[AIX Solaris HP-UX Linux Windows]

将伪指令从 mod_ibm_ldap 转换到 mod_ldap

将使用 mod_ibm_ldap 模块的伪指令转换为使用 mod_ldap Apache 模块,以确保 IBM® HTTP Server 继续支持 LDAP 配置。

开始之前

确定要转换的伪指令。

完成以下步骤以转换伪指令。

过程

  1. 编辑 httpd.confldap.prop 配置文件中的 LoadModule 伪指令以移除 mod_ibm_ldap。
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. 将 mod_ldap LoadModule 伪指令添加到 httpd.conf 配置文件。
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. 转换下列其中一个或多个伪指令。 有关转换伪指令的更多信息,请参阅关于 mod_ibm_ldap 迁移的主题。
    注: 某些伪指令可能不存在一对一相关性。
    表 1. LDAP 配置伪指令转换
    mod_ibm_ldap mod_ldap
    ldapCodePageDir 无。无法将 codepages 目录从其安装位置移动。
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType 无。如果指定了 mod_ldap 伪指令 AuthLDAPBindDN,那么您将进行“基本”认证。如果未指定 AuthLDAPBindDN,那么您将进行的认证类型为“无”(匿名)。如果 mod_ldap 配置指定 LDAPTrustedClientCert 值,那么您将进行的认证类型为“证书”。
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile 无。mod_ldap 模块未提供使用隐藏密码的伪指令。
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter 无。mod_ldap 模块使用 AuthLDAPURL 伪指令末尾处提供的过滤器。
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout 无。mod_ldap 模块未提供用于连接超时的伪指令。
    ldap.key.file.password.stashfile 无。mod_ldap 模块未提供使用隐藏密码的伪指令。请在 LDAPTrustedGlobalCert 伪指令末尾处以明文形式指定密钥文件密码。或者,在 LDAPTrustedGlobalCert 伪指令中省略密码,mod_ldap 模块会自动查找 /path/to/keyfile.sth 文件,并假定 /path/to/keyfile.kdb 是 LDAPTrustedGlobalCert 伪指令的指定值。
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm 无。此伪指令的 mod_ibm_ldap 值仅用于日志记录目的。在 mod_ldap 中不需要同等伪指令。
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType 无。mod_ldap 模块根据提供的用户标识和密码凭证对用户进行认证。
    ldap.user.cert.filter 无。mod_ldap 模块不会直接使用客户机证书。授权伪指令使用 SSL 模块设置的环境值。
    ldap.user.name.fieldSep 无。mod_ldap 模块不支持对子组件中提供的凭证进行解析。
    ldap.user.name.filter 无。mod_ldap 模块将用户名过滤器指定为 AuthLDAPURL 伪指令的一部分。
    ldap.version 无。mod_ldap 模块仅使用 LDAP V3。
    ldap.waitToRetryConnection.interval 无。当连接尝试失败时,mod_ldap 模块不会在连接重试之间进行定时延迟。重试连接的最大次数为 10,然后请求将失败。
  4. 运行带有验证标志的 Apache 控件来验证该配置。
    <ihsinst>bin/apachectl -t
    注意: 此配置检查将确认语法正确,但是您必须使用伪指令的文档来验证该伪指令的任何配置更改,以确保这是最佳配置。
    注意: 所有使用过去曾可以选用的格式 ldap.*mod_ibm_ldap 伪指令都在不带 ldap 前缀的情况下显示在 LDAPConfigFile 配置文件中。

mod_ldap SSL 配置

下列配置伪指令显示了一个简单的支持 SSL 的 LDAP 配置。某些伪指令指定了缺省值,通常不需要指定这些伪指令,但保留了这些伪指令以提供上下文。虽然包括了这些伪指令,但是已用“##”符号将其注释掉。

##LDAPReferrals On
##LDAPReferralHopLimit 5

[AIX Solaris HP-UX Linux Windows]LDAPTrustedGlobalCert CMS_KEYFILE /full/path/to/ldap_client.kdb clientkdbPassword
#default cert in this kdb is my_cert1

[z/OS]# Alternatively, you can specify a SAF-based keyring, on systems that support it, as follows:
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

	# Ignored because LDAP URLs use ldaps:, where needed
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# This LDAPTrustedClientCert is required to use a different certificate
    # than the default
    LDAPTrustedClientCert CMS_LABEL my_cert2
		AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Private root access"
		require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

	<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		#Uses default cert (my_cert1)
		##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Employee of the month login"
 		require ldap-attribute description="Employee of the Month."
	</Directory>

	<Directory "/path/to/htdocs/development_groups">

		#These are the default values for the subgroup-related directives and only need to be 
		#specified when the LDAP structure differs.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # This LDAPTrustedClientCert is required to use a different certificate
		# than the default	 LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
			(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword
		AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
		require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_convertmodibmldap
文件名:tihs_convertmodibmldap.html