utilisateur, la portée, le filtre d'utilisateur et le mode de transport. Pour plus d'informations, consultez la documentation Apache relative aux directives AuthLDAPURL.
ldap.URL=ldap://our_ldap.server.org:389/o=OurOrg,c=US ldap.URL=ldaps://our_ldap.server.org:636/o=OurOrg,c=USen :
AuthLDAPURL ldap://our_ldap.server.org:389/o=OurOrg,c=US?cn?sub?(objectclass=person) AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
ldap.user.authType
Le module mod_ldap ne contient pas de directive pour la spécification d'un type d'authentification d'utilisateur. Le module mod_ldap authentifie les utilisateurs en fonction des justificatifs d'ID utilisateur et de mot de passe fournis.
ldap.user.authType=Basic [Basic | Cert | BasicIfNoCert]
ldap.user.cert.filter
Le module mod_ldap ne contient pas de directive pour filtrer les certificats client. Le module mod_ldap ne fonctionne pas directement avec des certificats client.
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)(ou=%v2)(o=%v3)(c=%v4))
ldap.user.name.fieldSep
Le module mod_ldap ne contient pas de directive pour analyser les justificatifs fournis et les transformer en sous-composants. Le module mod_ibm_ldap utilise la directive ldap.user.name.fieldSep pour spécifier les caractères de séparation utilisés dans l'analyse des justificatifs dans les jetons %v1, %v2, ...%vN.
ldap.user.name.fieldSep=/ ,
ldap.user.name.filter
Le module mod_ldap ne contient pas de directive pour la spécification du filtre de nom d'utilisateur. Le module mod_ldap spécifie le filtre de nom d'utilisateur dans le cadre de la directive AuthLDAPURL.
La directive AuthLDAPURL combine l'attribut de l'utilisateur spécifié dans la directive avec le filtre fourni pour créer le filtre de recherche. Le filtre fourni respecte la spécification de filtre de recherche standard. En outre, le module mod_ldap ne fournit pas la fonction d'analyse de jeton %vx disponible pour le module mod_ibm_ldap.
ldap.user.name.filter=(&(objectclass=person)(cn=%v1 %v2))
ldap.version
Le module mod_ldap ne contient pas de directive pour la spécification de la version LDAP. Le module mod_ldap n'utilise que LDAP version 3.
ldap.version=2 (ou 3)
ldap.waitToRetryConnection.interval
Le module mod_ldap ne contient pas de directive pour la spécification d'un délai avant une nouvelle tentative en cas d'échec de connexion. Le module mod_ldap n'a pas de délai de dépassement entre deux tentatives de connexion en cas d'échec de connexion. Une nouvelle tentative de connexion se produit automatiquement au maximum 10 fois avant l'échec d'une demande.
Lorsqu'une nouvelle demande doit être transmise au même serveur LDAP, 10 nouvelles tentatives de connexion au maximum se produisent. Le régulateur de nouvelle tentative est basé sur le volume de nouvelles demandes envoyées au serveur LDAP.
ldap.waitToRetryConnection.interval=300