Puede configurar LDAP (Lightweight Directory Access Protocol)
para autenticar y proteger archivos en IBM® HTTP
Server.
Antes de empezar
Procedimientos recomendados: Si utiliza el módulo
mod_ibm_ldap para la configuración LDAP, piense en migrar las
directivas de mod_ibm_ldap para utilizar el módulo mod_ldap. El módulo
mod_ibm_ldap se proporciona con este release de
IBM HTTP Server a efectos de
compatibilidad con releases anteriores; no obstante, debe migrar las
configuraciones existentes para que utilicen los módulos mod_authnz_ldap
y
mod_ldap para garantizar el soporte futuro de la configuración LDAP.
La directiva LoadModule para LDAP no se
carga en IBM HTTP Server por omisión. Sin la directiva LoadModule, las funciones de LDAP no están disponibles para utilizarlas.
Para habilitar la función LDAP, añada una directiva LoadModule al archivo de
IBM
HTTP Server
httpd.conf de la manera siguiente:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
Acerca de esta tarea
Los módulos Apache mod_ldap y mod_authnz_ldap proporcionan la
autenticación LDAP.
- El módulo mod_ldap proporciona la agrupación y colocación en memoria caché de conexiones LDAP.
- mod_authnz_ldap utiliza los servicios de agrupación y colocación en
antememoria de conexiones LDAP para proporcionar autenticación de clientes
web.
Consulte los sitios web siguientes para obtener
descripciones detalladas de las directivas LDAP (ldap_module y
authnz_ldap_module):
Procedimiento
- Edite el archivo de configuración
httpd.conf de
IBM
HTTP Server.
- Determine el recurso para el que desea
limitar el acceso. Por ejemplo: <Directory "/secure_info">
- Añada la
directiva LDAPTrustedGlobalCert
a httpd.conf si la conexión de IBM HTTP Server al servidor LDAP es una conexión SSL.
La directiva LDAPTrustedGlobalCert especifica la vía de acceso del
directorio y el nombre de archivo de la entidad emisora de certificados
(CA) de confianza que mod_ldap utiliza al establecer una conexión
SSL con un servidor LDAP.
Los certificados pueden almacenarse en un archivo
.kdb o un conjunto de claves SAF. Si se utiliza un archivo
.kdb, debe haber un archivo .sth en la misma
vía de acceso de directorio y tener el mismo nombre de archivo, pero la extensión debe ser
.sth en lugar de .kdb.
La directiva LDAPTrustedGlobalCert debe ser un tipo de
valor CMS_KEYFILE. Utilice este valor si los certificados indicados por la
directiva LDAPTrustedGlobalCert se almacenan en un archivo
.kdb.
La directiva LDAPTrustedGlobalCert debe ser un tipo de valor
SAF_KEYRING. Utilice este valor si los certificados indicados por
la directiva LDAPTrustedGlobalCert se almacenan en un conjunto de claves
SAF. Ejemplo cuando se almacena el certificado en un archivo .kdb:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /vía acceso/a/keyfile.kdb contraseñaKDB
Ejemplo cuando se almacena el certificado en un conjunto de claves SAF.![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF conjunto_claves_saf
Importante: El ID de usuario que se utiliza para
iniciar IBM
HTTP Server debe tener acceso al conjunto de claves SAF que se
indica en esta directiva. Si el ID de usuario no tiene acceso al conjunto de claves
SAF, falla la inicialización de SSL.
Consulte Realización de las configuraciones del sistema z/OS necesarias para obtener información sobre cómo
acceder a los conjuntos de claves SAF definidos en RACF.
- Añada la directiva AuthLDAPUrl, que especifica los parámetros de búsqueda de
LDAP que se deben utilizar.
La sintaxis del URL es:
ldap://host:port/basedn?attribute?scope?filter
- Añada directivas en httpd.conf a la ubicación de
directorio (contenedor) para que se proteja con valores específicos con el entorno como,
por ejemplo:
- Order deny, allow
- Allow from all
- AuthName Titulo del reino protegido
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL url_ldap_usuario
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword contraseña_aut
Además de autorizar a cualquier usuario presente en el
repositorio LDAP,
mod_authnz_ldap proporciona
Require ldap-user,
Require
ldap-group y
Require ldap-filter. Cuando se utilizan varias directivas
Require,
la autorización es satisfactoria si algunas directivas
Require, pero no todas, coinciden con el
usuario actual.
- Require ldap-user user1
Busca "user1" basándose en AuthLDAPURL y se asegura que su DN coincide con el
usuario autenticado
- Require ldap-group cn=group1,o=example,c=US
Busca el usuario autenticado actualmente en el grupo LDAP listado
- Require ldap-filter "|(someAttr=val1)(someVal=val2)"
Busca el usuario autenticado bajo el filtro LDAP proporcionado. Si
el filtro devuelve 1 resultado, la autorización pasa.
Para cada combinación de servidor LDAP, configuración de protección y
directiva de protección, codifique un contenedor de Ubicación similar al del ejemplo
siguiente:
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html