[AIX Solaris HP-UX Linux Windows]

將您的指引從 mod_ibm_ldap 轉換成 mod_ldap

將使用 mod_ibm_ldap 模組的指引,轉換成使用 mod_ldap Apache 模組的指引,以確保 IBM® HTTP Server 能夠繼續支援您的 LDAP 配置。

開始之前

決定要轉換哪些指引。

請完成下列步驟來轉換您的指引。

程序

  1. 編輯 httpd.confldap.prop 配置檔中的 LoadModule 指引,以移除 mod_ibm_ldap。
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. 將 mod_ldap LoadModule 指引新增至 httpd.conf 配置檔。
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. 轉換下列一或多個指引。 如需轉換指引的相關資訊,請參閱有關 mod_ibm_ldap 移轉的主題。
    註: 某些指引可能不允許一對一的相關性。
    表 1. LDAP 配置指引轉換
    mod_ibm_ldap mod_ldap
    ldapCodePageDir 無。字碼頁目錄不能從其安裝位置移動。
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType 無。如果指定 mod_ldap 指引 AuthLDAPBindDN,則您會取得 Basic 鑑別。如果未指定 AuthLDAPBindDN,則會取得曾是 None 鑑別類型(匿名)的鑑別。如果 mod_ldap 配置指定 LDAPTrustedClientCert 值,則您會取得 Cert 鑑別類型。
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile 無。mod_ldap 模組沒有提供用來使用隱藏密碼的指引。
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter 無。mod_ldap 模組使用在 AuthLDAPURL 指引結尾提供的過濾器。
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout 無。mod_ldap 模組沒有提供用於連線逾時值的指引。
    ldap.key.file.password.stashfile 無。mod_ldap 模組沒有提供用來使用隱藏密碼的指引。請在 LDAPTrustedGlobalCert 指引結尾,以明碼指定金鑰檔密碼。或者,在 LDAPTrustedGlobalCert 指引上省略密碼,讓 mod_ldap 模組自動尋找 /path/to/keyfile.sth 檔案,假設 /path/to/keyfile.kdb 為 LDAPTrustedGlobalCert 指引的指定值。
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm 無。此指引的 mod_ibm_ldap 值僅供記載之用。mod_ldap 中不需要對等的指引。
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType 無。mod_ldap 模組會依據所提供的使用者 ID 和密碼認證來鑑別使用者。
    ldap.user.cert.filter 無。mod_ldap 模組不能直接與用戶端憑證搭配使用。授權指引會使用 SSL 模組設定的環境值。
    ldap.user.name.fieldSep 無。mod_ldap 模組不支援將所提供的認證剖析成子元件。
    ldap.user.name.filter 無。mod_ldap 模組會將使用者名稱過濾器指定在 AuthLDAPURL 指引中。
    ldap.version 無。mod_ldap 模組只使用 LDAP 第 3 版。
    ldap.waitToRetryConnection.interval 無。mod_ldap 模組沒有在連線嘗試失敗時,重試連線的延遲間隔時間。最多會重試連線 10 次,之後要求即失敗。
  4. 將 Apache 控制項搭配驗證旗標來執行,以驗證配置。
    <ihsinst>bin/apachectl -t
    小心: 這項配置檢查會確認語法是否正確,但您必須使用指引的說明文件來驗證該指引是否有任何配置變更,以確保最佳配置。
    小心: 使用 ldap.* 格式的所有 mod_ibm_ldap 指引以前會選擇性地顯示在 LDAPConfigFile 配置檔中,而沒有 ldap 字首。

mod_ldap SSL 配置

下列配置指引顯示啟用 SSL 的 LDAP 配置範例。有些指引會指定預設值,而且通常不需要指定,但會保留下來,以提供環境定義。那些指引包含在範例中,但沒有以 '##" 符號註銷。

##LDAPReferrals On
##LDAPReferralHopLimit 5

[AIX Solaris HP-UX Linux Windows]LDAPTrustedGlobalCert CMS_KEYFILE /full/path/to/ldap_client.kdb clientkdbPassword
#default cert in this kdb is my_cert1

[z/OS]# Alternatively, you can specify a SAF-based keyring, on systems that support it, as follows:
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

	# Ignored because LDAP URLs use ldaps:, where needed
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# This LDAPTrustedClientCert is required to use a different certificate
    # than the default
    LDAPTrustedClientCert CMS_LABEL my_cert2
		AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Private root access"
		require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

	<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		#Uses default cert (my_cert1)
		##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Employee of the month login"
 		require ldap-attribute description="Employee of the Month."
	</Directory>

	<Directory "/path/to/htdocs/development_groups">

		#These are the default values for the subgroup-related directives and only need to be 
		#specified when the LDAP structure differs.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # This LDAPTrustedClientCert is required to use a different certificate
		# than the default	 LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
			(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword
		AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
		require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_convertmodibmldap
檔名:tihs_convertmodibmldap.html