![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Anweisungen des Moduls "mod_ibm_ldap" migrieren
Dieser Artikel enthält Informationen zur Migration von vorhandenen Anweisungen, die das Modul "mod_ibm_ldap" verwenden, auf die Verwendung der Open-Source-LDAP-Module ("mod_authnz_ldap" und "mod_ldap"). Durch die Migration wird die künftige Unterstützung Ihrer LDAP-Konfiguration gesichert.
Die Open-Source-LDAP-Features werden von zwei Modulen bereitgestellt. Die AuthLDAP-Anweisungen werden vom Modul "mod_authnz_ldap" und die LDAP-Anweisungen vom Modul "mod_ldap" bereitgestellt. Beide Module müssen geladen werden, damit die LDAP-Features verfügbar sind. Im gesamten folgenden Abschnitt wird der generische Name "mod_ldap" verwendet, um auf die Open-Source-LDAP-Module zu verweisen.
ldapCodePageDir
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Verzeichnisses "codepages". Das Verzeichnis "codepages" wird automatisch im richtigen Verzeichnis installiert, und das Verzeichnis "codepages" kann nicht von seiner Installationsposition verschoben werden.
ldapCodePageDir /location/of/codepages
LDAPConfigfile
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe einer LDAP-Konfigurationsdatei. Obwohl es in "mod_ldap" keine Anweisung für die Angabe der LDAP-Konfigurationsdatei gibt, können Sie die Apache-Anweisung "include" verwenden, wenn Sie Ihre LDAP-Konfiguration in eine gesonderte Datei kopieren möchten.
ldapConfigFile ldap.propin
Include /location/of/ldap_conf/apache_ldap.conf
Eine andere Alternative für die Migration der Anweisung "LDAPConfigfile" des Moduls "mod_ibm_ldap" ist die Verwendung des Containers "AuthnProviderAlias" des Moduls "mod_authn_alias". Damit können Sie eine oder mehrere Gruppierungen von LDAP-Anweisungen erstellen und diese verwenden, indem Sie bei Bedarf ihre Aliaskennsätze referenzieren.
LdapRequire
Das Modul "mod_ldap" enthält die Anweisung "require" mit LDAP-Erweiterungen für die LDAP-Authentifizierungssicherheit.
Wenn Sie bisher "require valid-user" für IBM HTTP Server verwendet haben, können Sie diese Anweisung unverändert übernehmen. Um die höchste Stufe der LDAP-Authentifizierungssicherheit zu erreichen, müssen Sie "require valid-user" jedoch nähere spezifizieren. Weitere Informationen finden Sie in der Apache-Dokumentation zu den folgenden require-Anweisungen: ldap-user, ldap-dn, ldap-attribute, ldap-group, ldap-filter und valid-user.
LdapRequire filter "(&(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg))" LdapRequire group MyDepartmentin
require ldap-filter &(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg) require ldap-group cn=MyDepartment,o=OurOrg,c=US
ldap.application.authType
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Authentifizierungstyps. Wenn ein Wert für die Anweisung "AuthLDAPBindDN" angegeben ist, ist die Basisauthentifizierung aktiviert. Ist kein Wert für die Anweisung "AuthLDAPBindDN" angegeben, wird der Authentifizierungstyp, der zuvor der Einstellung "None" für den Authentifizierungstyp bzw. "anonymous" im Modul "mod_ibm_ldap" entsprach, aktiviert.
ldap.application.authType=[None | Basic | Cert]
ldap.application.DN
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPBindDN", mit der Sie den Authentifizierungstyp für die Anwendung bestimmen können.
Wenn ein Wert für die Anweisung "AuthLDAPBindDN" angegeben ist, hat die Anweisung "authType" den Wert Basic. Wenn die Anweisung "AuthLDAPBindDN" nicht aktiviert ist, hat die Anweisung "authType" den Typ None. Wenn ein Wert für die Anweisung "LDAPTrustedClientCert" angegeben ist, hat die Anweisung "authType" den Wert Cert.
ldap.application.DN=cn=ldapadm,ou=OurDirectory,o=OurCompany,c=USin
AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
ldap.application.password
Das Modul "mod_ldap" stellt die Anweisung "AuthLDAPBindPassword" für die Angabe eines Kennworts für Bindung bereit. Der Wert wird in Klartext in der Konfigurationsdatei gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.
ldap.application.password=mypasswordin
AuthLDAPBindPassword mypassword
ldap.application.password.stashFile
Das Modul "mod_ldap" enthält keine Anweisung für die verdeckte Speicherung des Kennworts. Die Anweisung "AuthLDAPBindPassword" ist die einzige Methode zum Speichern eines Kennworts, und der Wert wird in der Konfigurationsdatei in Klartext gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.
ldap.application.password.stashfile=/Pfad/zur/stashfile.sth
ldap.cache.timeout
Das Modul "mod_ldap" stellt die Anweisung "LDAPCacheTTL" für die Angabe eines Zeitlimits für den LDAP-Cache bereit. Die Anweisung "LDAPCacheTTL" gilt global und muss sich auf der höchsten Ebene der Konfigurationsdatei befinden. Dies ist anders als beim Modul "mod_ibm_ldap", wo die Anweisung "ldap.cache.timeout" an beliebiger Stelle in der Konfigurationsdatei angegeben werden kann.
ldap.cache.timeout=60in
LDAPCacheTTL 60Der Standardwert ist 600 Sekunden.
ldap.group.dnattributes
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPSubGroupClass", mit der Sie Objektklassen angeben können, die Gruppen identifizieren. Beim Modul "mod_ibm_ldap" werden alle Werte in einer einzigen Anweisungszeile angegeben. Beim Modul "mod_ldap" können die Werte in einer einzigen Zeile angegeben oder auf mehrere Zeilen mit jeweils der Anweisung und einem Wert in einer Zeile verteilt werden.
ldap.group.dnattributes=groupOfNames GroupOfUniqueNamesin
AuthLDAPSubGroupClass groupOfNames AuthLDAPSubGroupClass groupOfUniqueNamesDies sind die Standardwerte.
ldap.group.memberattribute
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPSubGroupAttribute", mit der Sie die Kennsätze angeben können, die die Untergruppenmember der aktuellen Gruppe identifizieren. Beim Modul "mod_ibm_ldap" kann nur ein einziger Kennsatz angegeben werden. Beim Modul "mod_ldap" können Sie jedoch mehrere Kennsätze angeben, die Sie entweder alle in einer einzigen Anweisungszeile auflisten oder auf mehrere Anweisungszeilen verteilen, mit jeweils einem Kennsatz in jeder Anweisungszeile.
ldap.group.memberattribute=memberin
AuthLDAPSubGroupAttribute member AuthLDAPSubGroupAttribute uniqueMember
ldap.group.memberattributes
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPGroupAttribute", mit der Sie die Kennsätze angeben können, die ein Member der aktuellen Gruppe, z. B. einen Benutzer oder eine Untergruppe, identifizieren. Beim Modul "mod_ibm_ldap" geben Sie alle Kennsätze in einer einzigen Anweisungszeile an. Beim Modul "mod_ldap" können Sie die Kennsätze jedoch alle in einer einzigen Anweisungszeile oder jeden Kennsatz in einer separaten Anweisungszeile angeben.
ldap.group.membreattributes=member uniqueMemberin
AuthLDAPGroupAttribute member AuthLDAPGroupAttribute uniqueMember
ldap.group.name.filter
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe gesonderter Benutzer- und Gruppenfilter. Das Modul "mod_ldap" verwendet den am Ende der Anweisung "AuthLDAPURL" angegebenen Filter. Sie können die Containeranweisung "AuthnProviderAlias" verwenden, die im Modul "mod_authn_alias" bereitgestellt wird, um separate Aliasnamen "my_ldap_user_alias" und "my_ldap_group_alias" zu erstellen, die jeweils die erforderlichen LDAP-Anweisungen enthalten. Anschließend können Sie Ihren Gruppenalias an den Stellen verwenden, an denen die Berechtigung über Gruppenzugehörigkeit gesteuert wird.
ldap.group.name.filter=(&(cn=%v1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))
ldap.group.search.depth
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPMaxSubGroupDepth", mit der Sie die rekursive Verschachtelungstiefe festlegen können, bei der Versuche, einen Benutzer in verschachtelten Gruppen zu finden, eingestellt werden.
ldap.group.search.depth=5in
AuthLDAPMaxSubGroupDepth 5Der Standardwert ist 10.
ldap.group.URL
Das Modul "mod_ldap" stellt keine Anweisung bereit, um für die Berechtigung einer Gruppenzugehörigkeit einen anderen LDAP-Server anzugeben als den LDAP-Server, der für die Berechtigung der Benutzer verwendet wird.
Außerdem müssen Sie mit der Anweisung "AuthLDAPURL" den LDAP-Gruppenserver für den Container angeben. Stellen Sie sicher, dass Sie den richtigen Filter für jede Gruppe angeben.
ldap.group.URL=ldap://groups_ldap.server.org:389/o=OurOrg,c=US ldap.group.URL=ldaps://groups_ldap.server.org:636/o=OurOrg,c=US
ldap.idleConnection.timeout
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Zeitlimits für aufgebaute Verbindungen zum LDAP-Server, die inaktiv werden. Das Modul "mod_ldap" erkennt automatisch, wenn der LDAP-Server Verbindungen verfallen lässt, bewirkt aber selbst nicht, dass Verbindungen verfallen.
ldap.idleConnection.timeout=60
ldap.key.file.password.stashfile
Wenn kein Kennwort in der Anweisung "LDAPTrustedGlobalCert" angegeben wird, verwendet das Modul "mod_ldap" automatisch eine Datei "/Pfad/zur/keyfile.sth" (/Pfad/zur/keyfile.kdb gibt die Schlüsseldatei an, die in der Anweisung "LDAPTrustedGlobalCert" angegeben wurde).
Informationen zur Angabe des Kennworts für die Schlüsseldatei finden Sie in der Apache-Dokumentation zur Anweisung "LDAPTrustedGlobalCert". Der Wert wird in Klartext in der Konfigurationsdatei gespeichert. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.
ldap.key.file.password.stashfile=/Pfad/zu/ldap.sth
ldap.key.fileName
Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedGlobalCert", mit der Sie die beim Laden von Zertifikaten zu verwendende Schlüsseldatei angeben können. Das Modul "mod_ldap" verwendet diese Anweisungen auch, um das Kennwort in Klartext in der Konfigurationsdatei anzugeben. Deshalb müssen Sie den Zugriff auf die Konfigurationsdatei einschränken.
ldap.key.filename=/Pfad/zu/keyfile.kdbin
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /Pfad/zu/keyfile.kdb myKDBpassword
![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF saf_keyring
ldap.key.label
Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedClientCert", mit der Sie das aus der KDB-Schlüsseldatei zu verwendende Zertifikat angeben können. Wenn das Standardzertifikat verwendet wird, müssen Sie keinen Wert für diese Anweisungen angeben.
ldap.key.label=certname_from_kdbin
LDAPTrustedClientCert CMS_LABEL certname_from_kdb
ldap.ReferralHopLimit
Das Modul "mod_ldap" enthält die Anweisung "LDAPReferralHopLimit", Das Modul "mod_ldap" enthält die Anweisung "LDAPReferralHopLimit", mit der Sie die Anzahl der Verweise beschränken können, nach deren Verfolgung die Versuche, einen Benutzer in einer verteilten Verzeichnisstruktur zu finden, eingestellt werden.
ldapReferralHopLimit 5in
LDAPReferralHopLimit 5Der Standardwert ist 5.
ldapReferrals
Das Modul "mod_ldap" enthält die Anweisung "LDAPReferrals", mit der Sie die Verfolgung von Verweisen beim Suchen von Benutzern in einer verteilten Verzeichnisstruktur aktivieren oder inaktivieren können.
ldapReferrals Onin
LDAPReferrals OnDer Standardwert ist On.
ldap.realm
Das Modul "mod_ldap" enthält die Anweisung "AuthName", mit der Sie den Berechtigungsrealm angeben können.
ldap.realm=Text zur Identifikationin
AuthName "Text zur Identifikation"
ldap.search.timeout
Das Modul "mod_ldap" enthält die Anweisung "LDAPSearchTimeout", mit der Sie angeben können, wann eine Suchanforderung aufgegeben werden soll.
ldap.search.timeout=10in
LDAPSearchTimeout 10Der Standardwert ist 10 Sekunden.
ldap.transport
Das Modul "mod_ldap" enthält die Anweisung "LDAPTrustedMode", mit der Sie den Typ des Netztransports angeben können, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.
Wenn Sie in der Anweisung "AuthLDAPURL" keinen Port angeben, ignoriert das Modul "mod_ldap" die Anweisung "LDAPTrustedMode" und gibt SSL als Netztransport an. Weitere Informationen finden Sie in der Apache-Dokumentation zu den Anweisungen "LDAPTrustedMode" und "AuthLDAPURL".
- None oder TCP, d. h., es wird keine Verschlüsselung durchgeführt. Wenn Sie in der Anweisung "AuthLDAPURL" keinen Port angeben, wird Port 389 verwendet.
- SSL. Wenn der Wert None angegeben wird, wird Port 636 verwendet.
- TLS oder STARTTLS. Diese Open-Source-Typen werden von IBM HTTP Server nicht unterstützt.
ldap.transport=TCP (or SSL)in
LDAPTrustedMode NONE (or SSL)Wenn ldaps://URL angegeben wird, wird SSL als Modus verwendet, und die Einstellung von LDAPTrustedMode wird ignoriert.
ldap.URL
Das Modul "mod_ldap" enthält die Anweisung "AuthLDAPURL", mit der Sie den Hostnamen und den Port des LDAP-Servers sowie den Basis-DN angegeben können, der für die Verbindungsherstellung zum Server verwendet werden soll. Das Modul "mod_ldap" stellt auch eine Methode für die Angabe des Benutzerattributs, des Geltungsbereichs, des Benutzerfilters und des Transportmodus bereit. Weitere Informationen finden Sie in der Apache-Dokumentation zu den AuthLDAPURL-Anweisungen.
ldap.URL=ldap://our_ldap.server.org:389/o=OurOrg,c=US ldap.URL=ldaps://our_ldap.server.org:636/o=OurOrg,c=USin
AuthLDAPURL ldap://our_ldap.server.org:389/o=OurOrg,c=US?cn?sub?(objectclass=person) AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
ldap.user.authType
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe eines Benutzerauthentifizierungstyps. Das Modul "mod_ldap" authentifiziert Benutzer auf der Basis des angegebenen Benutzer-ID und des angegebenen Kennworts.
ldap.user.authType=Basic [Basic | Cert | BasicIfNoCert]
ldap.user.cert.filter
Das Modul "mod_ldap" enthält keine Anweisung für das Filtern von Clientzertifikaten. Das Modul "mod_ldap" arbeitet nicht direkt mit Clientzertifikaten.
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)(ou=%v2)(o=%v3)(c=%v4))
ldap.user.name.fieldSep
Das Modul "mod_ldap" enthält keine Anweisung für das Parsing der bereitgestellten Berechtigungsnachweise in Unterkomponenten. Das Modul "mod_ibm_ldap" verwendet die Anweisung "ldap.user.name.fieldSep", um die Trennzeichen anzugeben, die für das Parsen der Berechtigungsnachweise in die Token %v1, %v2, ...%vN verwendet werden.
ldap.user.name.fieldSep=/ ,
ldap.user.name.filter
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe des Benutzernamensfilters. Das Modul "mod_ldap" gibt den Benutzernamensfilter in der Anweisung "AuthLDAPURL" an.
Die Anweisung "AuthLDAPURL" kombiniert das Benutzerattribut, das in der Anweisung angegeben ist, mit dem bereitgestellten Filter zu einem Suchfilter. Der angegebene Filter entspricht der Standardspezifikation für Suchfilter. Das Modul "mod_ldap" enthält auch nicht die Parsing-Funktion für Token "%vx", die für das Modul "mod_ibm_ldap" verfügbar ist.
ldap.user.name.filter=(&(objectclass=person)(cn=%v1 %v2))
ldap.version
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe einer LDAP-Version. Das Modul "mod_ldap" verwendet nur LDAP Version 3.
ldap.version=2 (or 3)
ldap.waitToRetryConnection.interval
Das Modul "mod_ldap" enthält keine Anweisung für die Angabe der Wartezeit zwischen Verbindungswiederholungen. Das Modul "mod_ldap" wendet keine Zeitverzögerung zwischen Verbindungswiederholungen an, wenn ein Verbindungsversuch scheitert. Ein fehlgeschlagener Verbindungsversuch wird maximal zehn Mal wiederholt, bevor die Anforderung als gescheitert eingestuft wird.
Wenn eine neue Anforderung auf denselben LDAP-Server zugreifen muss, wird sie maximal zehn Mal wiederholt. Die Wiederholungsregulierung basiert auf dem Aufkommen neuer Anforderungen, die an den LDAP-Server gesendet werden.
ldap.waitToRetryConnection.interval=300