[AIX Solaris HP-UX Linux Windows][z/OS]

Migration des directives mod_ibm_ldap

Cet article contient des informations sur la migration de directives existantes qui utilisent le module mod_ibm_ldap pour utiliser les modules LDAP source ouverte (mod_authnz_ldap et mod_ldap). La migration garantira la prise en charge future de votre configuration LDAP.

Avertissement : Bien qu'un grand nombre de directives mod_ibm_ldap se trouvent dans le fichier ldap.prop, l'ensemble des directives LDAP source ouverte se trouvent dans le fichier httpd.conf.

Les fonctions LDAP source ouverte sont fournies par deux modules. Les directives AuthLDAP sont fournies par le module mod_authnz_ldap et les directives LDAP par le module mod_ldap. Ces deux modules doivent être chargés pour que les fonctions LDAP soient disponibles. Dans la section suivante, le nom générique mod_ldap est utilisé pour désigner les modules LDAP source ouverte.

ldapCodePageDir

Le module mod_ldap ne contient pas de directive pour la spécification d'un répertoire de pages de code. Le répertoire de pages de code est installé automatiquement dans le répertoire correct et ne peut pas être retiré de son emplacement d'installation.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldapCodePageDir /location/of/codepages

LDAPConfigfile

Le module mod_ldap ne contient pas de directive pour la spécification d'un fichier de configuration LDAP. Bien qu'il n'existe pas de directive mod_ldap pour la spécification du fichier de configuration LDAP, si vous souhaitez placer votre configuration LDAP dans un fichier distinct, vous pouvez utiliser la directive Apache include.

Convertissez :
ldapConfigFile ldap.prop
en :
Include /location/of/ldap_conf/apache_ldap.conf

Une autre méthode pour migrer la directive mod_ibm_ldap LDAPConfigfile consiste à utiliser le conteneur AuthnProviderAlias du module mod_authn_alias pour créer un ou plusieurs groupes de directives ldap, puis à les utiliser en référençant les libellés d'alias lorsque cela est nécessaire.

LdapRequire

Le module mod_ldap fournit la directive require, avec des extensions LDAP, pour la sécurité d'authentification LDAP.

Si vous avez utilisé require valid-user précédemment pour IBM HTTP Server, vous pouvez laisser cette directive require en place sans modification. Pour obtenir le niveau le plus élevé de sécurité d'authentification LDAP, vous devez faire migrer require valid-user vers un format plus spécifique. Pour plus d'informations, consultez la documentation Apache sur ces directives require : ldap-user, ldap-dn, ldap-attribute, ldap-group, ldap-filter et valid-user.

Convertissez :
LdapRequire filter "(&(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg))" 
LdapRequire group MyDepartment
en :
require ldap-filter &(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg)
require ldap-group cn=MyDepartment,o=OurOrg,c=US

ldap.application.authType

Le module mod_ldap ne contient pas de directive pour la spécification d'un type d'authentification. Si une valeur est spécifiée pour la directive AuthLDAPBindDN, l'authentification de base est activée. Si aucune valeur n'est spécifiée pour la directive AuthLDAPBindDN, l'ancien type d'authentification None pour le module mod_ibm_ldap, ou anonyme, est activé.

Si une valeur est spécifiée pour la directive LDAPTrustedClientCert, le type d'authentification de certificat est utilisé automatiquement.
ldap.application.authType=[None | Basic | Cert]

ldap.application.DN

Le module mod_ldap fournit la directive AuthLDAPBindDN pour déterminer le type d'authentification de l'application.

Si une valeur est spécifiée pour la directive AuthLDAPBindDN, la valeur de la directive authType est Basic. Si la directive AuthLDAPBindDN n'est pas activée, la valeur de la directive authType est None. Si une valeur est spécifiée pour la directive LDAPTrustedClientCert, la valeur de la directive authType est Cert.

Important : AuthLDAPBindDN pend également la place de ldap.application.authType.
Convertissez :
ldap.application.DN=cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US
en :
AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"

ldap.application.password

Le module mod_ldap fournit la directive AuthLDAPBindPassword pour spécifier un mot de passe de liaison. La valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.

Convertissez :
ldap.application.password=mypassword
en :
AuthLDAPBindPassword mypassword

ldap.application.password.stashFile

Le module mod_ldap ne contient pas de directive pour stocker le mot de passe. La directive AuthLDAPBindPassword est la seule méthode pour spécifier un mot de passe et la valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.application.password.stashfile=/path/to/stashfile.sth

ldap.cache.timeout

Le module mod_ldap fournit la directive LDAPCacheTTL afin de spécifier un dépassement du délai d'attente pour le cache LDAP. La directive LDAPCacheTTL a une portée globale et doit être située au niveau le plus élevé du fichier de configuration. Ce système est différent du module mod_ibm_ldap car la directive ldap.cache.timeout pouvait se situer n'importe où dans le fichier de configuration.

Convertissez :
ldap.cache.timeout=60
en :
LDAPCacheTTL 60
La valeur par défaut est 600 secondes.

ldap.group.dnattributes

Le module mod_ldap fournit la directive AuthLDAPSubGroupClass pour spécifier les classes d'objets qui identifient les groupes. Pour le module mod_ibm_ldap, toutes les valeurs ont été spécifiées sur une ligne de directive unique ; cependant, pour le module mod_ldap, les valeurs peuvent être toutes spécifiées sur une ligne ou sur plusieurs lignes, avec la directive et une valeur sur chaque ligne.

Convertissez :
ldap.group.dnattributes=groupOfNames GroupOfUniqueNames
en :
AuthLDAPSubGroupClass groupOfNames
AuthLDAPSubGroupClass groupOfUniqueNames
Il s'agit des valeurs par défaut.

ldap.group.memberattribute

Le module mod_ldap fournit la directive AuthLDAPSubGroupAttribute pour spécifier les libellés qui identifient les membres du sous-groupe du groupe actuel. Pour le module mod_ibm_ldap, vous ne pouviez spécifier qu'un libellé ; cependant, pour le module mod_ldap, vous pouvez spécifier plusieurs libellés en les répertoriant tous sur une ligne de directive ou en fournissant plusieurs lignes de directive, avec chaque libellé sur une ligne de directive distincte.

Convertissez :
ldap.group.memberattribute=member
en :
AuthLDAPSubGroupAttribute member
AuthLDAPSubGroupAttribute uniqueMember

ldap.group.memberattributes

Le module mod_ldap fournit la directive AuthLDAPGroupAttribute pour spécifier les libellés qui identifient les membres du groupe actuel, tels qu'un utilisateur ou un sous-groupe. Pour le module mod_ibm_ldap, vous spécifiiez tous les libellés sur une ligne de directive ; cependant, pour le module mod_ldap, vous pouvez les spécifier tous sur une ligne de directive ou spécifier chaque libellé sur une ligne de directive distincte.

Convertissez :
ldap.group.membreattributes=member uniqueMember
en :
AuthLDAPGroupAttribute member
AuthLDAPGroupAttribute uniqueMember

ldap.group.name.filter

Le module mod_ldap ne contient pas de directive pour la spécification de filtres d'utilisateurs et de groupes séparés. Il utilise le filtre fourni à la fin de la directive AuthLDAPURL. Vous pouvez utiliser la directive de conteneur AuthnProviderAlias, fournie par le module mod_authn_alias, pour créer des alias my_ldap_user_alias et my_ldap_group_alias séparés contenant les directives ldap requises. Vous pouvez ensuite utiliser votre alias de groupe dans les emplacements où l'autorisation est contrôlée par l'appartenance du groupe.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.group.name.filter=(&(cn=%v1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))

ldap.group.search.depth

Le module mod_ldap fournit la directive AuthLDAPMaxSubGroupDepth pour limiter la profondeur récursive suivie avant l'arrêt des tentatives de recherche d'un utilisateur au sein de groupes imbriqués.

Convertissez :
ldap.group.search.depth=5
en :
AuthLDAPMaxSubGroupDepth 5
La valeur par défaut est 10.

ldap.group.URL

Le module mod_ldap ne contient pas de directive pour spécifier un serveur LDAP autorisant une appartenance à un groupe qui serait différent du serveur LDAP utilisé pour authentifier les utilisateurs.

Vous devez également spécifier le serveur de groupe LDAP dans la directive AuthLDAPURL pour le conteneur. Assurez-vous que vous spécifiez le filtre correct pour chaque groupe.

ldap.group.URL=ldap://groups_ldap.server.org:389/o=OurOrg,c=US
ldap.group.URL=ldaps://groups_ldap.server.org:636/o=OurOrg,c=US

ldap.idleConnection.timeout

Le module mod_ldap ne contient pas de directive pour spécifier quand les connexions établies au serveur LDAP, qui sont en veille, doivent être en dépassement du délai d'attente. Le module mod_ldap détecte automatiquement quand le serveur LDAP met fin aux connexions mais ne provoque pas la fin de celles-ci.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.idleConnection.timeout=60

ldap.key.file.password.stashfile

SI aucun mot de passe n'est spécifié dans la directive LDAPTrustedGlobalCert,le module mod_ldap utilise automatiquement un fichier /path/to/keyfile.sth (en supposant que /path/to/keyfile.kdb soit le fichier de clés spécifié dans la directive LDAPTrustedGlobalCert).

Pour plus d'informations sur la manière de spécifier le mot de passe du fichier de clés, consultez les informations Apache concernant la directive LDAPTrustedGlobalCert. La valeur est stockée dans le fichier de configuration en texte normal. Par conséquent, vous devez limiter l'accès au fichier de configuration.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.key.file.password.stashfile=/path/to/ldap.sth

ldap.key.fileName

Le module mod_ldap fournit la directive LDAPTrustedGlobalCert pour spécifier le fichier de clés à utiliser lors du chargement des certificats. Il utilise également ces directives pour spécifier le mot de passe en texte normal dans le fichier de configuration. Par conséquent, vous devez limiter l'accès au fichier de configuration.

Convertissez :
ldap.key.filename=/path/to/keyfile.kdb
en : [AIX Solaris HP-UX Linux Windows]
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb monMotdepasseKDB
[z/OS]
LDAPTrustedGlobalCert SAF saf_keyring 

ldap.key.label

Le module mod_ldap fournit la directive LDAPTrustedClientCert pour spécifier quel certificat utiliser à partir du fichier de clés KDB. Si le certificat par défaut est utilisé, il n'est pas nécessaire de spécifier une valeur pour ces directives.

Convertissez :
ldap.key.label=certname_from_kdb
en :
LDAPTrustedClientCert CMS_LABEL certname_from_kdb

ldap.ReferralHopLimit

Le module mod_ldap fournit la directive LDAPReferralHopLimit pour limiter le nombre de renvois à rechercher avant d'arrêter les tentatives de recherche d'un utilisateur dans une arborescence de répertoires distribuée.

Convertissez :
ldapReferralHopLimit 5
en :
LDAPReferralHopLimit 5
La valeur par défaut est 5.

ldapReferrals

Le module mod_ldap fournit la directive LDAPReferrals pour activer ou désactiver la recherche de renvoi lors de la recherche d'utilisateurs dans une arborescence de répertoires distribuée.

Convertissez :
ldapReferrals On
en :
LDAPReferrals On
La valeur par défaut est On (activé).

ldap.realm

Le module mod_ldap fournit la directive AuthName pour spécifier le domaine d'autorisation.

Convertissez :
ldap.realm=texte d'identification
en :
AuthName "texte d'identification"

ldap.search.timeout

Le module mod_ldap fournit la directive LDAPSearchTimeout pour spécifier quand une demande de recherche doit être abandonnée.

Convertissez :
ldap.search.timeout=10
to
LDAPSearchTimeout 10
La valeur par défaut est de 10 secondes.

ldap.transport

Le module mod_ldap fournit la directive LDAPTrustedMode pour spécifier le type de transport par réseau à utiliser lors de la communication avec le serveur LDAP.

Si aucun port n'est indiqué pour la directive AuthLDAPURL, le module mod_ldap ignore la directive LDAPTrustedMode et spécifie la valeur de transport par réseau SSL. Pour plus d'informations, consultez la documentation Apache relative aux directives LDAPTrustedMode et AuthLDAPURL.

Vous pouvez spécifier une valeur pour les types de transport par réseau suivants.
  • Aucun (None) ou TCP, qui indique l'absence de chiffrement. Si aucun port n'est indiqué dans la directive AuthLDAPURL, le port 389 est utilisé.
  • SSL. Si la valeur None est spécifiée, le port 636 est utilisé.
  • TLS ou STARTTLS. Ces types de source ouverte ne sont pas pris en charge par IBM HTTP Server.
Convertissez :
ldap.transport=TCP (ou SSL)
en :
LDAPTrustedMode NONE (ou SSL)
Si ldaps://URL est indiqué, le mode devient SSL et la définition de LDAPTrustedMode est ignorée.

ldap.URL

Le module mod_ldap fournit la directive AuthLDAPURL pour la spécification du nom d'hôte du serveur LDAP et du port, ainsi que du nom distinctif de base à utiliser lors de la connexion au serveur. Le module mod_ldap fournit également un moyen pour spécifier l'attribut de l'utilisateur, la portée, le filtre d'utilisateur et le mode de transport. Pour plus d'informations, consultez la documentation Apache relative aux directives AuthLDAPURL.

Convertissez :
ldap.URL=ldap://our_ldap.server.org:389/o=OurOrg,c=US
ldap.URL=ldaps://our_ldap.server.org:636/o=OurOrg,c=US
en :
AuthLDAPURL ldap://our_ldap.server.org:389/o=OurOrg,c=US?cn?sub?(objectclass=person)
AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)

ldap.user.authType

Le module mod_ldap ne contient pas de directive pour la spécification d'un type d'authentification d'utilisateur. Le module mod_ldap authentifie les utilisateurs en fonction des justificatifs d'ID utilisateur et de mot de passe fournis.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.user.authType=Basic  [Basic | Cert | BasicIfNoCert]

ldap.user.cert.filter

Le module mod_ldap ne contient pas de directive pour filtrer les certificats client. Le module mod_ldap ne fonctionne pas directement avec des certificats client.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)(ou=%v2)(o=%v3)(c=%v4))

ldap.user.name.fieldSep

Le module mod_ldap ne contient pas de directive pour analyser les justificatifs fournis et les transformer en sous-composants. Le module mod_ibm_ldap utilise la directive ldap.user.name.fieldSep pour spécifier les caractères de séparation utilisés dans l'analyse des justificatifs dans les jetons %v1, %v2, ...%vN.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.user.name.fieldSep=/ ,

ldap.user.name.filter

Le module mod_ldap ne contient pas de directive pour la spécification du filtre de nom d'utilisateur. Le module mod_ldap spécifie le filtre de nom d'utilisateur dans le cadre de la directive AuthLDAPURL.

La directive AuthLDAPURL combine l'attribut de l'utilisateur spécifié dans la directive avec le filtre fourni pour créer le filtre de recherche. Le filtre fourni respecte la spécification de filtre de recherche standard. En outre, le module mod_ldap ne fournit pas la fonction d'analyse de jeton %vx disponible pour le module mod_ibm_ldap.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.user.name.filter=(&(objectclass=person)(cn=%v1 %v2))

ldap.version

Le module mod_ldap ne contient pas de directive pour la spécification de la version LDAP. Le module mod_ldap n'utilise que LDAP version 3.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.version=2  (ou 3)

ldap.waitToRetryConnection.interval

Le module mod_ldap ne contient pas de directive pour la spécification d'un délai avant une nouvelle tentative en cas d'échec de connexion. Le module mod_ldap n'a pas de délai de dépassement entre deux tentatives de connexion en cas d'échec de connexion. Une nouvelle tentative de connexion se produit automatiquement au maximum 10 fois avant l'échec d'une demande.

Lorsqu'une nouvelle demande doit être transmise au même serveur LDAP, 10 nouvelles tentatives de connexion au maximum se produisent. Le régulateur de nouvelle tentative est basé sur le volume de nouvelles demandes envoyées au serveur LDAP.

Cette directive mod_ibm_ldap n'a pas d'équivalent mod_ldap :
ldap.waitToRetryConnection.interval=300

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_convertmodibmldapdirs
Nom du fichier : rihs_convertmodibmldapdirs.html