使用 mod_ldap 向 IBM HTTP Server 上的 LDAP 鑑別

您可以配置「輕量型目錄存取通訊協定 (LDAP)」,以鑑別及保護 IBM® HTTP Server 上的檔案。

開始之前

[AIX Solaris HP-UX Linux Windows]最佳作法: 如果您為 LDAP 配置使用 mod_ibm_ldap 模組,請考慮將 mod_ibm_ldap 指引移轉為使用 mod_ldap 模組。mod_ibm_ldap 模組隨附於此版本的 IBM HTTP Server,以與舊版相容,不過,您必須將現有的配置移轉為使用 mod_authnz_ldap 和 mod_ldap 模組,以確保未來能夠支援 LDAP 配置。

依預設,LDAP 的 LoadModule 指引不會載入 IBM HTTP Server 中。如果沒有 LoadModule 指引,則無法使用 LDAP 特性。

若要啟用 LDAP 功能,請將 LoadModule 指引新增至 IBM HTTP Server httpd.conf 檔案,如下所示:
LoadModule ldap_module modules/mod_ldap.soLoadModule authnz_ldap_module modules/mod_authnz_ldap.so

關於這項作業

LDAP 鑑別是由 mod_ldap 和 mod_authnz_ldap Apache 模組所提供。
  • mod_ldap 模組提供 LDAP 連線儲存區和快取。
  • mod_authnz_ldap 可利用 LDAP 連線儲存區和快取服務來提供 Web 用戶端鑑別。
如需 LDAP(ldap_module 和 authnz_ldap_module)指引的詳細說明,請參閱下列網站:

程序

  1. 編輯 httpd.conf IBM HTTP Server 配置檔。
  2. 決定您要限制存取的資源。 例如:<Directory "/secure_info">
  3. 如果 IBM HTTP Server 與 LDAP 伺服器的連線是 SSL 連線,則將 LDAPTrustedGlobalCert 指引新增至 httpd.conf

    LDAPTrustedGlobalCert 指引可指定在建立 SSL 連線至 LDAP 伺服器時,mod_ldap 所使用之授信憑證管理中心 (CA) 的目錄路徑和檔名。

    憑證可以儲存在 .kdb 檔案或 SAF 金鑰環中。如果是使用 .kdb 檔案,則 .sth 檔案必須位在相同的目錄路徑中,並且有相同的檔名,但副檔名必須是 .sth,而不是 .kdb

    [AIX Solaris HP-UX Linux Windows] LDAPTrustedGlobalCert 指引必須是 CMS_KEYFILE 值類型。如果 LDAPTrustedGlobalCert 指引指出的憑證是儲存在 .kdb 檔案中,請使用此值。

    [z/OS]LDAPTrustedGlobalCert 指引必須是 SAF_KEYRING 值類型。如果 LDAPTrustedGlobalCert 指引指出的憑證是儲存在 SAF 金鑰環中,請使用此值。當憑證儲存在 .kdb 檔案時的範例:

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
    當憑證儲存在 SAF 金鑰環時的範例:[z/OS]
    LDAPTrustedGlobalCert SAF saf_keyring
    重要: 您用來啟動 IBM HTTP Server 的使用者 ID 必須能夠存取您在此指引中指名的 SAF 金鑰環。如果使用者 ID 沒有 SAF 金鑰環的存取權,則 SSL 起始設定會失敗。
    如需有關存取 RACF® 中定義之 SAF 金鑰環的詳細資訊,請參閱執行必要的 z/OS 系統配置
  4. 新增 AuthLDAPUrl 指引,以指定所要使用的 LDAP 搜尋參數。
    URL 的語法為:
    ldap://host:port/basedn?attribute?scope?filter
  5. 將指引新增至 httpd.conf 中的目錄位置(儲存器),以您環境特定的值來加以保護,例如:
    • Order deny, allow
    • Allow from all
    • AuthName Title of your protected Realm
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    除了容許任何使用者存在於 LDAP 儲存庫,mod_authnz_ldap 還提供 Require ldap-userRequire ldap-groupRequire ldap-filter。當您使用多個 Require 指引時,如果任何(而非全部)Require 指引符合現行使用者,授權就會成功。
    • Require ldap-user user1

      根據 AuthLDAPURL 來查閱 "user1",並確定其 DN 符合已鑑別使用者的 DN

    • Require ldap-group cn=group1,o=example,c=US

      在列出的 LDAP 群組中搜尋目前已鑑別的使用者

    • Require ldap-filter "|(someAttr=val1)(someVal=val2)"

      在提供的 LDAP 過濾器下搜尋已鑑別的使用者。如果過濾器傳回 1 個結果,表示通過授權。

    針對 LDAP 伺服器、保護設定和保護指引的每一種組合,編寫類似下列範例的 Location 儲存區:
    <Location /ldapdir>
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_apacheldapcfg
檔名:tihs_apacheldapcfg.html