É possível configurar o Lightweight Directory Access
Protocol
(LDAP) para autenticar e proteger arquivos no IBM® HTTP
Server.
Antes de Iniciar
Boas Práticas: Se você estiver usando o módulo mod_ibm_ldap
para sua configuração LDAP, considere migrar suas diretivas mod_ibm_ldap
para usar o módulo mod_ldap. O módulo mod_ibm_ldap é fornecido com esta
liberação do IBM HTTP
Server para compatibilidade com as liberações anteriores, no entanto, você deve migrar
configurações existentes para usar os módulos mod_authnz_ldap e mod_ldap para
assegurar suporte futuro para sua configuração LDAP.
A
diretiva LoadModule para LDAP não é carregada no IBM HTTP Server por padrão. Sem a diretiva LoadModule, os recursos do LDAP não ficam disponíveis para
uso.
Para ativar a função LDAP, inclua uma diretiva LoadModule
no arquivo do IBM HTTP Server,
httpd.conf,
conforme a seguir:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
Sobre Esta Tarefa
A autenticação LDAP é fornecida pelos módulos Apache mod_ldap e
mod_authnz_ldap.
- O módulo mod_ldap fornece conjunto de conexões e armazenamento em cache LDAP.
- O mod_authnz_ldap usa o conjunto de conexões LDAP e
serviços de armazenamento em cache para fornecer autenticação de Web client.
Consulte
os Web sites a seguir para obter descrições detalhadas das diretivas
LDAP (ldap_module e authnz_ldap_module):
Procedimento
- Edite o arquivo de configuração httpd.conf do IBM HTTP Server.
- Determine o recurso para o qual deseja limitar o acesso. Por exemplo: <Directory "/secure_info">
- Inclua a diretiva LDAPTrustedGlobalCert em httpd.conf se a conexão do IBM HTTP
Server com o servidor LDAP for uma conexão SSL.
A diretiva LDAPTrustedGlobalCert
especifica o caminho do diretório e o nome do arquivo da autoridade de certificação
(CA) confiável que o mod_ldap usa ao estabelecer uma conexão SSL
com um servidor LDAP.
Os certificados podem ser armazenados em um arquivo
.kdb ou em um anel chave SAF. Se um arquivo .kdb for
utilizado, um arquivo .sth deverá estar localizado no mesmo caminho de diretório
e ter o mesmo nome de arquivo, mas a extensão deverá ser .sth em vez de .kdb.
A diretiva LDAPTrustedGlobalCert deve ser um tipo de valor
CMS_KEYFILE. Use este valor se os certificados indicados pela diretiva
LDAPTrustedGlobalCert forem armazenados em um arquivo .kdb.
A diretiva LDAPTrustedGlobalCert deve
ser um tipo de valor SAF_KEYRING. Use este valor se os certificados indicados
pela diretiva LDAPTrustedGlobalCert forem armazenados em um conjunto de chaves SAF. Exemplo de quando o certificado está armazenado em um arquivo .kdb:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
Exemplo de quando o certificado está armazenado em um anel de chave do SAF.![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF saf_keyring
Importante: O ID do usuário que você usa para iniciar o IBM HTTP
Server deve ter acesso ao conjunto de chaves SAF que você nomeia nesta
diretiva. Se o ID do usuário não tiver acesso ao anel de chave do SAF, a inicialização do SSL falhará.
Consulte Executando Configurações do Sistema z/OS Necessárias para obter informações sobre como acessar conjuntos de chaves SAF definidos
no RACF.
- Inclua a diretiva AuthLDAPUrl, que especifica os parâmetros de procura do LDAP a serem
utilizados.
A sintaxe da URL é:
ldap://host:port/basedn?attribute?scope?filter
- Inclua diretivas no httpd.conf para o local do diretório (contêiner) a ser protegido com valores específicos para seu ambiente, como, por exemplo:
- Order deny, allow
- Allow from all
- AuthName Title of your protected Realm
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL your_ldap_url
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword auth_password
Além de permitir qualquer usuário presente no repositório LDAP,
mod_authnz_ldap fornece
Require ldap-user,
Require ldap-group e
Require ldap-filter. Quando você usar várias diretivas
Require, a autorização será bem-sucedida se alguma, mas não toda, diretiva
Require corresponder ao usuário atual.
- Require ldap-user user1
Consulta "user1" com base em AuthLDAPURL e certifica-se de que seu DN corresponda ao DN do usuário autenticado
- Require ldap-group cn=group1,o=example,c=US
Procura o usuário atualmente autenticado no grupo LDAP listado
- Require ldap-filter "|(someAttr=val1)(someVal=val2)"
Procura o usuário autenticado sob o filtro LDAP fornecido. Se o filtro retornar um resultado, a autorização será aprovada.
Para cada combinação de servidor LDAP, configuração de proteção e diretiva de proteção, codifique um contêiner Local semelhante ao seguinte exemplo:
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html